近年、水道や電気のようなインフラと言っていいほど普及したインターネット。そこで起こるサイバー攻撃を防ぎ、みんなが安全に使えるように守るのがサイバーセキュリティです。サイバーセキュリティって何?という方は、前編で解説していますのでぜひご覧ください。

  • サイバー空間を舞台に競う中高生向け競技「サイバーサクラ」についてご紹介します

今回は、そんなサイバーセキュリティを学んで参加できる学生競技「サイバーサクラ」について、詳しくみていきましょう。中学・高校・高専生が、家や学校で使う機会が多いWindows等を実際に操作して、スコアを他チームと競い合います。

ちょっと難しそう、と感じる方もいるかもしれませんが、たとえるなら「サイバー空間を舞台に、自宅や学校を攻撃から守るゲーム」で、チームを組んで取り組む楽しい競技です。

無料で学べる仮想環境ソフトの紹介

サイバーセキュリティ学習を行うときに覚えておくと便利なのは、仮想マシン(=VM)を作ることです。

本や資料を読んで知識を蓄えるとともに、手を動かして検証する場所があると良いですよね。でも、自分がメインで使っているPCで試すと、普段の環境が壊れる恐れが!ましてや、他人のPCや公開されているコンピューターに試すことは法律違反となるので行ってはいけません。

そこで登場するのが仮想マシンです。仮想マシンは、皆さんが利用するPCの「中」で「別PCとして動かす」ことができます。ですので、万が一壊れることがあっても影響があるのは仮想マシンのみ。壊れても、再度作り直して壊れる前に戻れます。

Windows・macOSのどちらを使っていても、個人学習用途に無料利用ができる仮想マシンを作る仮想化ソフト「Oracle VM VirtualBox」を紹介します。

サイバーサクラの競技の一つUbuntu Desktop(Linux OSの一種)を、macOS上のVirtualBoxで起動した画面を見てみましょう。

  • VirtualBoxの画面

macOSのウィンドウの中に、別デスクトップとブラウザソフトFirefoxが表示されていますね。

VirtualBoxのインストール方法・Ubuntu Desktopの導入方法は、別の記事やYouTubeなどを参照してみてください。自分のPCとは違うOSも、手軽に使えて楽しいですよ。

ここでは仮想化ソフトの一例としてOracle VM VirtualBoxを取り上げましたが、実際のサイバーサクラ競技では、同種のVMware Playerを利用します。事務局ではWindows版を対象にサポートします。

サイバーサクラで必要になる学習

サイバーサクラでは、サイバーセキュリティの学習が始めての方のために、次のような学習資料のほか、競技の模擬練習ができる環境の提供やオンライン講座を提供しています。

  • サイバー空間における倫理とオンライン上での安全確保
  • サイバー倫理
  • サイバーセキュリティの仕組み
  • コンピューターの基礎と仮想化
  • Windowsの基本とマルチタスク
  • Windows セキュリティツール と アカウント管理
  • Windows ファイルとセキュリティ
  • Linux/Ubuntu入門
  • Ubuntuのセキュリティ

初めて参加する場合には、まず学習資料を読みすすめてみてください。読みながら、PC操作があるところは実際の画面を確認していくのがオススメ。各種ツールをさわって、資料に載っている情報、他に表示される情報を抑えたりしてみましょう。

取り組みのポイントは、もしサイバー攻撃が行われた時に、このツールで得られる情報は何?と考えること。また、この設定が脆弱だと、どのようなサイバー攻撃で狙われるだろうか?などを想像しながら行うことです。

(人によるかと思いますが)WindowsやUbuntuなどのOSが持つ機能は、見た目の100倍、あるいは1,000倍ぐらい多様で複雑です。例えば「USBメモリを差し込んだ時に、自動的に反応するための設定」なんてものもあります。普段は気にしていなかった設定項目やボタンの存在理由を調べたり考えたりして把握していきましょう。

  • デスクトップ問題例:自動再生

次の取り組みのポイントは、インターネットの仕組みを理解すること。サイバー攻撃はインターネット経由で行われるものが多いです。そうするとおのずと、インターネット対応の仕組みの理解が、防御する側にも大事なことがわかるかと思います。

例えば、いま使っているPC・スマホから、どのような技術によってマイナビニュース「+Digital」が見えているかを掘ってみましょう。ドメイン名やIPアドレスなどの、よく耳にするけど普段は意識していなかった!というポイントを理解。それを設定する画面やツールも確認できるとベストですね。

  • マイナビニュース「+Digital」のURL

チームでの学習期間の後は、模擬課題VMを受け取り模擬問題にチャレンジしましょう。模擬課題VMは、練習期間(20日間の予定)の間は何度でもチャレンジできるので、失敗してもやり直すことができますよ。課題VMの詳細は、次の予選紹介にて詳しく説明します。

サイバーサクラは2日間開催

ここまでの学習の成果を出しきる場が、オンラインの予選ラウンドです。設定されている競技日程2日間の間で、チーム毎に時間を決めて参加します。各チームが、それぞれの学習会場に集まって、予選課題VMを開くことで競技がスタート。

課題VMを開くと、デスクトップには課題VMのREADMEが配置されており、取り組み方の説明・後述フォレンジック問題、そして利用シナリオが記載されています。

シナリオ例としては、「このVMは事務所で経理作業に使うWindows PCでExcelを使います」のような内容です。その他、業務に必須なファイルや、利用するユーザー名一覧などが含まれます。

  • VMのデスクトップにあるREADMEを読むところから始まります

説明は英語で書かれていますが、Google翻訳やDeepLで日本語に訳してから読んで大丈夫!

