楽しみながらだからこそ、知識がより定着する
ーーゲーム教育のススメ
SECCONはさまざまなセキュリティコンテストと連携している。K-SEC(KOSEN Secu-rity Educational Community)の一環として行われてきた「高専セキュリティコンテスト」もその1つだ。
高専セキュリティコンテストは、高専生を対象としたCTFコンテストだ。2020年は新型コロナの影響を考慮し、運営会場は岩手県の一関高専だったが、全国51チーム、148名の参加者らはすべてオンライン参加となった。
CTFでは27問の問題が用意されたが、一位となった奈良高専の「inconspicuous」は、何と競技終了の2時間ほど前に全問回答を達成した(同じく二位の産業技術高専の「LynT4X」も、遅れて全問回答を成し遂げた)。JNSAのゲーム教育WGに所属する長谷川長一氏が「高専セキュリティコンテストは年レベルが上がっており、社会人と遜色のない力を発揮している」と表現するとおりだ。
このゲーム教育WGでは、実践的なセキュリティ教育に向け、楽しみながらセキュリティについて学べる「ゲーム学習」の作成に取り組んできた。「数年前は『教育や研修は真剣にやるものだ。ゲームなどとんでもない』とおっしゃる方もいました。しかし、真面目にやったからといって教育効果が高いわけではないと思っています」と長谷川氏はその問題意識を説明した。
ゲームを活用することで学習のモチベーションは高まるし、知識としても定着しやすくなる。というのも、高専セキュリティコンテストもそうだが、一般にCTFでは「ライトアップ」を通じて知識の振り返り、定着が盛んに行われている。しかもそれらは誰かが強制したものではなく、自律的、自発的に行われていることがポイントだ。ほかにも、チームとしてコラボレーションに取り組むこと、ファシリテーションがやりやすいことなど、ゲーム学習の効果は非常に大きいという。
ただ、ゲーム学習は楽しいだけではだめで、実力も身につけなければならない。JNSAでは、岡山理科大と協力して進めてきた遠隔教育の成果やデビッド・コルブの「経験学習モデル」などを踏まえて試行錯誤を繰り返してきた。その結果、「学習してからワークショップ」というパターンよりも、まず共同でワークショップを行ってから振り返りを行い、足りない部分を講義でインプットするパターンの方が効果が高く、モチベーションも高まることが分かってきたという。
「一回目のゲーム学習で苦労すること、失敗することが大事です。その後で振り返りを行い、目標を更新した上で事後学習を行い、二回目のゲーム学習を実施することで、一回目でうまくいかなかったことが解決できたり、うまくいったことの確認ができます」(長谷川氏)。ゲーム学習はもちろん、それ以外の演習でもこのパターンを生かすケースが増えているという。
現在JNSAでは、人に化けた狼を見破る「人狼ゲーム」を応用して、ソーシャルエンジニアリングをはじめとする内部不正の手口と対策を学ぶ「セキュリティ専門家 人狼」と、外部からの通報を基に遠隔操作マルウェアを見つけ、封じ込めるインシデントの初動対応をチームとして進める「Malware Containment」という2つのゲームを開発し、公開している。Malware Containmentについては、近日中にデジタル版を公開する予定だ。
こうしたゲーム学習の効果を高めるには、ただ答えを教えるのではなく、答えを見出すにはどうしたらいいかを受講者に考えさせていくファシリテーターの役割も不可欠だ。そこでJNSAではファシリテーターの育成にも取り組んでいるという。
長谷川氏は「最近ではゲーム教育もある程度定着してきた」と述べ、引き続きK-SEC、enPiT、高専機構などと連携していくとした。演習の教材として採用してもらうほか、教員向け支援も行い、楽しみながら学習効果を高められるゲーム学習をさらに広げていきたいという。
社会人にとっても有用なCTF、人材を見出し日々の業務に生かすNEC
ゲーム形式で楽しみ、競い合いながらの学習が効果を上げるのは、学生だけとは限らない。最前線でサイバーセキュリティに取り組む現役エンジニアにとっても、腕試しを行い、スキルの習得につなげるいいきっかけになっている。
その一例がNECの取り組みだ。NECでは2015年からオンライン形式のCTF「NECセキュリティスキルチャレンジ」を開催し、社内の人材発掘やスキルアップのきっかけとして活用してきた。初級、中級、上級の3つのカテゴリに分けて100問以上の問題が用意され、毎回約1000名の社員が参加してきたという。
「CTFを解くには、実際に手を動かしてゲーム感覚で取り組む必要があり、そこがスキル習得・定着に非常に効果を発揮します。また、個人の実力を可視化できる、スキルを数値化できるという意味で、セキュリティ版のTOEICと言えると思います。世の中にあるセキュリティ関連資格だけでは測りきれないスキルを計測する効果があるでしょう」(NECの小林昌史氏)
NECセキュリティスキルチャレンジのもう一つのユニークな点は、セキュリティを専門とするエンジニアだけを対象にするのではなく、広く社員全体が参加していることだ。この結果、「普通のシステムインテグレーターの部署から参加した人の中に、実はすごいセキュリティスキルを持っていた人がいたことが分かるなど、隠れた人材の発掘につながっています」(小林氏)
ただ、あくまで社内CTFということもあり、純粋にスキルを競い合う一般のCTFとは問題の難易度や狙いが異なる。「セキュリティスキルの習得につなげることが第一の目的です。このため、誰も解けないような問題にならないよう難易度を考慮したり、『これがシステム開発にどのような意味を持つのか』という解説を加えることで、普段の業務に生かせるよう工夫しています」(小林氏)
SECCON 2020 電脳会議では、学生限定の特別版「NECセキュリティスキルチャレンジ」を2時間にわたってオンライン開催した。40名以上の学生が参加し、トリビアやOS、Webアプリ、ネットワークなどの問題に挑戦したという。
問題の詳細はネタバレになるので紹介しないが、解き進めることによって、「JPEG形式の画像ファイルには画像の作成者やカメラの情報を埋め込むことができるため、SNSなどにアップロードする際には不要な情報が含まれていないか注意する必要がある」「Webサーバに送られるブラウザの情報は、実は、ブラウザの標準機能やローカルプロキシツールを用いれば容易に改ざんすることができる」といった、セキュリティに関するさまざまな知識、気付きを得られるようになっている。
「今回の取り組みをきっかけに、セキュリティのスキルアップやセキュリティ、CTFへの興味、関心の高まりにつながればうれしいです」とNECの山崎泉樹氏は述べている。