セキュリティ職人からプロフェッショナルへ！（３）

IT

2016年3月11日 07:03

印刷

お問い合わせ

ツイート

SECCON 実行委員長　竹迫良範氏

まずはアジアのなかで認知度を高め、世界に進出

　――前回は、今大会の特徴の１つである「学生限定大会」の詳細をお聞きしました。今回はもう１つの特徴、「海外連携大会」について教えて下さい。

　竹迫　海外連携大会は（１）「ASEAN Cyber SEA Game」（インドネシア）と（２）「HITCON CTF」（台湾）の２つです。

　日本開催のSECCONでは、まずはアジアのなかでの認知度を高め、その後、世界（欧米等）に進出していきたいと考えています。そこで、今回は「ASEAN Cyber SEA Game」と連携しました。同CTFはJAIF2.0（日・ASEAN統合基金）の基金で、ASEAN諸国の若者のサイバーセキュリティ意識向上を促進する目的で設立されたコンテストです。シンガポールを除く、９カ国で予選大会が開催され、勝ち抜いた計14チームが昨年11月にインドネシアのジャカルタの決勝戦に集合しました。決勝大会では、ベトナムとタイが圧倒的な強さを見せ、３位を大きく引き離し、SECCON 2015決勝戦（国際大会）への出場資格を獲得しました。

　昨年12月に台湾で開催された世界的にも有名な「HITCON」（Hack in the Taiwan conference）のCTF大会ともSECCONは連携しました。台湾には世界の多くのコンピュータ関連企業の機器を製造している関係や、政治的には中国との関係で、サイバーセキュリティに関して一定の緊張感が絶えず存在しています。この大会で優勝したのは、韓国チーム「Cykorkinesis」でした。同チームはSECCON 2015決勝（国際大会）へ招待され、こちらの決勝大会でも優勝しました。

Attack & Defense形式とKing of the Hill形式で

　――これまでは、昨年1年を通じて展開されたSECCON 2015の予選模様について色々とお聞きしてきました。ここからは、今年１月30日・31日の２日間にわたり、繰り広げられた決勝戦の模様について教えて下さい。まずは、学生大会、国際大会の各競技形式について解説いただけますか。

<

学生大会決勝　全景

　竹迫　「intercollege決勝大会（学生大会）」はAttack & Defense形式で行いました。決勝戦出場の18チームそれぞれに、自分たちの守るサーバー（計18台）を用意致しました。
競技は自分たちのサーバーを守りながら、相手のサーバーに攻撃を仕掛けるという形で展開されていきます。まず、自分たちのサーバーを点検、必要な防御策（ファイアウォールなど）を講じます。その過程で、脆弱性を発見した場合は、相手も同じ環境のサーバーを持っているので、そこが相手への攻撃ポイントになっていきます。最終的には、攻撃ポイントと防御ポイントの合計点で順位が確定します。相手からの攻撃を防ぐ場合、「サービスのレベルを落とすことなく継続して行う」ことが大事です。たとえば、電源を遮断してハッキングさせないようにすることはできますが、その場合、たとえ防御できたとしても防御ポイントは入りません。

　「international決勝大会（国際大会）」は、King of the Hill形式で行われました。決勝出場の18チームに共通のサーバーを運営側が６台用意致しました。６台のサーバーそれぞれに、「フォレンジックス」「Web・Trivia」「ネットワーク」「バイナリ解析」「プログラミング」「暗号解読」などの問題が用意されています。各チームは各サーバーの問題を解き、攻撃（ハッキング）を仕掛けます。最初に問題を解いてサーバーに侵入したチームが、そのサーバーに書き込みをして旗を立てることができます。そして、後から同じように問題を解いて、サーバーに攻撃を仕掛けてくるチームを迎え撃つのです。突破されれば旗を奪われ、旗を守ることができれば、時間ごとに得点が加算されていきます。一方、奪うことができれば、そのチームは新たに自分のチームの旗を立てることができるわけです。６台のサーバーの設問の難易度は違いますので、攻撃を多く受けるサーバーとあまり受けないサーバーとに分かれます。今回は３番目のサーバーが難問で、高いプログラミング能力を必要としたため、攻撃に成功したのは１チーム「TomoriNao」だけでした。同チームには文部科学大臣賞が与えられました。最終的には、攻撃ポイントと防御ポイントの合計点で順位が確定します。

日本チームが有利になる問題は出さないように注意

　国際大会の場合は、日本のチームが有利になるような問題は出さないように注意をしています。セキュリティの事象においては、日本だけで取り上げられ、日本の本にしか書かれていない事象も多くあります。今回出題の「10種類のアーキテクチャーで最小シェルコードを作成する問題」などは、日本のコンピューターチップ（国産マイコンのアーキテクチャー）特有のものがかなり含まれていました。そこで、海外からの参加者には不利にならないように、飛行機のなかで考えて来られるようにと、決勝数日前にヒントや問題の一部を事前配布するなど配慮しました。

（つづく）
【金木　亮憲】

＜プロフィール＞
竹迫　良範（たけさこ・よしのり）SECCON 実行委員長
株式会社リクルートマーケティングパートナーズ技術フェロー。大学卒業後、独立系ITベンチャーにて大企業向けパッケージソフトを開発、主に国際化を担当する。国内大手グループウェア研究子会社にて中長期のR&Dの傍ら、エンジニア採用、産学官連携活動と日本の人材育成に関わり、NPO法人にてセキュリティコンテスト「SECCON」を立ち上げ、2015年９月より現職に。2008年 Microsoft MVPアワード Developer Security、2013年情報処理学会山内奨励賞、CSS2013/MWS2013 CSS×2.0一等星を受賞。著書として『ECMA-262 Edition 5.1を読む』（秀和システム）、共著として『セキュリティコンテストチャレンジブックーCTFで学ぼう！情報を守るための戦い方』（マイナビ出版）などがある。