このページの本文へ

1年のアイデアの集大成「SecHack365 2017 成果発表会」レポート

365日かけてアイデアを磨き、「セキュリティ」×「何か」を形に

2018年04月09日 07時00分更新

文● 高橋睦美

  • この記事をはてなブックマークに追加
  • 本文印刷

 半日のセミナー、丸一日かけてのハッカソンを通してでも得られるものは多い。だが、そこ得た刺激を一過性のものに終わらせず継続するのは、意欲を持っていてもなかなか難しいのも事実だ。何とかして、もっと継続的な人材育成ができないだろうかーー。そこで情報通信研究機構(NICT)ナショナルサイバートレーニングセンターでは2017年5月から、ほぼ1年かけてアイデア出しとその開発に取り組む「SecHack365」という新しい取り組みを開始。2018年3月24日にはその集大成となる「SecHack365 2017 成果発表会」を開催した。

SecHack365が育成するのはセキュリティイノベーター

 昨今のサイバー脅威の深刻化を背景に、セキュリティ対策・運用に当たる人材不足が指摘されている。こうした声を背景にNICTでも、「CYDER」や「Cyber Colosseo」といったサイバー演習プログラムを実施し、セキュリティ対策やインシデント発生時の対処に当たる人材の育成に取り組んできた。

 これに対しSecHack365が育成を目指す人材は、ひと味違う。セキュリティ人材という単語からすぐに連想されるセキュリティ分野に特化した人材、たとえばマルウェア解析や脆弱性検査に優れたスキルを持つ技術者というよりも、セキュリティに「何か」を掛け合わせ、社会に役立つものを作り出す「ものづくり」に軸足を置き、セキュリティイノベーターの育成を目指している。

 そんな新しい構想が関心を呼んでか、初年度に当たるSecHack365 2017には25歳以下の学生・社会人ら358名が応募。選考をくぐり抜けた47名がアイデアを交換しながら、個人で、あるいは同じようなテーマに興味・関心を持つ参加者らがチームを組んでものづくりに取り組んだ。

 この1年間、集合形式のハッカソンやセミナーを2カ月に1回のペースで繰り返し、他にあまり例を見ない長い時間をかけて一つのプロジェクトを進めていった。東京、福岡、札幌、大阪、沖縄という5都市で行われたアイデアソンやハッカソンの合間には、参加者(トレーニー)が講師陣とチャットを通じてディスカッションしたり、進捗を確認しながらプロジェクトを後押しした他、開発・検証に必要な実習環境「NONSTOP」も用意し、リモートから利用できるようにした。

豊かな発想に基づきセキュリティに関する「何か」を形にした1年間

 成果発表会では、ユーザーを守るため、あるいはセキュリティの啓発促進を目的に生まれたさまざまな柔軟なアイデアを具現化したソフトウェアやシステムが発表された。

 たとえば小林滉河氏と仲地駿人氏は「深層学習を用いたフィッシングサイト検知システム」を開発した。市場には既にさまざまなフィッシングサイト対策があるが、ブラックリスト方式では、まだリストで網羅されていない未知のフィッシングサイトの検出が困難だ。一方ホワイトリスト方式では、必要なときに必要なサイトにアクセスできず、ユーザーに不便を強いる恐れがある。そこで両氏は、深層学習を活用してURLの文字列を解析し、フィッシングサイトかどうかを判定する仕組みをDjangoを用いて開発し、Google Chromeの拡張機能「判定くん」として実装した。

「深層学習を用いたフィッシングサイト検知システム」についてプレゼンテーションを行った小林滉河氏と仲地駿人氏

 最近ではWebブラウザ自体もフィッシング対策機能を備え、疑わしいサイトにアクセスすると警告を表示するが、両氏が行った判定くんの検証では、Chromeが対応する数時間前に検知・警告できたフィッシングサイトもあり、「グーグルよりも早く、未知のフィッシングサイトに対策できた」という。

 また、大平修慈氏、草野清重氏、手柴瑞基氏、室田雅貴氏が取り組んだ「車の情報×クラウドを使って安全・快適なカーライフをしたい!」というプロジェクトは、自動運転時代をにらみ、安全な運転を支援したいという狙いに基づいたものだ。

「車の情報×クラウドを使って安全・快適なカーライフをしたい!」に取り組んだ大平修慈氏、草野清重氏、手柴瑞基氏、室田雅貴氏

 自動運転のさらに先、全ての車が無人化されて勝手に走り回ってくれる「ゴーストカー社会」が到来した際、安全で快適な運転を実現するには、安全運転をしている優秀なドライバーのデータが必要だ。そこで、Raspberry Pieを用いた車載機から、SORACOMのサービスを介してAmazon Web Services上に収集して解析し、Unityを用いて可視化する仕組みを、メンバーそれぞれの強みを生かして開発した。

 速度やエンジン回転数を監視し、異常な運転を検知したらAWS Lambdaを介してSlackにアラートを送信したり、車載LANの帯域を見てDoS攻撃を検知するといった形で運転のセキュリティを確保するだけでなく、マクロ的に車が渋滞しやすい場所、事故の起こりやすい場所なども解析できる。こうしたデータを、車のメーカーだけでなくレンタカー会社や保険会社などさまざまな企業に提供することで、安全かつ快適なカーライフを提供できるとした。

