SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

貴族もやってるProSec-ITについて紹介します

はじめに

こんにちは。BARON YOSHIIです。

私はシーランド公国の男爵という立場ですが、現在は日本でWebアプリの脆弱性診断をしています。
そして、2021年度ProSec-ITの受講生でもあります。
2022年度の募集要項が公開されましたので、この機会に「ProSec-IT」というものを紹介したいと思います。

cs.kyushu-u.ac.jp

ProSec-ITって何?

九州大学が実施している、社会人向けの情報セキュリティ分野の教育プログラムのことです。
文部科学省の教育プログラム「enPiT」のひとつである「enPiT-Pro」で採択された5拠点の内の「ProSec」において九州大学が実施運営しています。

ファルシのルシがパージでコクーン味あってわかりづらいですね。
ひとつずつ説明していきます。

enPiT

文部科学省の教育プログラム「成⻑分野を⽀える情報技術⼈材の育成拠点の形成」のことです。
「ビッグデータ・AI」「セキュリティ」「組込みシステム」「ビジネスシステムデザイン」の4つの分野における高度IT人材の育成を目指す取り組みです。

www.enpit.jp

enPiT-Pro

enPiTは学生向けでしたが、新たに社会人向けに実施された教育プログラムの取り組みが「enPit-Pro」です。
「スマートエスイー」「ProSec」「enPiT-Pro Emb」「enPiT-everi」「Open IoT 教育プログラム」の5つの拠点があります。
公式サイトの図がわかりやすいです。

enpit-pro.jp

ProSec

enPiT-Proの5つの拠点のうちのひとつで、情報セキュリティ分野の教育プログラムを実施します。
「enPiT-Pro Security」のまんなかを取って「ProSec」と呼んでいるのだと思います。たぶん。

情報セキュリティ大学院大学が代表校です。
九州大学は7つの連携校のひとつです。

www.seccap.pro

ProSec-IT

九州大学がProSecの活動として実施している教育プログラムのことです。
「九州大学 enPiT-Pro」と記載されることもあります。
約1年間のカリキュラムで情報セキュリティに関する様々な講義を120時間以上実施しています。
私が受講しているのがこれです。

どんなことをやってるの?

ここからはProSec-ITの内容について触れていきます。
様々な講師の方々が様々な講義を行っており、どれもおもしろくて勉強になります。
実際に講義を受けた感想をいくつか紹介します。

Webアプリの脆弱性関連

Webアプリケーションの脆弱性についての講義が数回ありました。
どのようにして攻撃を行うのか、その結果どのようなことが起こるのか、どのようにすれば防げるのか、というようなことを学んだり、ハンズオンで体験したりします。
私は業務でやっている内容に近いので特別難しいことはありませんでした。
ですが、業務の脆弱性診断は非破壊検査なので、演習で実際の攻撃を実施できたのはおもしろかったです。
SQLインジェクションを利用してDROP TABLEなんてやろうものなら、上司と一緒に土下座案件です。

法律関連

法律なんて固くてつまんないし、試験の時くらいにしか見たくないよと思っていましたが、どの講義もおもしろかったです。
そもそも法律って何?とか、条文の読み方といった、法学の基礎のような講義もあり、法律に対しての意識が変わりました。

また、今年は個人情報保護法が改正されることもあり、令和2年の改正内容について学ぶ機会も多かったです。
内容がどう変わるのか?企業としてどう対応するべきなのか?といったことを現場の立場から解説されたので、とても参考になりました。
きっと来年度の講義では令和3年改正について学ぶ機会が多いのではないかと思います。

ハードウェア系

IoTやマイクロアーキテクチャ攻撃などの低レイヤーのセキュリティについて学びました。
私のキャリアではアプリケーション層ばかりだったので、新鮮な学びがあって楽しかったです。

f:id:YoshiiSST:20211217171233j:plain

I2Cセンサーから取得した気温や湿度などのデータをWi-Fiでクラウドサービスにデータ連携しているところです。
マイコンなどの部品が自宅に郵送されますので、自室で実習していました。
電子工作は初めての経験でした。

MTD (Moving Target Defense)

MTDとは攻撃対象となるシステムを動的に変更することで攻撃の成功率を下げようという考え方です。
例えば、リクエストする度にサーバが待ち受けるポート番号が変われば、攻撃者はどのポート番号にリクエストを送信すればいいのかわからないので攻撃が成功しにくくなる、というようなことです。
この講義では前述のポート番号を変更するシステムと、システムコール番号をランダム化するシステムを利用して、実際にこれらのシステムを運用する方法や問題点などを議論しました。

MTDについては、検索しても日本語情報はまだあまり出ていないようです。
おもしろいことを考え付くものだなあ、と感心したので紹介させていただきました。

他にも

他にも認証技術、フォレンジック、コンテナ技術、クラウドセキュリティなどの講義がありました。
全ての講義について詳しく書きたいところですが、長くなりすぎるので一部の紹介としました。
2021年度の講義は以下の講義スケジュールのページに記載されています。
この1年でどんなことをやったのか、ぜひご覧ください。

cs.kyushu-u.ac.jp

まとめ

九州大学が実施している、社会人向けの情報セキュリティ教育プログラム「ProSec-IT」を紹介しました。
興味が湧いたという方や、知ってたけど何やってるのかよくわからなかったという方の参考になれば幸いです。

おわりに

受講生には様々な立場の人が集まっているので、幅広い意見交換の場にもなりました。
講義から直接得られる知識だけでなく、人脈の観点からも得られるものが多かったと思います。
来年まで講義はもう少し続きますが、受講してよかったと感じています。

おまけ

九州大学ではSECKUNという教育プログラムも実施しています。
こちらは受講生のレベルをProSec-IT修了相当で想定した、ワンランク上の内容になっています。
今回の記事を読んで、ProSec-ITおもしろそうだけど講義内容がぬるいわ、と感じた方はSECKUNについて検討してみてはいかがでしょうか。

cs.kyushu-u.ac.jp