この十年あまり、あちこちでセキュリティ人材不足が指摘されながら、なかなかその解決の糸口は見えない。そもそもセキュリティ人材とは育成可能なものなのかという問題はさておき、学校で、コミュニティで、また職場でと、セキュリティ技術の楽しさ、奥深さを知り、仲間を増やすためのさまざまな模索が続いている。
さて、セキュリティに限らず技術とは、座学で一方的に話を聞くだけで、使いこなすことができるものだろうか。実際に手を動かし、チャレンジを乗り越えながら技術本来の楽しみを知ってもらうきっかけとして注目したいのが、「CTF」をはじめとするゲーム的な要素を取り入れた教育だ。例えばCTFは複数の参加者が競い合うことで、一人で学習するときよりも高いモチベーションで知識とスキルを深めていく場として機能している。
国内最大級のCTF大会「SECCON」の関連イベントとして開催された「SECCON 2020 電脳会議」では、CTFやゲーム的な要素を活用してセキュリティ人材の発掘・育成を進める国内外の取り組みが紹介された。
セキュリティ道場で修行を積み、CTFの世界へ
ーー「pwn.college」の狙い
世界最高峰の大会と呼ばれる「DEFCON CTF」をはじめ、日本も含め世界各国でさまざまなレベル、テーマのCTF大会が開催されている。
そこで素晴らしい活躍を見せる人がいる一方で、中にはいざ参加してみたものの全く歯が立たずに終わってしまった経験を持つ方もいるだろう。その悔しさをバネにもっと勉強したいと思っても、具体的に何をどう解き進めればいいのか、何を知る必要があるのか、手がかりすら分からず悩んでしまうケースも少なくないはずだ。
pwn.collegeは、そんな初心者が挫折することなく解き方を学ぶことができる学習プラットフォームだ。その開発者である、ZardusことYan Shoshitaishvili氏(アリゾナ州立大学准教授)と、アリゾナ州立大学博士課程に所属するkanakことConnor Nelson氏が登場し、pwn.collegeの狙いを紹介した。
Zardus氏はこの仕組みを「バイナリ分析のためのサイバーセキュリティ道場」だと表現した。
CTFプレイヤーであり、またDEFCON CTFのオーガナイザー「Ooverflow」のリーダーでもあるZardus氏は、セキュリティ教育に携わる立場として、既存の教育方法は典型的なレベルの学生にとって帯に短し襷に長しだという思いを抱いていたそうだ。
たとえば、座学で「バッファオーバーフローとはこういうものです」と教えて終わりの講義形式の学習では物足りないし、その先の探求にはなかなかつながらない。かといって、チームを組んでCTFに参加するよう促しても、「セキュリティを理解していないプレイヤーは何も達成することができず、フラストレーションの元になってしまいます」(Zardus氏)という。実際に手を動かしながら学ぶ演習形式の学習も、よほどモチベーションや実力がない限り、それ以上追求されることなく終わってしまうという。
そこで思いついたのが、CTFを武道のように学ぶというコンセプトだ。映画「ベスト・キッド」で主人公が学ぶ空手のように、まず白帯から始めて徐々にスキルアップし、最終的にはDEFCON CTFやPwn2Ownで成果を出せる黒帯レベルの達人を目指していく。
pwn.collegeでは、簡単なものから用意された課題(チャレンジ)を解き進め、シェルコード、サンドボックス、リバースエンジニアリングといったモジュールごとに理解を深め、繰り返し学習していく。そして、ゆるやかな学習曲線を描きながら、最終的にはカーネルエクスプロイトを行えるレベルまで到達すべく導いていく。問題を解いて帯を取得した学生の名前は、ちょうど道場の壁に有段者の名前が張り出されるようにWebに表示され、モチベーションを高める一助となる。
「本当の意味でセキュリティをマスターする方法は、ただ講義を聞いて基本的な事柄を理解するだけでなく、課題に取り組んでそれぞれのコンセプトを深く探索していくことだと思います」(Zardus氏)
