【レポート】

セキュリティキャンプ 2004 - 最終日プレゼン「200万円で校内LANを構築!?」他

 

セキュリティキャンプ・最終日に行われたのが、今回参加した学生30人が5人ずつのグループに分かれて行ったグループ討論の結果を発表するプレゼンテーション。果たして現役の学生達は、それぞれに与えられたセキュリティに関するテーマについてどのような結論を発表するのかという点に注目が集まったが、あくまで筆者がプレゼンテーションを見学した感想としては、プレゼン結果は「学生にとって身近なテーマを選んだグループほど完成度が高い」という形となり、テーマ選択によって大きく明暗が分かれた形となった。

学生自身の手による学校インターネットの利用規則とは?

最優秀賞を獲得したDグループは「学校ネットワークにおける(学生向けの)利用の手引き」というテーマを選択。具体的にはある架空の高校を舞台に、学生からの要望やセキュリティ、教師側の指摘などを考慮し、学生自身の手でユーザ向けの利用規則やセキュリティポリシーを考えてみようという発表だ。

生徒の考えた利用規則案の概要(1)。

利用規則案の概要(2)。

ところがおもしろかったのは、そのような形で考案された利用規則案は結局「ソフトの追加インストールには事前に書面で許可を得ること」「共有PCでのWebメールは成りすましの危険が高いのに加え、httpsを使われるとメールの発信内容を管理できないので全面禁止」「一部サイトについてはPOSTメソッドによるアクセスのみ禁止とする」「Instant MessengerやIRC・P2Pソフトなどは利用禁止」など、意外にも教師側やセキュリティの専門家が考える内容に近いものとなったこと。これには講師陣からも「意外と厳しい内容となったことに驚いている」との声が上がった。

もちろん「プリンタの利用は枚数制限付きで許可すべき」「外部メディアの持ち込みはアンチウイルスソフトを端末にインストールしておけば問題は起きないはず」「Web閲覧におけるURLフィルタリングはある程度はやむを得ないと思うが、そのフィルタのためのリストは教師側ではなく生徒自身で管理する」など、中には生徒側の要望を反映したと思われるポイントもいくつも存在するのだが、それでも案外行儀の良い規則案になったことには変わりはない。規則を破った際の罰則についても「その程度に応じて違反者の氏名公開やアカウントの利用停止を行うべきだし、違法行為を行った場合はそれ以上の処分も考えられる」という。

質疑応答では「一般生徒向けの規則なら『POSTメソッドは禁止』とかいう書き方では理解してもらえない」「規則を定期的に見直すようなスキームや、緊急に見直しが必要になったときのための手順を入れておくべきではないか」といった指摘もあったが、概ね完成度は高く、講師陣も「これを元に(今回キャンプに参加した)30人のコミュニティでぜひ手引きを完成させて欲しい」と期待を寄せていた。

200万円で高校の校内LANを構築できる!?

筆者が個人的におもしろいと思ったのは、Eグループによる「田舎の貧乏私立高校で校内LANを構築する」という発表。これは生徒数200人程度のとある田舎の私立高校を舞台に、生徒1人当たり1万円の寄付金を募り、計200万円の予算でPCなどの購入費用も含めて校内LANを構築してしまおうというアイデアだ。

予算節約のため、サーバ・クライアントともに端末は全て同一スペックのものを購入することとし(CRT込みで予算は1台5万円を想定)、ケーブル類は生ケーブルを購入して自分達でコネクタ付けを行う、OSはFedora Core 2を使ってライセンス料を浮かすなど、可能な限り予算を切り詰めることで、外部接続用のADSLの費用も含めて何とか200万円の範囲で収まるのではないか、というのが学生たちの試算結果だ。

ネットワーク構築費用の見積り(1)。

見積り(2)。

見積り(3)。

ただしこの試算結果にはネットワーク構築やPCの初期設定などに必要な人件費が含まれていないほか(これは学生達も気づいていた)、ケーブル配線に必要な配管などの工事費が全く含まれていない、システムのカットオーバー後の運用コストが全く見積もられていないなどの問題がある。

ちなみに会場からは「システム構築は学生がやり、教師側には運用マニュアルを作成して渡すとのことだが、それでは障害発生時の責任の所在があいまいになりはしないか」との指摘や、「外向けと内向けのファイアウォールを1台で兼用するのは危険」「せめて教師側のネットワークにはL3スイッチによるハードウェアルーティングを入れないと使い物にならないのでは」といった意見も続出し、実際に今回の試算結果でネットワークを構築するのは非現実的という結論に落ち着いたが…。