車に対する通信を監視し、攻撃を検出するとビジュアルインターフェイス上で警告する

 成果発表会では壇上でのプレゼンテーションだけでなく、ポスター展示も行なわれた。

 脆弱なシステムを装い、ITシステムに対する攻撃者の振る舞いを解析する仕組みが「ハニーポット」だが、中村綾花氏が開発した「ネットワークカメラハニーポット」では、外部の第三者による盗み見や遠隔操作のリスクが指摘されるネットワークカメラにその考え方を応用した。パケットキャプチャを行なってtcpdumpで解析するシンプルな仕掛けだが、侵入元のIPアドレスが把握できたほか、侵入行為が人によるものか、それとも機械的なものかなど、いくつかの特徴が見えてきたという。「人が操作している場合は、まずカメラをぐるっと回転させて通路側を見て、部屋に誰かいないか確認するようだ」と中村氏。中には、同氏が壁に貼っておいたグラビアポスターまでチェックしていった侵入者もあったという。

 また、上原瑛美氏の「視て聴いて触るセキュリティ」は、文字通り視覚や聴覚、触覚に訴えかけることで、ユーザーにアラートを認識してもらおうという取り組みだ。Windowsを使っていると時折警告ウィンドウが表示される。中には「危険なものを実行しようとしています」とリスクを伝える内容もあるが、ユーザーは操作を優先してつい無視しがちだ。そこで、UnityでVR風に印象的なアラートを表示させたり、あるいはゲーム機ならばコントローラを振動させたたりと、五感に訴えてユーザーに気付いてもらい、アラートを伝えるという仕組みだ。

 上原氏は社会人として働く傍ら、会社の理解も得て時間を捻出し、プロジェクトを進めていったという。「セキュリティ・ミニキャンプなどに参加経験があるが、自分だけではなかなか勉強が続かないことも感じていた。SecHack365に参加して学生さんから刺激を受けたり、一年間を通して進捗確認やサポートを受けたことで、勉強する癖がついた。これを継続し、来年、再来年も取り組んでいきたい」という。

発想力は負けてない、海外ハッカソンでも高い評価

 1年という時間をかけてトレーナーとトレーニーらが議論を交わし、ともに取り組むことの成果を、主催者側も感じているようだ。NICTナショナルサイバートレーニングセンター室長の衛藤将史氏は「ものづくりをする人を育成するという意味で、大きな成果があった」と述べている。

 「3、4日の合宿やハッカソンだけでは、作れるものにどうしても制約がある。SeckHack365では、1年間かけてハッカソンを行うというこれまで世の中になかった試みを通じて、ものづくりの能力を伸ばせないかと考えた。実際のものづくりという面だけでなく、発想力、アイデアを生み出す力についても、訓練を通じて身に付くという成果が如実に現れた」(衛藤氏)

 湯川大雅氏が紹介した、レーザーポインタを用いてネットワークにつながった家電、IoT機器をコントロールする仕組みも、さまざまな発想を掛け合わせる試みの中から生まれたものだという。

 また、北村拓也氏や川島一記氏、友利奈緒氏が開発した「Cyship」は、仮想空間でサイバー攻防を体験し、プログラミングなどの知識を持たない学生にも「サイバー攻撃はどのように発生するのか」「どう守ればいいのか」を理解してもらうためのゲームだ。テーブルゲームでおなじみの「潜水艦ゲーム」に着想を得たものだが、カードゲームでプロトタイプを作ったり、中学生らにアンケートをとったり、CTF大会「SECCON」でデモを行なったりと、さまざまな機会を捉えて作っては試しながらフィードバックを得て改善し、AIとAIが戦うゲームとして完成させた。

プログラミングの知識を持たない学生に、楽しみながらサイバー攻撃と防御の仕組みを理解してもらうことを目的としたゲーム「Cyship」は、北村拓也氏や川島一記氏、友利奈緒氏が開発した

 そんな日本の若手エンジニアの発想力は、米オースティンで開催されたカンファレンス「SXSW」のハッカソンでも実証された。

 SXSWは近年、メディアや音楽なども融合した新たなものやサービスが生まれ、紹介される場として注目されている。そこで開催されるハッカソンも注目の的で、音楽と映像、VR/ARといった要素を組み合わせた新たなものづくりがテーマだ。トレーニーの希望者から選ばれた4名がSecHack365チームとして参加し、「言葉にならない感情を音で表す」というコンセプトを「emshare」というシステムにして発表したところ、「もっともクリエイティブ」と評価され、スポンサーのCloudinary賞を受賞した。

365日に渡ってものづくりに取り組んだトレーニーには、修了証と記念品が手渡された

 参加者らは、言葉やプレゼンテーション面での差は感じたものの、一方でエンジニアリングやアイデアの面では負けていないという感触も得たそうだ。衛藤氏も「アイデア力が評価されたのは大きい」と述べる。

 成果発表会の最後、NICT理事長の徳田英幸氏は「日本のセキュリティ業界はまだまだ元気がない」と指摘。修了証を受け取ったSecHack365のトレーニーらに対し、イノベーティブでオープンかつヘルシーなマインドを持ちながら、プロフェッショナルとして活躍してほしいと呼び掛けた。データ解析やクラウド、可視化など、さまざまな強みを持つトレーニーらは、修了証を受け取り、これからの取り組みに対する思いを一層強くしたようだ。

 NICTは2018年度もSecHack365を開催する予定だ。1年目の経験を踏まえ、「コース制」の採用をはじめ新たな基軸を盛り込み、2018年4月2日から20日まで40名程度の参加者を募集する。また、CTFとものづくり、それぞれの持ち味を生かした新たなイベント「セチャコン 2018」を4月15日に開催する予定で、SECCON CTFの過去問にSecHack365のトレーニーの作品が挑戦する体験型プログラムが行われるという。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード