2024年07月22日

女子大学でハッキング体験~出張ワークショップ『セキュリティ脆弱性診断ハンズオン演習』編~

イベント
女子大学でハッキング体験~出張ワークショップ『セキュリティ脆弱性診断ハンズオン演習』編~

こんにちは。ザーサイです。

駅や建物から外に出た途端に汗が噴き出すような季節になりましたね。
そんな7月に、ラックサイバーリンク(以下LCL)は大学へ出張ワークショップをしに行ってきました。

前回は東海大学でした
が、今回は日本女子大学での開催となります。

ワークショップの画像

▲一限(09:00~)なのにこの出席率・・・学生の期待も高そうでこちらもヤル気になります

数物情報科学科の先生とのコラボで、授業の一環として約30名の学生さんたちに『ホワイトハッカーの業務体験』をして貰いました。

ホワイトハッカーの業務体験とは

セキュリティ業界の専門用語では『脆弱性診断』といいます。

脆弱性(ぜいじゃくせい)とは、「もろくて弱い性質」という意味の言葉です。Webサイトやシステムに脆弱性があるという事は、何かのはずみで起きてはならないセキュリティ上の不具合が起きてしまう可能性があるということです。情報漏洩事件やサイバー犯罪の原因は何らかの脆弱性によるものも多いです。

つまり脆弱性診断とは、そういった事件や事故のリスク対策をする為に、Webサイトやシステムのもろくて弱い部分を見つけ出す仕事なんです。

LCLが提供している主力サービスのひとつ"SCUVA"は、まさにこの脆弱性診断のことです。

安全な環境でのハンズオン演習

脆弱性診断をするという事は、サイバー犯罪者の気持ちになって、普通の人ならやらないような不正アクセスを試みたり、システムの不具合を誘発するような操作を試したりするわけですから、これを実在のWebサイトやアプリケーションに対して行うのは犯罪行為になりかねません。

ですから今回の体験では、予めLCLが用意をしておいたダメサイト(あえて脆弱性を複数仕込んだ簡易的なサイト)を使いました。これならいくら攻撃しても、最悪ぶっ壊してしまっても、教材ですから問題ありません。

脆弱性診断部門に配属されたLCLの新人も、まずはこのような疑似的な環境でトレーニングをします。

このようにセキュリティエンジニアというのは、ともすると犯罪の手口を学んで防御策を講じるプロですから、人材要件として社会的なモラルというのはかなり重要です。

ワークショップの画像

▲みんなで和気あいあいと、楽しそうに‟ハッキング”をしています(笑)

とても専門的な知識が必要かと思われるかも知れませんが、そうとも限りません。

例えばログインする為のIDやパスワードですが、当然赤の他人にバレたくない筈ですから、あまりに単調なパスワードを設定するのは望ましくありません。

ですがこのダメサイトは、「1234」とか「abc」なども設定できてしまいます。これも立派な脆弱性。このようなパスワードポリシーが甘いWebサイトは、いつか不正アクセスや情報漏洩を起こしてしまう危険性がありますので、何らかの対策をすべきだと指摘をしなければなりません。

このように、一般人がインターネット上のサービスを使う際に不安になる場面が想像できるなら、十分にホワイトハッカーの素質はあると言えます。

ワークショップの画像

▲経験者向けにXSSやSQLインジェクション等の脆弱性も勿論仕込んでいます

脆弱性診断のそもそもの目的を考える

一通りの診断を終えたら、アウトプットとして報告書を作成します。実はこれが結構重要。

脆弱性を診断すること自体は手段であって、大事なのは「その原因は何なのか」「放っておくとどんな危険があるのか」「それを直す手立てはあるのか」を、お客様と考えることです。

セキュリティ対策というのは、お金がかかるものです。企業にとってお金を使うという事はちゃんと判断しないといけないし、お金をかけただけの効果も検証しないといけません。

Webサイトも人が作ったものですから、どこかにリスクが潜むのは当然です。

リスクといっても致命的にマズいものや許容できる軽微なものまで様々ですから、お客様側の考えとをちゃんと擦り合わせることも、セキュリティエンジニアの重要な仕事です。

ワークショップの画像

▲実際の仕事でも、こうやってお客様に説明をしたり対策の相談に乗ったりするのです

この体験は、LCLに来れば誰でもできる?!

今回日本女子大学の学生さんたちに好評だったホワイトハッカー体験ですが、今夏の1dayインターンとしてLCL本社で開催しますので、ご興味をもたれた学生さんは誰でも参加することができます!

当日はLCLの現役エンジニアも皆さんのサポート役で参加します。お昼は皆で一緒にお弁当を食べながらのランチセッションも予定しています。カジュアルに1日を通してたくさん交流を図りましょう!

日時:8月14日(水) 10:00~17:00

場所:株式会社ラックサイバーリンク本社

イベント詳細・参加エントリーフォームは↓コチラ↓

https://public.n-ats.hrmos.co/lac-cyberlink/events/2011697815110897664

ワークショップの画像

▲昨年実施した1dayインターンも多くの方にご参加いただき、とても好評でした

関連記事