オンラインを活かすセキュリティ人材育成

オンラインを活かすセキュリティ人材育成園田道夫

Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT) ナショナルサイバートレーニングセンターセンター長 •
https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://colosseo.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • 中央大学理工学研究所客員研究員 • 大阪大学非常勤講師 2

Who am I ? • SECCON実行委員(事務局長) • https://www.seccon.jp/2019/seccon/executivecommittee.html • SecHack365主催・トレーナー
• https://sechack365.nict.go.jp/ • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催＆プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • Hack in the box, Review Board • https://cfp.hackinthebox.org/ 3

Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo
2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html 4

主な関係コンテンツ • 監訳：｢ブラウザハック｣,｢ファジング｣, ｢ハニーネットプロジェクト｣,｢実践パケット解析第一版｣ • 翻訳：｢実用SSH第二版｣,｢暗号技術大全｣,｢ Snort2.0侵入検知」 • 著作：｢アクセス探偵IHARA ｣,
｣,｢Winnyはなぜ破られたのか｣, ｢アクセスガール明日香危機一髪｣, ｢企業情報ネットワークの保護管理｣他 • Web連載：｢にわか管理者奮闘記シリーズ｣ • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns 5

研究関係 • 数理モデル的な･･･ • 攻撃検知(分類) • 学習効果の可視化、スキルの可視化 • 設問評価(数学,CTFなど)、設問自動作成 •
デマ検知 • 目grepによる攻撃検知 • 他多数 6

Stay Home, Stay Safe 7

オンラインコミュニケーションの特徴 • 会議用システム • 順番に喋る→スピードが落ちる • ノンバーバル部分の情報量が落ちる 8 ノンバーバルコミュニケーション（非言語的コミュニケーション）とは、言葉によらないコミュニケーションのことで、顔の表情、顔色、
視線、身振り、手振り、体の姿勢、相手との物理的な距離の置き方などのこと。これらの要素によって伝わる情報の量はかなりの割合を占めると言われている。

足りないところを補うには？ • 音質向上という対策 • 良いマイク、良いヘッドフォンイヤフォンスピーカー • Yale-led effort yields Zoom
upgrades • https://music.yale.edu/news/yale-led-effort-yields-zoom-upgrades • 画質向上 • 良いカメラ • 会議システムの限界 • (ネットワーク性能) 9

並列チャットの可能性 • 手を上げて質問するより心理的なハードルが低い • 圧倒的に活性化する • 誰かが喋り終えるのを待つ必要が無い • ｢質問用時間｣に限定されない •
メインを録画済み動画にしたら話者本人がチャットに参加可能 • →フィードバックの量と質を大きく向上させる 10

メインを事前作成動画にする • ライブはリスキー（笑） • いろいろな魔物が棲んでいる • 品質が上がる • 編集可能 •
話者に客観視を促す • 自分の動画を視聴すると、既存動画の見方が違ってくる • (1.25)倍速で客観視を加速 • デメリットはライブ発表の経験値の機会損失くらい？ • どのくらいのインパクトがあるのか、人生スパンでは不明 13

オンラインでのグループワーク • コミュニケーション効率が落ちていることを認識する • 会議システムの限界(again) • いわゆる｢会議システム｣じゃないものを選ぶ • discord •
Slack 14

15 https://discord.com/

16 https://discord.com/

グループワークの工夫 • みんなでひと言チェックインとチェックアウト • 共同作業で勝手にアイスブレイキング • モデレーターは任命 • 一度は顔を出そう •
急に｢今日は顔を出そう｣とやらないこと • (音質が良い前提で)少人数グループで会話 • サポートはチャットメインで 17

グループワークもう一工夫 • グループで当たる課題の工夫 • 社会的に未解決の課題など、検索で答えに到達できない課題 • Capture The Flag(CTF) •
環境などの変化をプロトコルにしてみる • 人間はパターン認識に優れている人も多く、すぐ飽きる • メタな予想を裏切る刺激で集中力を上げる • メインは会議システムでもチャットやQAシステムを別立てでやってみる 18

22 注：現在は開催されていません

グループワークもう一工夫 • コラボレーションのためにgithubなどをいよいよ使いこなしていく必要がある • ペアプログラミング、モブプログラミング的にツール使いこなしわいわい会をやってみる • 会話の坩堝や雑談を明示的に承認する •
雑談の設定 • 喋りすぎず聞きすぎない • 飲み会じゃない方が良い • 前述の｢変化｣は話題になる 23

