あなたは解けるか? 関西発、セキュリティクイズ大会に登場した“あんなこんな問題”:アルティメットサイバーセキュリティクイズ2018(1/3 ページ)
エンジニアに限らず、セキュリティに関心を持つ人々が気軽に参加できる、楽しいイベントができないか――。そんな思いを形にした「アルティメットサイバーセキュリティクイズ2018」が、2018年7月14日に大阪で開催された。
ITが仕事や生活の中に欠かせない存在となった今、セキュリティはあらゆる人にとって“知らずには済まされない問題”になっている。しかし、「何だか難しそう」とか、「よく分からない」といったイメージを抱かれがちなのが現状だ。さまざまな勉強会やセミナーが開催されているものの、ハードルが高いと感じる人も少なくない。
そんな人たちも含め、セキュリティに関心を持つ人々が気軽に参加できるようなイベントができないか――。そんなセキュリティかいわいの人たちの思いを形にした「アルティメットサイバーセキュリティクイズ2018」が、2018年7月14日に大阪で開催された。
セキュリティ関連のイベントというと、専門家を招いた講演形式で行うのが一般的だが、受講者に向けた一方向な情報発信にとどまってしまい、内容が印象に残りづらいという課題があった。そこで最近では、CTF(Capture The Flag)やハッカソン、Hardeningのように参加者が手を動かしたり、スコアを競う参加型のイベントが各地で行われるようになってきたが、一定のスキルが求められることから、エンジニア以外には依然、参加のハードルが高かった。
そこで今回、イベントの実行委員会が採用したのが「クイズ」という形式だった。コーディングや解析の経験がなくても、セキュリティ関連のニュースを見聞きしたり、基礎的な資格の取得に向けて勉強に取り組んでいる人ならば、頭の中にある「知識」のみで勝負できる。さまざまな人に参加してもらえるというわけだ。
頭の中の知識で勝負、明暗分かれた「○×クイズ」
アルティメットサイバーセキュリティクイズ2018の会場には、120人を超える参加者とスポンサー、見学者ら約150人が集結。主催のアルティメットサイバーセキュリティクイズ実行委員会によると、技術者だけでなく、営業に携わる社会人や学生も加わっていたといい、時に真剣に、時にボケや笑いを交えつつクイズに挑んだ。
予選は、往年の人気番組「アメリカ横断ウルトラクイズ」でもおなじみの、二択式の○×クイズだ。参加者には、切り取り可能なチケットが3枚付いたオリジナルの参加証が配られ、不正解だと1枚ずつ切り取られていく。3アウトで失格だ。なお、手元のスマートフォンを使ってカンニングした場合は「即失格」となるルールだったが、違反者が出ることもなく、皆が“己の知識”で勝負していた。
興味深いのは、その出題範囲の幅広さだ。ネットワークセキュリティや「ゼロデイ」「Etnernal Blue」など攻撃手法に関する技術的な設問だけでなく、リスクについての考え方や基礎用語、サイバーセキュリティ政策や改正個人情報保護法、GDPRといった法規制に関するもの、情報処理の基礎知識や計算能力を問うものに至るまで、実にさまざまな分野のクイズが用意されていた。「XSSとは、クロスサイトスクリプティングの略称である。○か×か」のように、ほぼ全員が正解し、ふるい落としにならない問題も含めバラエティに富んでいた。
今回のアルティメットサイバーセキュリティクイズ2018は、多くのスポンサーの支援を得て開催されており、スポンサー各社の特色を生かした問題も用意された。例えばバラクーダネットワークスは、Webアプリケーションセキュリティやメールセキュリティ関連の問題、ラックは攻撃の監視に用いるハニーポットについての問題、トレンドマイクロはマルウェアの動きに関する問題――といった具合だ。ファイア・アイは、同社がまとめている年次レポート「M-Trends」を元に、「2017年、アジア太平洋地域の企業が侵害に気付くまでの中央値は365日よりも長い。○か×か」というクイズを出題していた(答えは残念ながら「○」)。
関連記事
- 20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。 - セキュリティ人材がいないなんて大ウソ? ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法
セキュリティ人材の不足が叫ばれる中、ANAグループのCSIRTを率いる阿部恭一氏は、「それは大ウソ」と断言する。阿部氏がいう、社内に眠っているお宝人材とは? - 脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。 - 不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、再発防止に向けて歩み出した同大学は、脆弱性スキャナーの「Tenable.io」を導入した。事件を通じて、彼らが気付いたこととは。 - 脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.