サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」：セキュリティ・キャンプ九州 in 福岡 2016レポート（後編）（1/4 ページ）

　地方におけるセキュリティ人材育成の推進を目指す「セキュリティ・キャンプ地方大会」。本稿では前回に引き続き、2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」専門講座の模様をお届けする。

　例年多彩なテーマでITセキュリティを扱う合宿形式の専門講座は年を追うごとに人気が増し、2016年には応募者数が前年から倍増したという。選考を通過した24人が過ごした濃厚な時間を振り返ってみよう。

2泊3日の集中合宿を前にやや緊張気味の参加者たち

機械学習による具体的なサイバー攻撃対策を議論

セキュリティコンテスト「SECCON」を立ち上げ当初から支えてきた実行委員会メンバーでもあるサイバー大学 教授 園田道夫氏

　サイバー大学教授の園田道夫氏は、「機械学習とセキュリティ：特徴抽出講座」で、最近ITセキュリティ分野でも適用が始まっている機械学習を取り上げた。

　園田氏は初めに、サポートベクターマシンやランダムフォレストなどの機械学習の代表的なアルゴリズムとその特徴を紹介。その上で、「攻撃を機械学習で自動検知させるにはどうすればよいか」「誤検知を減らすにはどうするか」「攻撃の手口に見る特徴や使用される記号の使用頻度などにより、検知率を向上させることは可能か」といった課題を提起した。

　その上で園田氏は「これらを解決し、機械学習による攻撃検知の精度を上げるには、攻撃者の手口や視点を理解することが重要」と述べ、攻撃方法とその対策を考えるよう参加者たちにグループディスカッションを促した。

　30分弱と短い時間ながらも、参加者からはさまざまな対策案が挙げられた。あるグループは標的型攻撃について、偽装された拡張子や添付ファイル、日本語ではあまり使われない文字コード（簡体文字など）の特徴から攻撃を検知する方法を発表。別のグループは、「フレームサイズをゼロピクセルにしてある」「短い時間内にリダイレクトを実行する」といったドライブバイダウンロードの特徴を挙げ、それが見られた場合に警告を出すような仕組みを考えた。また、Excelの悪性マクロの攻撃サンプルを検証し、「200以上の数値が頻出する傾向を検知に生かせないか」と提案したチームもあった。

　参加者の発表を受け、「興味深いものが多かった」と述べた園田氏は、「いま挙げてもらった特徴から相互に補完し合えるものが何かを見つけ出せたら、無駄な特徴データを学習させずに効率的な攻撃検知が可能になるかもしれないね」と、参加者たちにさらに議論を深めるネタを提供し、講義を終えた。

情報漏えい事故の模擬裁判で法知識を学ぶ

率直な語り口とユーモアで難解な法律を分かりやすくひもとく弁護士の吉井和明氏

　午後に登壇した弁護士の吉井和明氏は、「情報セキュリティ技術者のための法律講座」を行った。

　「技術者は好奇心旺盛。だからこそ、オセロのように黒い石で囲まれても黒く染まらないように、法律を知ってほしい」。そう述べる吉井氏は、事例を基に不正アクセス禁止法や不正指令電磁的記録に関する罪について解説。後半には、違法性の有無の判断を培う目的で、参加者を裁判官、原告側の弁護士、被告側の弁護士に分けて模擬裁判を行った。

　模擬裁判の内容は「原告X社のWebサイトで改ざん事件が発生。そのWebサーバに顧客のクレジットカード情報が暗号化されずに保存されており、情報が漏えいした結果、Webサービス開発を請け負ったY社が訴えられた」というもの。争点は「保守契約にセキュリティ対策が含まれるかどうか」「暗号化やサーバ運用の判断における両社識のズレ」「X社のIT知識のなさから生まれた丸投げ対応」「Y社の説明責任」に絞られ、原告側と被告側の弁明が展開された。

　弁論が終わると、最終的な判決は裁判官役に委ねられた。その内容は、「X社のずさんさもあるが、Y社の説明責任や対応は不十分である。よってWebサイトの再構築費用や顧客におわびとして配るクオカード全額の支払いを命じる」というものだった。

「ITがよく分からず丸投げで適当な原告側の社長」になりきる吉井氏から、何とか有利な証言を引き出そうと奮闘する被告サイド

　4時間にわたる講義のまとめに吉井氏は、「就職した先でITセキュリティの必要性を説明する場面があるかもしれない。そのとき、信用失墜や技術上の安全性だけでなく、法的保護が得られないという側面も理由として覚えておいてほしい」とメッセージを送った。