「セキュリティキャンプ2004」開催――蒔かれた種の広がりに期待：夏休みの思い出（2/2 ページ）

[高橋睦美，ITmedia]

　たとえば、「生徒による、生徒のための、生徒が管理する学校ネットワーク利用の手引き」という発表は、ある高校を想定し、生徒自身が学校ネットワーク利用のポリシーを作成してみるという内容。「休み時間にもPC室を開放してほしい」「ソフトのインストールもしたい」「ちょっと怪しい（？）Webサイトも見てみたい」……という生徒側の要望と、予算やウイルス感染をはじめとするセキュリティリスクを考慮する先生側の指摘とを突き合わせ、妥当なポリシーを生徒自身が作り上げようという試みだ。

　その結果の一部を挙げてみよう。

• PC室は時間にゆとりのある昼休みのみに開放する
• ソフトのインストールについては、事前に許可を取ることとする
• ウイルス感染の危険性については、校内クライアント／サーバでウイルス対策を施し、きちんと管理することで対応する。また、持ち込みPCを許さないようにポリシーを守ってもらう
• Webサイト閲覧はある程度制限するが、フィルタリング対象は生徒の判断に基づく。また、特定のドメインに対してはPOSTメソッドを禁止してトラブルを防止する。Webメールはなりすましの恐れがあるため禁止
• ネットゲームやIMなどは、利用が長時間になる割にメリットが少ないので禁止する

　という具合に、やや厳し目の内容だ。だが、ユーザー（＝学生）の要件を満たしながらこうした手引きを作れば、「無理やり規制したり押さえつけたりしないことで、（誰かが何かを無理にやろうとして）トラブルが生じ、先生が走り回ることもなくなる」という。企業ネットワークにおいても、あまりに厳しいポリシーを強制した結果、抜け道ができたり、ポリシーが空文化するケースは珍しいことではない。この発表は図らずも、そうした実情に通じた結果となった。

　プレゼン後の質疑応答では、「ポリシーは、作成することと同じくらいメンテナンスが重要。定期的な、あるいは緊急の見直しのスキームも定めるべきでは」「ルールがあれば、それを破る人も必ずいる。罰則規定はどうなっているか？」といった突っ込みも寄せられたが、全般によくまとまっていたといえるだろう。

　何より印象的だったのは、セキュリティキャンプ実行委員の一人である小泉力一氏（東京都立隅田川高校教諭）の、「意外と、先生が考えている手引きよりも厳しい内容になった」というコメントだ。だがそれも「皆さんがセキュリティのことを知っているから」（同氏）。ここからも、セキュリティについて知り、理解することがいかに大きな力になるかが分かる。

運用・管理への視点が課題か

　もう1つ、学生ならではの発表と感じたのは「田舎高校でサーバを作ろうプロジェクト」である。生徒数200名程度の私立高校で、200万円の予算内で校内LANを構築してしまおう、という内容だ。

　このプロジェクトでは、インターネット接続にADSLを利用。WebサーバはApache、教員用ファイルサーバはSambaをそれぞれ用いるほか、クライアント端末にはFedora Core 2を採用。さらにケーブルは自作する……といった具合に徹底的にコストを切り詰め、予算内に収めるという目論見だ。この結果、インターネット接続と各種ハード／ソフトのイニシャルコストを含めて170万円弱に抑えるという見積もりができた。

　だが、ここで抜けているのは「人件費」。発表では、これらの作業を5人の学生が時給1000円（！）で、40時間かけて行ったとして、さらに20万円かかるという数字も出したが、実際にはもう少し費用がかかるのではないかと感じられた。

　質疑応答の中では、もう1つ根本的な問題が指摘された。現実にはシステム構築の初期費用よりも、その後の運用／管理コストのほうが大きいという事実である。その前の「利用の手引き」の発表にも言えることだが、最初の構築／立ち上げだけではなく、運用を含めたプロセス全体に配慮していく視点が必要ではないかと感じられた。

