千葉大学は12月15日、同大学の学生向けに開催する「セキュリティバグハンティングコンテスト」の事前講習会となる「ハンターライセンス取得講習会」を開催した。このライセンスを取得した学生は、12月15日から来年1月31日までの1か月間、千葉大学内で実際に運用されているWebサイトに対し、脆弱性の検証作業を行うことができる。参加した学生は調査結果をレポートとして提出し、成績優秀者については2月上旬に表彰を行う予定。
千葉大では、2016年4月に情報危機対策チーム「C-csirt」を発足させている。同大 学術国際部 情報企画課 課長で、C-csirtのコアメンバーである西城泰裕氏は、「これまで何かが起きたら対応する、何も起きなければ何もしない受動的な体制から、積極的に脆弱性を潰していくプロアクティブな体制へと舵を切った」と語る。
そんな改革の中で進められたのが、学内の情報システムに存在する脆弱性の発見と報告を促す「セキュリティバグ報告奨励制度」の新設だ。報告を受けた場合には、ただちにシステム運用部局とも連携して、修正を含む対応を行う。
そして、今回のコンテストはこの制度を活用した取り組みの第1弾となる。学内システムのセキュリティ強化だけでなく、セキュリティに対する学生の関心や意識向上を促進し、最終的には社会に求められるセキュリティ人材の輩出を目指す取り組みとなる。
同コンテストで検査対象となるのは、脆弱性の探索に慣れるための「ステージ1」と、実際に学生が利用しているシステム環境の「ステージ2」の2ドメインである。
「当初は、本番環境ではなく開発環境を使うほうがよいかとも思ったが、開発環境に存在する脆弱性が本番環境にあるとは限らず、実践的でもないし意味がない、との意見をシステム運用部局からもらった。(コンテストのアドバイザーである)長谷川氏とも相談し、本番環境で問題ないことを確認。システム運用部局の合意を得られた2つのドメインを、検証用に公開することにした」(西城氏)
学生向けに脆弱性検証で守るべき法律と倫理、報告のポイントを説明
12月15日のハンターライセンス取得講習会では、脆弱性検証で知っておくべき法律や倫理に関する講義を、千葉大学副学長の石井徹哉氏が担当。加えて、Webセキュリティ全般や脆弱性検証に必要な知識、レポート作成のポイントなどを、本コンテストのアドバイザーで、自身もバグハンターであるセキュアスカイ・テクノロジーの長谷川陽介氏が担当した。
石井氏の講義では、電気通信事業者法や有線電気通信法、不正アクセス禁止法、通信の秘密侵害罪、電子計算機損壊等業務妨害罪など、脆弱性診断を実施した場合に抵触する可能性のある法律を解説。法律や倫理に従った正しい姿勢は、自分の身を守ることつながることを伝えた。
「脆弱性診断を歓迎していない機関のサーバーに対して診断を実行した場合、たとえそれが善意であっても攻撃と受け取られる可能性がある。問題を発見したときは、IPA(情報処理推進機構)の脆弱性関連情報の届出フォームを介して報告してもらうようにしてほしい」(石井氏)
続く長谷川氏の講義では、脆弱性の定義や種類、脆弱性診断ツールなど全般の解説のほか、診断時に何を見るべきか、レポートは何を意識し、どうまとめるべきかなど、バグハンターとしての知見が共有された。
長谷川氏は特に、バグハンターとして欠かせないのは「発見したことを分かりやすく伝える能力」だと強調した。
「どうしても技術的にすごい部分をアピールしたくなるが、報告される側が知りたいのは『その脆弱性がビジネスや顧客に対してどれくらいの影響を及ぼすのか』ということ。まずは診断機関や診断環境、診断者名、総合評価を冒頭に書いて、危険性を認識してもらう。その後、個々の脆弱性を取り上げて、最大限悪用された場合にどれだけの脅威となり得るのか、どう対策すべきかなどを盛り込むこと。加えて、診断で行った作業のログも、再現手順を示すのと同時に、『攻撃した』と疑われない証拠にもなるので必要だ。今回のレポート作成を通じて、重要な情報をきちんと伝える力を養ってほしい」(長谷川氏)
なお今回のコンテストでは、訓練用のステージ1で発見した脆弱性もぜひレポートにまとめてほしいとのこと。「脆弱性が発見できなかった場合も安全なシステムであることの証明になるので、脆弱性はないと判断した根拠を、検証作業など含めて報告してほしい」と長谷川氏は説明した。
講習会の終了後、ハンターライセンスを取得した学生は47名。12月28日に行われる補講への参加希望者も現時点で16名おり、学生からの関心の高さがうかがえた。
なお千葉大では、ハンターライセンス有効期間中は対象システムへ随時調査を実施できるようにするほか、今後も対象システムも増やす方向で検討しているとしている。