全米大学対抗のサイバーディフェンス競技でベーカー大が優勝
テキサス大学サンアントニオ校(UTSA;University of Texas at San Antonio)のCIAS(Center for Infrastructure Assurance and Security)が主催するこのイベントは、6つの地区優勝校がそれぞれに与えられた小規模なエンタープライズネットワークを、セキュリティの専門家から成るレッドチーム(“陽気なチーム”[Team Hilarious]の異名を持つ)の攻撃からいかに保護するかを競い合うものだ。
各大学のチームには、1台のCiscoルータと5台のサーバ(Windows 2003によるIIS、Windows 2000によるDNS、Solaris x86によるApacheおよびOpenSSL、GentooによるMySQLおよびNFS、BSDによるSendmail)という同じ構成のネットワークをどれだけうまく保護できたかによって得点が与えられる。ワークステーションで実行するOSについては、各チームがVista、Windows XP、Fedora、BSDのうちから自由に選べる。競技中はSMTP、POP3、HTTP、HTTPS、DNSの各サービスをずっと稼働させておく必要があり、これらのサービスを1つでも停止させると減点となる。また、2008年の競技ルールによれば、FTP、SSH、RDP、VNCの各サービスについては一定の期間だけ起動する必要あるという。
競技には、攻撃側(レッドチーム)と各大学の防御側(ブルーチーム)のほか、ホワイトチームも参加する。ホワイトチームは、全体のネットワーク運営や監視員、そして通信センターの役割を果たす。情報や支援、問題報告を求める各ブルーチームからの要求はすべてホワイトチームに届く。ブルーチームは、インターネット上でパブリックに利用できる情報およびソフトウェアの入手を除き、外界との直接通信はできない。また、新たなサービスの起動を指示する競技上の要求を出したり、各チームのパフォーマンスを評価したりするのもホワイトチームの役割だ。
会場となったのはヒルトン・サンアントニオ・エアポート・ホテルで、各チーム(レッド、ホワイト、6つのブルー)には厳重に管理された個室が提供された。また、競技中は各ブルーチームの部屋にホワイトチームの監視員が1名ずつ常駐する。
陽気なチーム
レッドチームのキャプテンDave Cowen氏は、顎ひげをたくわえた快活な顔つきの人物だ。レッドチームの部屋から洩れる彼の笑い声はホールにまで届くほどで、そのたびに学生たちは顔をしかめた。Cowen氏の笑いは、また新たなサーバがレッドチームによる容赦のない攻撃の餌食になったことを意味していた。
レッドチームのほかのメンバー([ファーストネームのみ]Luke、Ryan、Evan、Jacob、Leon)は皆、セキュリティ業界のプロフェッショナルだ。競技初日の金曜日から、獲物の調査、追跡、絞り込みを進めるレッドチームには熱気がみなぎっていた。会議テーブルを囲んで座る彼らは、ノートPCの画面を見つめて(なかには2台のノートPCを同時に使うメンバーもいた)情報を共有しながら、攻撃対象となるネットワークの弱点の追求と、IPアドレスと具体的な構成のマッピングに嬉々として取りかかった。
競技の開始早々、レッドチームから「これは面白い。去年のSolaris向けエクスプロイトがまだ使える」という言葉が聞こえてきた。すぐさまDave Cowen氏が応じる。「了解。そういうことなら権限昇格を狙うSolaris 5.10のローカルエクスプロイトの出番だ」
レッドチームの部屋には、数名の報道関係者だけでなく、政府関係のさまざまな職員も訪れていた。シークレットサービスの代表者も週末ずっとその場にいた。金曜日には、FBI関係者と名乗る黒いスーツ姿の男性3人も姿を見せた。また、防衛情報システム局(DISA:Defense Information Systems Agency)の職員もこの競技に携わっており、彼らには競技開催中に各部屋をまわるジャーナリストに付き添うという役割もあった。
金曜の午後、ボルティモア郡コミュニティカレッジのブルーチームの雰囲気は、陽気な笑い声が聞こえるレッドチームとは非常に対照的だった。7人のメンバー全員が目の前の作業への集中を余儀なくされていた。競技の開始時には問題なく動作していたネットワークのセキュリティ対策を講じる作業だった。話し声は弱々しく、無駄話をする余裕もなく、だれもが課せられた作業に追われた。
各チームは、必要なサービスの提供を続けてルールに反しない限り、各種の設定を競技中に適宜変えることができる。ネットワークを保護する側からすると、どうやら設定そのものに弱点があったらしい。日曜日の競技終了に際してCowen氏は、攻撃者にさらされるセキュリティ上の弱点よりも設定の内容のほうが重要だということがわかっただろう、と述べていたからだ。その発言の少し前には、あるチームのWebサーバがハッキングされて競技終了前の30分間にわたってクレジットカード・データベースのデータがホームページ上に表示される、というひと幕があったばかりだった。
競技終了直後の日曜の昼前には、2時間にわたる昼食会が開かれた。下院議員のCiro Rodriguez氏と、国土安全保障省(DHS)サイバーセキュリティ部の新任ディレクタCornelius Tate氏のスピーチが成績発表の前に行われた。今年の競技はこれまでにない接戦で、2日目の終了時点で3つのチームがほぼ横並びの状態だったが、最終的にはベーカー大学が僅差でテキサスA&M大学を破って首位に立った。優勝チームに限らず、どのチームも聡明でスキルのある学生で構成されていること、また決勝に進んだ6チーム中2つがコミュニティカレッジ(2年制の短期大学)だったことが、サイバー保護の世界では大学の規模よりも個々の学生のスキルが重要なことをはっきりと示している。
唯一、女性メンバーのいたボルティモア郡コミュニティカレッジと、ロサンゼルスのマウントサンアントニオ・コミュニティカレッジは、ネットワークセキュリティのスキルはもっと大規模で名の通った工科大学だけの強みでないことを実証した。両校がこの全米競技会の決勝に進出したことにはコミュニティカレッジのバスケットボールチームがNCAAのファイナルフォーにが勝ち残るのと同じくらいのインパクトがあり、より大規模な大学のチームと互角に渡り合ったこれらのコミュニティカレッジとその学生たちは称賛に値する。4年制大学のチームであれば大学院生を2人まで含めることができた点を考慮すると、なおさらである。
全米規模ではなく地域別に行われていた頃からこのイベントに発起人として携わっていた1人でUTSA CIASのディレクタを務めているGregory White博士の説明によると、そもそもサンアントニオには空軍情報局(Air Intelligence Agency)が存在するという事情からネットワークおよびコンピュータセキュリティに関与する人が多いという。UTSAは、コンピュータおよびネットワークセキュリティの分野での学術的な中心地としてふさわしい場所だったといえる。こうしてUTSAはDHSと国家安全保障局(NSA:National Security Agency)の双方から“情報保障教育における学術研究拠点”に指定されるに至り、現在はいくつかの学部で情報セキュリティにおける学士および修士の学位を取ることができる。
今年の競技会のスポンサーには、AT&T Foundation、DHS、Cisco Systems、Acronis、Northrop Grumman、Accenture、ISSA(Information Systems Security Association)、Core Security、Code Magazine、Pepsi、そしてLinux.comの姉妹サイトThinkGeekが名を連ねた。しかし、今後の競技会をCIASが目指す申し分のないものにするにはもっと多くのスポンサーが必要だ、とWhite氏は述べている。