出題される「課題」は2パターン

サイバーサクラの課題VM内に含まれる課題は約20件ありますが、種類は次の2つになります。

  • 1.ファイルで用意されている、フォレンジック問題
  • 2.シナリオに基づいた、課題OSの脆弱な状態の発見と修正操作

1のフォレンジック問題は、デスクトップ上にファイルとして配置されており、問題文を読んで回答を入力することで回答できます。OS操作や、コンピューターサイエンスに関係する問題がでる傾向があります。

例えば、「ユーザー『sakura』のデスクトップ上にある『Memo.txt』は、どのユーザーが作成したかを答えよ」のようなものです。即回答がわかればラッキーですが、わからない場合にはGoogle検索などを活用して、チームで手分けして新たに学習するという手段もとれます。

2の「課題OSの脆弱な状態の『発見と修正操作』」は、多くの知見を問われる課題です。「発見」と書いている通り、問題点はどこにも示されていません。買ってきたPCは使い方によって適切な設定が異なり、脆弱なポイントは常にココだと判断できないですよね。そう、現実のサイバーセキュリティと同じ状況なのです。

ここでの手がかりは、まずはシナリオ。先程のREADMEをよく読むと、管理権限をもったユーザー名一覧や、必須ソフトウェアが明記されているので、それらをもとにあるべき状態を確認していきましょう。

例えば、管理ユーザー「sakura」が一人と書かれているのに、課題VM上に管理ユーザーが3人いることを発見したら、不要な2名を削除する、のような形です。

それぞれの課題を解くと、軽快な音とともにスコアが加算されます。予選では他チームの状況もリアルタイムで見えますので、負けられません!

  • スコアリングレポート

なお、シナリオに明記されていない脆弱な設定も複数隠れています。これまでに学習した知識・スキルを総動員して一つでも多くの課題を解けるように、チームメンバーで協力して取り組みましょう。

上位に入ると、福井県鯖江市で3月に開催される決勝に招待されます。高得点を得られるようにがんばってください!

コーチを探し、チームを作って申し込もう

ここまで読んでくれたあなたは、やる気は十分!このようにゲーム感覚で競技に取り組めるサイバーサクラは、毎年6月~8月に申し込み受け付けています。2023年現在、参加費は無料ですので、コーチをみつけ、友人とチームを組んで参加ください。(人数が揃わないという方、技術に詳しい方が周りにいない方にもチャンスはあるので、読み進めてみてくださいね)

最初のステップは、コーチ探しを行いましょう。中高生年代を対象とした取り組みのため、事務局との連絡やパソコンや競技会場を用意してくれる大人が必要です。通っている学校・プログラミング塾などの先生などに頼みましょう。コーチは技術的なことに詳しい必要はかならずしもありません。

次のステップは仲間を探し3~4人のチームを組みましょう。クラス・部活・生徒会の仲間も候補ですし、コーチに相談してみるのも良いかと思います。普段の活動を重視しているので、あなたやコーチと同じ学校・塾に来ている仲間である必要がある点だけ、注意ください。

  • チームの図

応募詳細は毎年見直しがありますので、6月下旬に公開する最新情報をサイバーサクラのWebサイトで参照するか、応募期間中に実施するオンライン事前説明会にて確認してください。

チーム人数がそろわない、学習が難しそうと思ったら

ここまで読んで、参加したいのだけどチーム人数が足りないなぁと思う方に朗報です。2023年度の第3回大会では、人数などの要件が満たせないチーム向けのエントリー部門を新たに設けます。いくつか制限はでますが、本物の競技VMを使える内容です。詳細は今後公開するので、公式Webサイトで確認ください。

もう一つ、周りにIT技術に詳しい大人がいないよという方も安心を。サイバーサクラでは参加申し込み後に、技術メンターを紹介する制度があります。Zoom等を使って学習やVM環境のサポートをしてくれますので大丈夫です。

サイバーサクラでお会いしましょう!

ありとあらゆるところにIT技術が使われる現代において、サイバーセキュリティの取り組みは大切です。サイバーサクラで学ぶことができる知識・スキルは、あなたの大切な方、住んでいる地域、将来仕事をする企業をサイバー攻撃から守るための助けになります。

今回、この記事を読んでくれた皆さんの中から、日本一を目指して参加してくれる方が現れることを楽しみにしています。今年のサイバーサクラでお会いしましょう!!