セキュリティの学習には、映画に出てきたワックスがけの修行と同じように、地道な鍛錬の積み重ねが必要だし、前提となるOSやネットワーク、コンピュータサイエンスに関する知識も必要だ。そのためpwn.collegeではガイダンスやYouTubeの解説動画を用意している。また、バッファオーバーフローひとつとっても、少しずつバッファサイズが異なる課題を用意して、学生が繰り返し考え、試行錯誤し、学習できる工夫を凝らしている。こうして何度も問題を解いていくうちに「夢の中でもバッファオーバーフローを起こせるようにしていきたい」(Zardus氏)そうだ。
さらに、学生ごとに異なる課題を出すことで、「この問題の答え、教えてよ」とチートする代わりに、それぞれの知見を共有して解決に近づいていくコラボレーションそのものを体感できるようにした。また、エクスプロイトに成功しなければフラグが得られない「リアルモード」に加え、ルート権限があり、より多くの情報を得られるが、偽のフラグもある「プラクティスモード」を用意し、試行錯誤しながらチャレンジの解決に必要な知識を得られるようにした。
同氏はアリゾナ州立大学の4年次の学生を対象に、このプラットフォームを用いた講義を実施した。「最初はx86のアセンブリも見たことがなく、バッファとは何かすら分からなかった学生たちは、pwn.collegeを経験して問題に取り組むことができるようになりました。アリゾナ州立大学では今、3つのCTFチームが結成され、より高度なCTFに取り組んでいます」といい、そのことを非常にうれしく、誇りに思うという。
ともに開発に取り組んだkanak氏は、「私自身も、ラボの先生が用意したCTFをきっかけにコンピュータセキュリティに夢中になりました」と振り返った。
「なぜなら、CTFのコンテストはとても大変だけれど、それ以上にとても楽しいからです。スコアボードの一番上に行きたいという思いが学習の動機付けになり、深くコンセプトを理解できます。それも、競争しながら学ぶことができることが醍醐味です」とkanak氏。CTFに匹敵する学習アプローチはないのではないかと実感しているそうだ。
pwn.collegeはインターネットで全世界に公開されており、教育機関ならばCCライセンスの元で、サイバーセキュリティの教育コースとして無償で利用できる。またZardus氏は今後、pwn.collegeをバイナリ解析だけでなく、Webセキュリティや暗号、フォレンジックといった別の領域にも広げ、同じような道場スタイルで学べるようにしていきたいという。一部はオープンソースとなっており、コラボレーションも歓迎するそうだ。
講演を受けて九州大学教授の小出洋氏が、日本でもサイバーセキュリティ教育コースの仕上げにCTFを実施する例があることに触れると、Zardus氏は「アメリカでは、ニューイングランドを除けばあまり地域別のCTFが開催されていません。日本では多数のCTFコンテストが開催されているのはユニークで、素晴らしいことだ」とコメントした。
新型コロナウイルスの影響について尋ねられると、アリゾナ州立大学の講義自体がオンライン化、バーチャル化したことを説明し、さらに次のように述べた。
「逆境をどう乗り越えるかは、まさにCTFのコンセプトでもあります。われわれは逆境の中でどう学び、スキルアップするかというチャレンジを与えられ、フルオンラインでコンピュータセキュリティの学習システムを実現する方法で解決しました。YouTubeやTwich、Discordといったプラットフォームを活用し、環境に適合して逆境を乗り越えることができました」(Zardus氏)
最後にZardus氏は「コロナ禍はチャレンジでしたが、それによってイノベーションが生まれ、受講人数制限のない講義や全世界に開かれたチャレンジ環境を実現しました。いわば『サイバーセキュリティ教育の民主化』であり、これはコロナ収束後も続いていきます」と力強く宣言した。
そして、アーサー・C・クラークの「発達した科学技術は、魔法と見分けが付かない」という言葉を思い起こさせるように、「知らなければ魔法のように見える事柄も、それがどのように機能するかを理解すれば魔法ではなくなる」と述べ、関連する領域を含め、サイバーセキュリティへの理解を深めていってほしいとした。