自己研鑽企画 • 基本は人目ドリブンで教え合い話合いのある企画 • 講演や講義の動画を数人で一緒に視聴する • 動画の｢輪読会｣もアリ • もくもく会＝集まって黙々と何かをやる、人目ドリブンの作業集会
• オンラインCTF • 海外カンファレンスのトレーニングやワークショップ 24

自己研鑽企画その2 • 新しい手法や考え方について自分ならこうする(守る・攻める)というのを考える • 海外のカンファレンスや学会の発表が素材に • 日本語では無い方が良いのは、記事になっていないものが多いので日本語ベース検索で解説が見つかりにくいから＝理解することが小さなハードルになる
• 持ち寄って発表しても良い • 集団的内省は効果的(経験学習) 25

Understanding security mistakes developers make: Qualitative analysis from Build It,
Break It, Fix It • https://www.usenix.org/conference/usenixsecurity20/presentation /votipka-understanding • ｢セキュアなソフトウェア開発は、多くの可能性のある脅威と緩和策を考慮しなければならない困難な作業です。この論文では、基本的なセキュリティ経験があるにもかかわらず、プログラマがセキュリティに関連したエラーを犯す方法とその理由を調査します。これを行うために、我々は、現実世界の制約（正確性、性能、セキュリティ）を模倣するように設計された安全なプログラミングコンテストに提出された94件の参加者の詳細な分析を行いました。参加者は、安全なコードを書くことに加えて、他のチームのプログラムの脆弱性を検索するよう求められました。私たちは、6 ヶ月間の集中的な期間をかけて、反復的なオープンコーディングを用いて、提出された各プロジェクトと脆弱性（私たち自身が特定した脆弱性を含む）を手作業で、しかし体系的に特徴付けしました。脆弱性の種類、攻撃者の制御、悪用のしやすさ、プロジェクトをセキュリティ実装戦略に基づいて分類しました。その結果、いくつかのパターンが浮かび上がってきました。例えば、単純なミスが最も一般的ではなく、そのようなミスが発生したプロジェクトは 21%に過ぎませんでした。逆に、セキュリティ概念の誤解に起因する脆弱性は、78％のプロジェクトで顕著に多く見られました。この結果は、セキュアプログラミングAPI、 API文書化、脆弱性発見ツール、セキュリティ教育の改善に意味があります。 www.DeepL.com/Translator（無料版）で翻訳しました。｣ 26

EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://www.offensivecon.org/speakers/2020/aristeidis-thallas.html •
｢ハイパーバイザーは、システム仮想化のために一般的に使用されているだけでなく、実行時の攻撃からカーネルを保護するために、Androidエコシステムでも採用されています。各OEM/ベンダーは、ARMの仮想化拡張機能を採用することで、独自のハイパーバイザーを自由に実装することができます。Androidエコシステムでは、一般的に適切なデバッグやシステム検査のサポートが不足しているため、このような実装は、監査/リバース/デバッグが非常に困難でした。この状況は、OEM/ベンダーがドキュメント、ソースコード、ツールなどを公に提供しないことでさらに悪化しています。このプレゼンテーションでは、デバッグを含むエミュレートされたシステムの完全な制御をユーザに提供するQEMUの下でのプロプライエタリなハイパーバイザのエミュレーションに焦点を当てます。詳細には、ARMシステム開発と仮想化拡張に関する情報を提供し、ブートストラップとSamsung S8プロプライエタリハイパーバイザとの相互作用を可能にするために必要不可欠な機能を含むフレームワークを開発して導入した概念を紹介します。その後、この知識を発展させて、このセットアップの下でファジング機能を組み込むことを目指します。このプレゼンテーションの最後までに、聴衆/読者は、ARM仮想化拡張機能と、他のハイパーバイザーを監査/リバースし、提供された最小限のフレームワークを拡張したり、審査中のハイパーバイザーのニーズに合わせた独自の実装を行うために必要な様々なシステム要件/制約を理解していることが期待されています。www.DeepL.com/Translator （無料版）で翻訳しました。｣ 27

EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://census-labs.com/news/2020/07/22/emulating- hypervisors-a-samsung-rkp-case-study-offensivecon-2020/
• https://census-labs.com/media/athallas-offcon-2020-wide.pdf • https://www.youtube.com/watch?v=SxezUdv1whQ • http://www.phrack.org/papers/emulating_hypervisors_sam sung_rkp.html 28

