NECは、KOSENサイバーセキュリティ教育推進センター(K-SEC)が主催する「K-SEC トップオブトップス講習会2024」にて、トップレベルの高専生を対象としたセキュリティ技術を学ぶ演習プログラムを提供しました。
講師は、NEC CSIRT(注1)の脅威インテリジェンス業務やお客様向けのペネトレーションテスト・システムインテグレーション・人材育成などの専門業務に従事するNECグループのエンジニアが務めています。
本講習会には、独立行政法人国立高等専門学校機構(以下、高専機構)が設置する高等専門学校の学生が参加するCTF(Capture The Flag)大会での上位入賞者17名が参加しました。
本プログラムにより、システムの脆弱性に対する攻撃手法に関する問題作成と問題回答を相互に体験することで、攻撃者と防御側の両方の視点から、セキュリティ技術の理解深耕とスキル向上に貢献しました。
具体的には、1日目に、チームに分かれて出題者として問題作成を行い、CTF形式の演習環境へ登録し、2日目に、作成した問題を解き合った後、チーム間で解答方法を共有しながら作問者と意見交換を行いました。演習環境は、お客様向けに提供している演習型教育サービス「NECサイバーセキュリティ競技場演習(CTF、注2)」を用いて実施しました。
さらに、講師を務めたエンジニアとの交流や、他高専学校間での学生交流を通して、高専生自身がキャリアを考える機会創出に貢献しました。
NECは、高専機構との包括連携協定(注3)にもとづき、今後も産学連携での人材の育成・輩出に貢献していきます。
開催概要:
- 2024年12月7日開催、木更津工業高等専門学校主催「KOSENセキュリティコンテスト2024」(20高専から38チーム130名が参加)の上位入賞チーム
https://prtimes.jp/main/html/rd/p/000000430.000075419.html - 2024年9月開催、NEC主催 学生向けCTF「NEC Security Skills Challenge for Students」(6高専から153名が参加)の上位入賞者
https://jpn.nec.com/cybersecurity/blog/241008/index.html
プログラム
■CTF問題作成・演習
学生4チーム、NECグループのエンジニア3チームに分かれてCTF問題を作成し、その問題はお客様向けに提供している演習型教育サービスの演習環境へ登録しました。その後、演習環境上の問題を各チームが相互に解き合いました。
Open-Source Intelligence(OSINT)を題材としたものや、意図しないファイル参照ができてしまう脆弱性をつくパストラバーサルを題材としたもの、暗号化技術を使って解く問題などを作成しました。
■Writeup
Writeupでは、解いた問題の解答方法の共有や、解けなかった問題の解答方法を作問者と確認し、チームの枠を超えて学生同士やエンジニアと意見交換を行いました。最後に、印象に残った問題を選定する学生投票を行い、4問構成でストーリーをつけて作成した問題が1位に選ばれました。
<学生の声>
- どのような実装が脆弱となるかを考えながら作問することで、新しい視点でセキュリティを考えることができた。
- 他高専生と交流しながら一緒に作問することは楽しかったし、とても良い経験になった。またCTF作問をしてみたい。
- 基本的な攻撃手法やセキュリティの重要性は理解していたが、問題作成ではうまくいかないこともあり、普段は経験できないような勉強ができてよかった。
- 最後まで解けなかった問題もあったが、Writeupで作問者からの解説を聞いて理解することができた。
- 問題を解くために脆弱性について調べる問題もあり、演習の中で新しい学びもあった。
サポートしたNECグループ社員
NEC CSIRTの脅威インテリジェンスやお客様向けペネトレーションテスト、システムインテグレーション、人材育成などの業務に従事し、IPA中核人材育成プログラム(注4)修了者や著名なCTFでの入賞経験ある専門エンジニアがサポートしました。
- NEC
長谷川 奨、長浜 佑介、山口 義治 - NEC通信システム
井村 征智、岸 和輝、坂脇 孝弘、松井 祐輔、祐野 雅範 - NECソリューションイノベータ
明石 悠磨、近藤 一樹、宮本 慎、村田 翼、渡部 皓平
以上
(注1) NEC CSIRT(Computer Security Incident Response Team):CSO/CISOの配下に設置され、NECグループへのサイバー攻撃を監視し、インシデント時には迅速に収拾をはかるチーム
(https://jpn.nec.com/ciso/ciso_office/ciso_office.html)
(注2) 「NECサイバーセキュリティ競技場演習(CTF)」:競技形式で楽しみながらセキュリティ技術の学習を行い、スキルの可視化などができる教育サービス。NECグループ社員向けのCTF「NECセキュリティスキルチャレンジ」に使用しているものと同じ演習環境をお客様にも提供
(https://jpn.nec.com/cybersecurity/service/professional/education/contest/index.html)
(注3) 2022年7月22日NECプレスリリース:国立高専機構とNEC、サイバーセキュリティ分野における包括連携協定を締結
(https://jpn.nec.com/press/202207/20220722_01.html)
(注4) IPA 中核人材育成プログラム:独立行政法人情報処理推進機構(IPA)が実施する、セキュリティの観点から企業などの経営層と現場担当者を繋ぐ人材(中核人材)を対象とし、社会インフラ・産業基盤のサイバーセキュリティ対策の強化をテーマに1年程度かけてトレーニングを行うプログラム
(https://www.ipa.go.jp/jinzai/ics/core_human_resource/index.html)
関連情報
PR TIMES プレスリリースはこちら
URL:https://prtimes.jp/main/html/rd/p/000000905.000078149.html