　「作り上げた後のほうが大変。セキュリティはそこから始まる」（セキュリティキャンプ実行委員長を務めたラックの三輪信雄氏）。

　ちなみにこの発表では、手書きのネットワーク構成図を配ったこともあって、「DMZを設定したほうがいいのでは」「UPSは？　NTPサーバは？」「ファイアウォールにはFreeBSDがお勧め」「脆弱性対応を考えると、サポート付きOSのほうがよいのでは？」「せめてレイヤ3スイッチを導入したほうがいいのでは」といった具合に、コメントが活発に寄せられた。

　他にも、産学官の連携も含め、Webアプリケーションのセキュリティ向上のための方策をまとめた「Webアプリケーション補完計画」、SSLを利用している企業サイトの少なさや個人情報に対する価値観の低さを指摘した「個人情報保護法について」など、（こういう言い方は失礼かもしれないが）大人顔負けのプレゼンテーションが行われた。

プレゼンテーション後の質疑応答では、コメントが活発に寄せられた

　この発表に対し三輪氏は、「正直に言って、ここまでプレゼンをこなすとは予想外の驚きだった。中には『よく思いついたなぁ』と感じるアイデアもある。通り一遍のセミナーよりずっといい」と述べている。

「始まり」の終わり

　最後の閉校式では、参加者一人ひとりに修了証書が手渡され、大きな拍手が送られた。「これまでは結構自信を持ってサーバをいじっていたけれど、帰ってから改めて設定を見直したい」「今回の経験を生かしてさらに勉強したい」という参加者らの一言からは、キャンプを通じて彼らが多くのものを持ち帰ってくれていることが伺えた。

セキュリティキャンプ委員長の三輪氏から、1人ひとりに修了証書が手渡された

　主催者側も手ごたえをつかんだようだ。「来年以降もこういうイベントを行っていきたい」（経済産業省、商務情報政策局情報処理振興課課長補佐の久米孝氏）、「今後も継続してやりたい。それも、毎年趣向をこらしてマンネリ化しないようにしたい」（三輪氏）。三輪氏はさらに「3年後には『ハッカー甲子園』を実現したい」とも述べている。

閉講式では、「利用の手引き」についてのプレゼンテーションを行ったグループDが最優秀賞を受けた。特典は、IT関連書籍を3冊、優先的に選んで持ち帰れるというもので、さっそく争奪に向けてじゃんけん開始

それぞれまず1冊、気になる書籍を選んでコメント。キャンプをやり通した達成感ゆえか、彼らだけでなく皆が非常にいい顔をしていた。なおこの後、時ならぬサイン会が繰り広げられたのは内緒だ

　こうしてセキュリティキャンプ2004は成功裏に終わった。だが、「家に帰るまでがキャンプ」ではないが、今回のキャンプの真価はむしろ、各参加者が家に帰ってから、その経験をどう生かしていくかによって問われるのかもしれない。

　「セキュリティとポリシーの調整、規制やモラルとの兼ね合いなど、この分野には難しい問題が多々あるが、これらを議論するにもテクノロジが基本にないと議論できない。参加者の皆さんには、今日だけでなく今後も、自分の頭で考え続けてほしい」（久米氏）。

　講師の1人も「これが『終わり』ではなく『始まり』。ここに集まった30人だけでなく、後進も巻き込み、導いていってほしい」と述べている。終了式の直後には、参加者OBによるコミュニティを作ろうという話が持ち上がり、今後も仲間同士で密に連絡を取っていこうという話で盛り上がっていたが、その輪が広がっていくよう願ってやまない。

　今ごろセキュリティキャンプ一期生の30人はそれぞれのホームグラウンドに戻り、宿題に取り組んでいることだろう。一人ひとりが持ち帰った大切な「夏休みの経験」が種となり、学校や各地での活動が大きく花開くことを期待したい。