自己研鑽企画例 ① Ransomware as a Service(RaaS)について対抗する手段を考えてみよう  Weakest
Linkを狙ってRansomwareを起動させてデータを人質に取る  仮想通貨(暗号資産)で身代金をいただく ② 守りが手薄な現地法人や連携先を狙う攻撃に対抗する手段を考えてみよう  その組織本体では無く、予算も無く人も居ない海外の現地法人や、レベル感の異なる連携先を狙う  システムだけでなく人も狙う 30

ティーププラクティスを意識する • 常に自分よりちょっと強い敵と戦うのが一番伸びる • 反復練習に｢ちょっと強い｣要素を入れて常にチャレンジ • ちょっとだけ速く、ちょっとだけ効率良く • CTFはディーププラクティス状態を実現しやすい仕組み •
目標としたい人を分析して、構成要素を徐々に獲得していくアプローチ • 悪口やダメな人の分析は有害なだけ 31

世界中で大流行のCTF • ctftime.orgに登録されたCTFは2014年に60、2019年は198、そして 2020年は230！ • 初心者向けCTFも増えている • kusuwadaさんのオススメの初級者向けCTF • https://tech.kusuwada.com/entry/2020/12/02/065100
• CTF Advent Calender 2020 • https://adventar.org/calendars/5338 • Bandit: Over the wire • https://overthewire.org/wargames/bandit/ • レクチャー動画も多数 • 活用例：freeCodeCampからpicoCTFのはじめの一歩！ • https://daily-postit.hatenablog.com/entry/20201214-freecodecamp-picoCTF-start 32

CTF：初級→中級の壁 • 出題傾向は多様なものからpwn系に • しかし、ハードルが高い • WriteUp（めちゃくちゃある）でお勉強 • 問題ファイル等をGETしてチャレンジしてみる •
WriteUpを見ながらなぞる • pwn.collegeがあるよ！ • SECCON 2020 電脳会議の講演動画に詳しい • https://www.youtube.com/watch?v=rc8mjqvki2Y 33

脆弱性を探すコンテスト • PWN2OWN • https://www.thezdi.com/blog/2020/3/17/welcome-to-pwn2own- 2020-the-schedule-and-live-results • https://www.zerodayinitiative.com/blog/2019/10/28/pwn2own- miami-bringing-ics-into-the-pwn2own-world •
SECCONもやってる(た) • https://2018.seccon.jp/2018/07/seccon-2018-x-cedec- challenge.html • https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html • 天府杯 • https://i.eqxiu.com/s/jG0Fs4ZG?bt=yxy&share_level=1&from_user= 2020100835b82e13&from_id=de570acd- 9&share_time=1602217487848 • https://forest.watch.impress.co.jp/docs/news/1288055.html 34

35 Team Fluoroacetate https://twitter.com/RZ_fluorescence PWN2OWN2020:$130,000 USD PWN2OWN2019:$375,000 USD(plus a vehicle(Tesla
Model 3)) Photo from https://twitter.com/thezdi/status/1109241913209556992/photo/1

脆弱性を探して賞金をもらう • 常設バグバウンティプログラムポータル • https://www.bugcrowd.com/ • https://www.hackerone.com/ • https://hackerone.com/playstation •
https://hackerone.com/nasa • →年間のCVE数は36000以上。探すパワーはまだまだ不足 • https://cve.mitre.org/data/downloads/index.html 36

まとめ • オンラインの利点は、超豊富なコンテンツと物理的な距離の超越 • コミュニケーションの冗長さは有る程度まで克服可能 • フィードバックの量と質はオンラインの方が良い • グループワークは設計と準備次第
• 動画などのコンテンツ作成含む準備が大変だけど（笑） • セキュリティの課題は自然とディーププラクティス • 社会的課題も多いし、CTF入門から賞金稼ぎまで行ける •今ならオフラインの良さをもっと活かせる！ 37

39 事前登録制 (無料) ここのリンクをクリック!

40 2月開催有 Aコース初心者向け B-2コース国の機関等、重要社会基盤事業者、民間企業等向けここのリンクをクリック!

参考資料 • 専修大学上平先生のブログ • https://kmhr.hatenablog.com/ • 上平先生にも参加いただいたSecHack365の2019年度成果発表会におけるパネルディスカッション｢コロナ禍におけるフルオンライン教育について｣などの動画 •
https://vimeo.com/channels/2019sechack365 41

終 42

オンラインを活かすセキュリティ人材育成

オンラインを活かすセキュリティ人材育成

More Decks by sonodam

Other Decks in Education

Featured

Transcript