NFLabs. エンジニアブログ

セキュリティやソフトウェア開発に関する情報を発信する技術者向けのブログです。

今年も愛媛大学にて出張講義を実施してきました!

愛媛大学 サイバーセキュリティ セキュリティ人材育成

みなさん、こんにちは。教育ソリューション担当の亀岡、三村です。
昨年、愛媛大学で実施したセキュリティの出張講義が好評で、今年も攻撃者目線でのセキュリティを学ぶ重要性やセキュリティの魅力を広めるべく、11月22日に愛媛大学の学生に向けて「Offensive Security入門」の講義を実施しました。

背景の進展

昨年度と同様、セキュリティ人材の発掘と育成を目的に攻撃者目線でのセキュリティを学ぶ重要性やセキュリティの魅力をお伝えしました。本件以外にも新たに長崎大学で講義を実施したり(長崎大学の学生にマルウェア解析の講義を行いました - NFLabs. エンジニアブログ)、高専や大学のみならず小学生向けの授業(長崎県長与町の小学生の親子向けにセキュリティの授業を実施してきました - NFLabs. エンジニアブログ)や学生CTFイベントを展開し、セキュリティに対する理解をより広めています。

実施内容

昨年度は概要のみの説明だったので、講義内容についてもう少し詳しく紹介したいと思います。

座学編

座学編では主に次の3点について取り上げています。

  1. Offensive Securityとは?
  2. 攻撃者目線で考えるメリット
  3. Offensive Securityを考える上で重要なこと

「Offensive Securityとは?」や「攻撃者目線で考えるメリット」では、今回の授業の目的や攻撃者目線でセキュリティを考える意義を説明しています。また、メリットでは、システム管理者やCISRT・SOC、攻撃者の視点からひも解いています。
「Offensive Securityを考える上で重要なこと」では、5つの攻撃の要因「なぜ・誰が・誰を・何を・どのように」から深堀を行い、攻撃者を分析しています。抽象的な話のみならず、実際のサイバー攻撃の事例を踏まえつつ説明します。

ハンズオン編

まず初めに「許可された環境以外では絶対に行わない」「防御に生かすために知識を使うこと」などの注意点を厳重に確認しています。
ハンズオンでは、仮想環境内に標的のやられサーバを構築し、Unified Kill ChainのIn(Initial Foothold)のフェーズを実施しています。
www.unifiedkillchain.com
5つのTactics「Revconnaissance」、「Weaponization」、「Delivery」、「Exploitation」、「Command&Control」を経て、標的サーバに対する情報収集から制御を取得する初期侵入までを体験できます。具体的には、やられサーバにスキャンを行い、その結果を踏まえてWebサイトに存在する脆弱性を発見し、その脆弱性を悪用してリバースシェルを確立させます。
最後にはハンズオンの結果からやられサーバを攻撃者目線で評価し、どうすればよかったのかなどの改善点を考えます。

様子

今年も任意のハンズオンがあり、学生各自のPCの環境準備をお願いしていたのですが、当日にたくさんの方がPC準備いただいており、学生たちの講義への積極的な参加が非常にありがたかったです。実際に実施後のアンケートからも「ハンズオンのおかげで、説明が非常にわかりやすかった・楽しく学習できた。」というコメントが多く、手を動かすことで理解度が深まり、楽しい学習経験も得られたと思います。些細な困りごとなどは隣の学生同士で相談して解決する姿なども見え、教えることで学びが深まり、知識を共有しながら成長していく姿勢が非常に良かったです。
また、コロナウイルスに感染し、受講できなかった方から「確認問題、授業資料を通してOffensive Securityの考え方を自分のPCで再現しながら学ぶことができた。」というコメントがあり非常に驚きました。
ほかにも最後に会社説明をさせていただいたこともあり「セキュリティの会社では実際どんなことを行っているのか知ることができた。」というコメントがあり、セキュリティの業務とともにNFLabs.について知っていただくこともできました。

感想

普段の業務ではリモート開催かつ規模が10~30人くらいのため、大勢の前での話す機会は改めて非常に良い経験になりました。昨年度は初めに少し緊張したことを覚えていますが、今年は初めからエンジン全開で楽しく講義を実施することができ、自身の成長も実感できました。
授業後にも何人かの学生と少しお話しすることもでき、「授業以外でもハンズオンのようなことを学びたい。」という話からセキュリティトレーニングのプラットフォームについてお話したり、授業内容を理解できているかの確認テストへの質問回答などを行いました。アンケート結果だけでなく、こうして学生たちがセキュリティに興味を持っている姿に触れ、講師心が満たされる瞬間でした。
今回の授業が、学生の皆さんにとってセキュリティに対する探求心を呼び覚ますきっかけとなり、将来のキャリアや学びにおいて新たな一歩となればと思っています。私自身はこの思いを胸に、これからも自身のスキル向上に努め、普段の業務を含め価値ある講義を提供できるよう尽力してまいりたいと思います。