「特技はバグ探し」で就活も期待? 千葉大が国内大学初の脆弱性発見イベント
国立大学法人の千葉大学は12月15日、国内の大学では初の試みという「セキュリティバグコンテスト」をスタートさせた。
学内システムの脆弱性を学生が調査し、セキュリティの専門家陣が審査する。
セキュリティの向上と人材の育成につなげるのが狙いだ。
このイベントは、千葉大学の情報危機対策チーム「C-cirt」(千葉大学のセキュリティインシデント対応チーム)が主催するもの。
社会問題化するサイバー攻撃への対応とセキュリティ人材の不足といった課題に対して、学生のセキュリティについての興味や意識の向上と、社会から求められる人材の輩出を目的に実施するという。
参加できるのは同大の学生で、かつ12月15日の講習を受けて「ハンターライセンス」を付与された学生に限定される。
12月15日の講習には63人が応募した。
5時間近くにおよんだ講義では、まず副学長の石井徹哉氏が法律と倫理をテーマに、サイバー犯罪などに関連する法律や守秘義務、ゼロデイ脆弱性情報の取り扱い、脆弱性の届け出制度を解説。
また、コンテストの企画・運営を支援するセキュアスカイ・テクノロジー 常勤技術顧問の長谷川陽介氏が、脆弱性診断の概要やWebサイトの攻撃手法、検査ツールの使い方、診断レポートの作成方法などを講義した。
当日は47人の学生(うち女性は4人)に「ハンターライセンス」が付与された。
大半は工学部や理学部などの理系学部の学生だが、法政経学部や薬学部、園芸学部の学生も資格を得ている。
同月28日に行われる補講にも16人が参加する予定で、63人の学生が参加資格を得る見込みだ。
コンテストでは、「ハンターライセンス」を持つ学生が、対象となる学内の2つのシステム(詳細は非公開)のテスト環境を探索し、レポートを提出する。
それを踏まえて、2017年1月15日までに同じシステムの本番環境も探索してレポートを提出する。
大学内外の有識者で構成された審査委員が同年1月31日までレポート内容を評価し、2月上旬に成績優秀者を表彰する。
また、コンテストで学生が報告した脆弱性関連情報のうち、実際に脆弱性と確認されたものについてはC-cirtが学内のシステム運用部局に報告して、運用部局が対応方針や修正作業などをC-cirtと連携しながら実施するという。
システムに実装されている製品などに存在している場合は、JPCERT コーディネーションセンターなどの国内調整機関にも報告して、一般に公開するとしている。
今回のような取り組みは「バグ・バウンダリー・プログラム」(脆弱性報奨金制度)とも呼ばれ、米国の大手IT企業を中心に広がる。
国内ではサイボウズが初めて実施(現在は通年実施の制度)し、LINEや任天堂なども立ち上げた。
企業などが実施する通常の脆弱性報奨金制度は、自社のシステムやソフトウェア製品、サービスなどのセキュリティ品質の向上が目的だ。
外部のセキュリティ研究者らに脆弱性を探索して報告してもらうことで、修正や改善などを図る。
報告者には内容に応じた額の報奨金を支払い、謝辞を公表している企業も多い。
自社以外にも影響が及ぶ可能性のある脆弱性の情報は、調整機関を通じて一般に公表される場合もある。
今回の試みについて千葉大の石井副学長は、「セキュリティ人材になり得る学生の教育を目標としていることから、成績優秀者を表彰する形にした」と話す。
報奨金や受講に伴う単位認定といったインセンティブは設けず、成績優秀者には副賞としてその功績を評価する予定だ。
また、学生に付与する「ハンターライセンス」は1年間の有効期限を定め、毎年の講習を受講して発行を受ける必要があるという。
ライセンスはシンプルなデザインで、表面には英語による認定のメッセージ、裏面には正しい目的で脆弱性探索を行うための誓約メッセージを記載。
運転免許証サイズのガードタイプも発行し、千葉大学では「例えば、就職活動の際に学生が企業に評価される証明書のようなものにしたい」(学術国際部情報企画課長の西城康裕氏)という。
セキュアスカイ・テクノロジーの長谷川氏は、学生が提出するレポートについて「システムの仕様というケースもあり、脆弱性の有無に関わらず、学生が対象システムをどのように探索したのかや、学生が脆弱性の可能性を判断した理由といったプロセス全体を審査していきたい」と話す。
仮に学生が脆弱性を発見できなかった場合でも、「システムの安全性を証明したという点を評価する」(西城氏)とのことだ。
15日の開催式でセキュアスカイ・テクノロジーの乗口雅充社長は、「IT業界全体しても人材不足が叫ばれているが、セキュリティ分野は非常に期待されている分野。
セキュリティ人材としての活躍の場はとても幅広く、ぜひ将来のキャリアの1つとして目指してほしい」と学生に呼び掛けた。
今回のコンテンストは期間限定だが、千葉大学では「ハンターライセンス」を持つ学生が有効期限の間に対象システムを随時調査できる制度を検討しているといい、対象システムも拡大させていくとしている。