身近にないテーマを選んだグループはいずれも苦戦

上記の2グループの発表は、いずれも学生にとって身近な学校内のネットワークを舞台としているために具体的な問題点などをイメージしやすかったのか、なかなか完成度が高かったが、それ以外のグループについては普段あまり身近ではないテーマを選択したためか、論点がぼやけてしまったり、結論が不完全燃焼に終わってしまうケースが多々見られた。

例えばAグループが選択した「サーバ管理者のためのセキュリティ対策のガイドラインを構築する」というテーマでは、講師陣から「それは単なる事例紹介であってガイドラインではない」「ユーザ向けのガイドラインと管理者向けのガイドラインがごっちゃになってしまっている」など厳しい突込みが相次いだし、Bグループの「個人情報とWebアプリケーション」というテーマでは、個人情報保護法が保護対象とする「個人情報」といわゆる「プライバシー」概念で保護される情報が異なる点を無視してしまっている点や、通信経路上での情報漏れを防ぐための暗号化にばかり眼が行ってしまい、サーバ上に格納された個人データをいかに守るかという視点が欠けている点など、現場経験不足により肝心な論点を見逃してしまうケースが多々見られた。

ただ一方で、Aグループはamazon.co.jpにおけるコンピュータ関連書籍の取り扱い点数に対する情報セキュリティ関連書籍の割合(といっても「情報セキュリティ」をキーワードに検索をかけただけだそうだが…)が低いことを理由に「日本での情報セキュリティに関する出版点数が少なすぎる」と指摘したし、「Webアプリのセキュリティ向上」をテーマに選択したCグループは「産学官の連携により、Webアプリケーションファイアウォールや、セキュリティを考慮したWebアプリ用ライブラリなどを開発すべき」と提言するなど、なかなか鋭い指摘も一部見られた。

とはいえ、今回はわずか6時間半という時間内で議論を取りまとめてプレゼン資料の作成までを行わなければならないという非常に厳しい条件だったことを考えると、その中でプレゼンの完成度を問うのはそもそも筋違いかもしれない。むしろ今回の議論をいい糧として、今後セキュリティ分野でより成長して行くためのきっかけにつなげることが、参加した学生達には求められるだろう。

来年以降も趣向を変えて継続開催したい

この後昼食休憩を挟んで閉講式が行われたが、主催者側からは来年以降も同キャンプを続けて行くという強い意気込みが語られた。まず、このイベントのきっかけとなった昨年の「セキュリティ甲子園」構想、そして今回のキャンプの事実上の仕掛け人とも言える、経済産業省・商務情報政策局情報処理振興課の久米孝課長補佐は「この分野は簡単に答えが出る分野ではないし、そもそも答えは1つではない」「我々(官僚)が皆さんよりレベルが上かといえば、技術の理解が必要な分実は下かもしれない」として、参加者が今後セキュリティ分野で積極的に活躍することに期待する姿勢を示した上で、「来年以降も引き続きこのキャンプを開催したい」と力強く宣言した。

閉講式の模様。

久米孝氏。

三輪信雄氏。

またラックの三輪信雄社長(セキュリティキャンプ実行委員長)は「今回のキャンプは僕らにとってもカルチャーショックだった」「事前の議論では『学生にプレゼンなんてできないんじゃないか』という意見もあったが、今日のプレゼンは社会人と同レベル」と、学生の予想以上のレベルの高さに驚きを隠さなかった。その上で「この種のイベントはどれだけ続けられるかが勝負であり、毎年趣向をこらして内容も変えていきたい」と語ったほか、「3年後には今度こそ『ハッカー甲子園』をやりたい」「学生同士による単なる攻撃・防御というモデルではなく、設定内容をプロの目でチェックするといったことが必要」との意向も示していた。

参加者からも今回のキャンプについて「楽しかった」「同じような仲間と出会えてよかった」など非常に肯定的な意見が相次ぎ、早速参加者によるOB会を作ることが決定するなど、どうやら今回のキャンプは大成功に終わったと言えそうだ。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

フォントにそれで大丈夫? イチから学ぶWebフォント講座 第1回 文字とは、書体とは、フォントとは
[08:00 10/1] 企業IT
松本人志『ワイドナショー』原点語る「たたかれた芸能人をフォローできる番組に」
[08:00 10/1] エンタメ
コントロールセンターを表示すると微妙に振動します!? - いまさら聞けないiPhoneのなぜ
[08:00 10/1] スマホとデジタル家電
部屋中の家電をこれ1台で操作 - ソニーの「HUIS」は"育てる"リモコンだった
[08:00 10/1] スマホとデジタル家電
鉄道トリビア 第373回 2つの列車の運転士が同じ名前という理由で起きた大事故がある
[07:50 10/1] ホビー

求人情報