「どうすれば、悪意ある攻撃からシステムを守れるのか」。そんな問いに真正面から向き合う学生たちがいます。NECは2024年3月、全国の高専生の中でもセキュリティ分野で特に優秀な成績を収めた17名を対象に、実践的な演習プログラムを提供しました。舞台となったのは、KOSENサイバーセキュリティ教育推進センター(K-SEC)が主催する「K-SEC トップオブトップス講習会2024」。いわば“トップ中のトップ”が集結した場です。
講師を務めたのは、実際に企業の情報セキュリティを担うNECグループの現役エンジニアたち。サイバー攻撃の脅威を調査・分析する脅威インテリジェンスや、実際の攻撃に近い手法でシステムを試すペネトレーションテストなど、第一線で活躍するプロの知見を惜しみなく伝えました。
今回の演習では、セキュリティ競技であるCTF(Capture The Flag)の「問題を作る側」として、システムの脆弱性をどう突くか、どう守るかという双方の視点から実践的に学びました。単に答えを探すのではなく、「どのように問いを設計すれば学びが深まるのか」という思考を通じて、参加者は攻撃者の思考と防御側の視点の両方を身につけていきました。
トップレベルの高専生が集う実践の場
舞台となった「K-SEC トップオブトップス講習会2024」は、全国のセキュリティコンテストで優秀な成績を収めた高専生たちが一堂に会する講習会です。CTF(Capture The Flag)を通じて実力を認められた17名が参加し、NECの演習プログラムに取り組みました。
演習プログラムを提供したのはNEC。講師を務めたのは、脅威インテリジェンス、ペネトレーションテスト、システムインテグレーション、人材育成といったセキュリティ分野の第一線で活躍するNECグループの現役エンジニアたちです。机上の理論ではなく、実務に基づいた実践的なセキュリティ技術が惜しみなく共有される、貴重な機会となりました。
実践で学ぶ 二つのセキュリティ演習プログラム
今回の講習会では、セキュリティを多角的に学べるように、性質の異なる二つのプログラムが用意されていました。一つは「CTF問題の作成と演習」、もう一つは「Writeup」と呼ばれる課題の整理と発表を行う取り組みです。ただ問題を解くだけでなく、設計し、伝え合い、改善する。この一連のプロセスこそが、実践力の土台を育てる鍵となっています。
攻撃者の視点から問いを設計する
最初に行われたのは「CTF問題作成・演習」です。参加した学生たちは4チームに分かれ、NECグループのエンジニア3チームとともに、CTF形式の問題を自ら作成するという挑戦に臨みました。作成した問題は、実際に企業向けに提供されている演習環境に登録され、その後、他のチームが互いにその問題を解き合うという形で進行しました。
作問のテーマも多彩で、インターネット上の公開情報を調べて答えにたどり着く「OSINT(Open-Source Intelligence)」や、本来見えないはずのファイルにアクセスしてしまう「パストラバーサル(Path Traversal)」のような脆弱性、さらに暗号化技術を活用した問題など、現実に近い題材が選ばれていました。
この演習を通じて、学生たちは「問題を作る側」になることで、単に技術を学ぶのではなく、システムのどこに隙が生まれ、どのような思考でそこを突くことができるのかといった、攻撃者の視点を身につけていきました。問題を設計するというプロセスそのものが、深い理解と応用力を育てる実践の場となったのです。
※CTF(Capture The Flag)とは、セキュリティの弱点を突いて“フラグ”と呼ばれる答えを探し出す競技で、主に攻撃者側の視点を学ぶための訓練として使われます。
答えを共有し、学び合うプロセス
演習の後半では、「Writeup(ライトアップ)」と呼ばれる振り返りの時間が設けられました。Writeupとは、解いた問題についての考え方や解き方を整理し、共有する活動です。これは単なる“答え合わせ”ではなく、互いの発想やアプローチを見比べながら理解を深めるための重要なプロセスです。
この時間では、各チームが自分たちで解いた問題の解答方法を発表し、他のチームが解けなかった問題については、作問者自身が解説を行いました。これにより、チームを越えて学生同士が自然に議論を交わす場が生まれただけでなく、NECグループのエンジニアとも活発な意見交換が行われました。
最後には、参加学生による投票も実施され、「最も印象に残った問題」が選ばれました。選ばれたのは、4問で1つの物語になるよう設計されたストーリー仕立ての問題。問題の完成度だけでなく、構成力やストーリー性の工夫も高く評価された結果と言えるでしょう。
一方的に学ぶのではなく、自分の考えを言葉にして伝えることで、気づきが生まれ、理解が深まる。Writeupという取り組みには、そうした学び合いの機会が自然に組み込まれていました。
参加学生のリアルな声に見る“気づき”
演習後には、「問題を作ることで、攻撃者の視点からセキュリティを考えられた」「他校の学生と協力して取り組むのが楽しく、また挑戦したい」といった声が寄せられました。また、「思ったように作問が進まず、難しさも実感した」「最後まで解けなかった問題も、解説を聞いて理解が深まった」など、つまずきや発見も多くあったようです。自分で設計し、他人と共有することで、より実践的な学びにつながったことがうかがえます。
現場のプロによる実践的なサポート
今回の演習では、NECグループ各社から脅威インテリジェンスの分析やペネトレーションテスト、システムインテグレーション、人材育成といった分野で実務を担うエンジニアたちが講師として参加しました。中には、IPA(情報処理推進機構)が実施する中核人材育成プログラムの修了者や、国内外のCTF大会で入賞経験を持つ専門家も含まれており、現場で培った実践的な知見に基づいたサポートが行われました。学生たちは、問題設計や演習中のアドバイスを通して、技術だけでなく、考え方や視点の広げ方についても多くを学んでいました。
IPA 中核人材育成プログラムについて:https://www.ipa.go.jp/jinzai/ics/core_human_resource/index.html
高専生の可能性を引き出す“学びの場”
今回実施された演習は、全国の高専生の中でも特に優秀な学生たちを対象に、実践的なセキュリティ技術を学ぶ機会を提供するものでした。ただ“教わる”のではなく、自ら考え、設計し、共有する――その体験を通して、学生たちは攻撃と防御の両面からセキュリティを見つめ直しました。
将来のサイバー社会を支えるのは、こうした土台を若いうちから築いた人材です。NECと高専機構の連携によるこの取り組みは、高専生一人ひとりの力を引き出すだけでなく、日本全体のセキュリティ人材育成にとっても意義ある一歩といえるでしょう。
