「特技はバグ探し」で就活も期待？ 千葉大が国内大学初の脆弱性発見イベント（1/2 ページ）

千葉大学は、国内の大学では初という「セキュリティバグハンティングコンテスト」をスタートさせた。学生限定の取り組みながら、セキュリティの向上と人材の育成につなげるのが狙いだ。

[國谷武史，ITmedia]

　国立大学法人の千葉大学は12月15日、国内の大学では初の試みという「セキュリティバグハンティングコンテスト」をスタートさせた。学内システムの脆弱性を学生が調査し、セキュリティの専門家陣が審査する。セキュリティの向上と人材の育成につなげるのが狙いだ。

　このイベントは、千葉大学の情報危機対策チーム「C-csirt」（千葉大学のセキュリティインシデント対応チーム）が主催するもの。社会問題化するサイバー攻撃への対応とセキュリティ人材の不足といった課題に対して、学生のセキュリティについての興味や意識の向上と、社会から求められる人材の輩出を目的に実施するという。

　参加できるのは同大の学生で、かつ12月15日の講習を受けて「ハンターライセンス」を付与された学生に限定される。12月15日の講習には63人が応募した。

12月15日の講習に大学側の予想を上回る多数の学生が出席した

　5時間近くにおよんだ講義では、まず副学長の石井徹哉氏が法律と倫理をテーマに、サイバー犯罪などに関連する法律や守秘義務、ゼロデイ脆弱性情報の取り扱い、脆弱性の届け出制度を解説。また、コンテストの企画・運営を支援するセキュアスカイ・テクノロジー 常勤技術顧問の長谷川陽介氏が、脆弱性診断の概要やWebサイトの攻撃手法、検査ツールの使い方、診断レポートの作成方法などを講義した。

　当日は47人の学生（うち女性は4人）に「ハンターライセンス」が付与された。大半は工学部や理学部などの理系学部の学生だが、法政経学部や薬学部、園芸学部の学生も資格を得ている。同月28日に行われる補講にも16人が参加する予定で、63人の学生が参加資格を得る見込みだ。

講義では「バグ」といった基本的な用語に加え、情報セキュリティに関する倫理と技術の両面での解説が行われた

　コンテストでは、「ハンターライセンス」を持つ学生が、コンテストのために用意した訓練用サイトを探索し、レポートを提出する。それを踏まえて、2017年1月15日までに学内の2つのシステム（詳細は非公開）も探索してレポートを提出する。レポート内容は、大学内外の有識者で構成された審査委員が同年1月31日までを評価し、2月上旬に成績優秀者を表彰する。

　また、コンテストで学生が報告した脆弱性関連情報のうち、実際に脆弱性と確認されたものについてはC-csirtが学内のシステム運用部局に報告して、運用部局が対応方針や修正作業などをC-csirtと連携しながら実施するという。システムに実装されている製品などに存在している場合は、情報処理推進機構やJPCERT コーディネーションセンターなどの国内調整機関にも報告するとしている。

「セキュリティバグハンティングコンテスト」のスケジュール（千葉大学広報資料より抜粋）