はじめに
みなさん、こんにちは。教育ソリューション担当の木田、斎藤、岡田です。
2024年8月8日に長崎大学情報データ科学部の小林研究室・荒井研究室所属の学生に向けて「ハードニング演習」の講義を行いました。
本記事では、その様子や具体的な実施内容、感想を紹介します。
講義の概要
ハードニングとは脆弱性を減らすことでシステムを堅牢にすることです。
今回は、演習を通してその手法を実践的に学ぶ講義を長崎大学キャンパス内にて行いました。メイン講師は木田が担当し、サブ講師は斎藤、岡田が務めました。また、演習に先立ち、ハードニングに必要な知識を付けてもらうための「ハードニング座学編」として全6回の講義をリモートで行いました。
ハードニング演習中は、座学編で得た知識を活かしつつ、学生同士で話し合いながら試行錯誤を繰り返し、積極的に取り組んでいました。
実施内容
座学編(全6回リモート)
座学編ではハードニング競技で使う知識を中心に扱いました。最初はITサービスやLAMP構成、各プロトコルの基礎知識を説明しました。その後、攻撃者の行動への理解を深めるためにNmapスキャンやブルートフォース攻撃、プラットフォームの脆弱性、SQLインジェクションなどのWebアプリケーションの脆弱性について、ハンズオンを交えながら学習してもらいました。最後の第6回ではオープンソースのIDSであるSuricataを用いたアラートログの分析方法を紹介しました。
演習編(オンサイト)
演習編では、システムを守る技術を身に着けてもらうことを目標に実施しました。学生を4人程度の班に分けて、ハードニング競技を行いました。仮想環境に構築されたWebサーバに対して行われる攻撃をログ分析などから見抜いて対策を行う演習です。攻撃結果とWebサイトの稼働状況をもとに1分ごとにスコアがつけられていきます。
今回の講義では作戦会議からハードニング競技、振り返りまでの1サイクル約60分を4回繰りかえしました。1サイクルごとに環境はリセットされ各サイクルでスコアが算出されます。各回の経験を活かしながらより高いスコアを目指して取り組んでもらいました。まず、1サイクル目は、ログを見ることに集中してどのような攻撃が来るかを把握していただき、2回目、3回目は攻撃に対する対策を各班で考えながら行っていただきました。4回目を行う前には、行われる攻撃とその対策方法を解説し、最後は解説をもとにログの確認と対策をしてもらいました。回数を重ねるごとに、より多くのハードニング手法に取り組むことができており、ほぼ全てのチームで競技スコアの向上が見られる結果となりました。スコアが伸び悩んだチームについても積極的に試行錯誤しており、多くの堅牢化手法に取り組むことができていました。
感想
今回、座学編と演習編の両方で学生にはハンズオンや演習を通して実際に手を動かしながら、攻撃やその対策を学んでもらいました。オンサイトで講義を行った際には、質問をしたり、学生同士で相談し合いながら、熱心に取り組む様子が印象に残っています。
ハードニングは幅広い知識が必要なため、初学者にとっては少し難しい内容ではありましたが、講義後のアンケートでは「座学と演習を通して楽しみながら知識を深めることができて非常に満足です。」「初学者にも分かりやすく、ハンズオンを含めて講義をして頂けたため非常に意欲的に学ぶことが出来ました。また、対面での演習についても、実施環境を整えて頂けたことや演習中の質問にも答えて頂き、非常に楽しく学ぶことが出来ました。」といったポジティブな感想をたくさん頂き、大変嬉しく思います。これをきっかけに、セキュリティに興味を持つ学生が少しでも増えてくれたら良いなと思います。
最後に、このような貴重な機会を設けてくださった長崎大学の小林先生や荒井先生をはじめとする先生方には心より感謝申し上げます。
エヌ・エフ・ラボラトリーズが提供している研修にご興味をお持ちの方は、以下の窓口からお問い合わせください。
エヌ・エフ・ラボラトリーズ 問い合わせ窓口
