2009年6月16日

三輪信雄＝Ｓ＆Ｊコンサルティング 代表取締役

• Tweet
• 
• 
• 

　今年も白浜シンポジウムで開催した情報危機管理コンテストが終わりました。白浜シンポジウムは、正式には「サイバー犯罪に関する白浜シンポジウム」といいます。今年で13回目を迎えました。その中で「情報危機管理コンテスト」は4回目でした。

　この情報危機管理コンテストは、大学ごとのチームで、コンピュータインシデントに対する対応能力を競うもので、審査委員会でそれぞれの賞が決められます。

　今年の課題は昨年からさらにレベルが上がっており、出場校を悩ませたようです。例えば、「SQLインジェクション※で侵入されたサーバーから個人情報が漏洩（ろうえい）し、会員掲示板に貼り付けられてネットで炎上」というシナリオが一度にではなく、進行に合わせて次々とコントロールセンターから繰り出されるのです。出場校は、技術的な対応だけでなく、顧客からのクレーム、自社のCEOへの報告・相談などを次々とこなさなければいけません。高い技術力とともにチーム内のコミュニケーション、組織内コミュニケーション、対外コミュニケーションなどが同時に試されることになります。

※編集部注：意図しないSQL文をデータベースに流し込み、データベース内の情報を盗んだり破壊したりする攻撃手法。ユーザーが入力したデータをWebアプリケーションでチェックしていない脆弱性に起因することが多い。

　例えば、SQLインジェクションによる被害が明らかであったとしても、直ちにサーバーを停止することもできませんし、会員掲示板に顧客の個人情報がさらされているからといって、ただちにデータをすべて削除することもままなりません。

　また、支社の無線LANのWEPのパスワードが破られて、そこからの侵入と有料サイトへのアクセス、そしてその有料サイトからの利用料金請求に対応する本社スタッフというシナリオでは、組織をまたいで調査・対応するためのコミュニケーション能力や原因を離れた組織における技術的な原因の追及、臨時対応、恒久的な対策の提案など、幅広いスキルが問われました。

　これら複数のシナリオを数人の学生チームがたった1日でこなさなければいけないわけですから、普通に考えると「素人に無理だよ、そんなの」と言われるところですが、現実として出場した学生たちは着々とこなしていくのです。これは我々の想像を超えた実力と言わざるを得ません。

　これだけのことができる学生たちは、即戦力として企業で働くことができるといっても過言ではありません。

　一方、これだけのコンテストのシナリオを作成、実施できる和歌山大学の存在も非常に大きいのです。次々と課題を繰り出すための準備としてのシナリオ作成、学生の行動を予測したフローチャート作成、技術的な検証を何度も繰り返し、同一人物がCEOやクレーマーの役割を電話やメールでこなす演出、同大学の和泉先生の指導の下、これらすべてを学生自身が作成・実行しているのです。この他にも運営委員の熱意と支援によりこのコンテストは実現されています。

　コンテストのための設備は900kgにもなり、それをわずか数日で構築して撤収してしまうのです。試験問題というのは解くよりも出題する方がはるかに高いレベルが要求されるわけですから、この和歌山大学の実力も相当なレベルにあるものと思われます。

　危機管理コンテストを通じて、優秀な技術者やマネージャの輩出ができていることが評価され、今年から最優秀チームに「経済産業大臣賞」が贈呈されることになりました。今年はカーネギーメロン大学日本校チームが受賞しました。

　出場した他のチームにもそれぞれ賞と今後のアドバイスが与えられました。来年は更に予選の規模を拡大して行い、より広く人材育成に寄与すべく関係者により議論が行われました。

　白浜というリゾート地で行われる、日常からはなれた環境でのこのシンポジウムは、情報セキュリティのインフラ化を背景に今後も永く続いていってほしいと願っております。

連載目次（新着順）

• （最終回）これからの企業におけるセキュリティ対策はこう変わる
• セキュリティポリシー、分厚い規定集から平易なマニュアルへ
• 「情報漏洩の形跡が見当たらない」は「情報漏洩がない」ではない
• グローバル企業のWebサイトを守るのが困難に
• ソニーの情報漏洩に悪用されたSQLインジェクションとは

 目次一覧へ

関連記事

検索中

SQLインジェクション

column_LEAF

1010959

キーワード

SQLインジェクション

デュアルディスプレイで快適な仕事環境を構築