ピンチの時ほど真価が問われます。2021年7月10日にオンラインで開催された「アルティメットサイバーセキュリティクイズ2021」(UCSQ2021)は、直前にスタッフのスケジュール繰りが付かなくなり開催が危ぶまれる大ピンチに陥りながらも、有志のヘルプを得て無事に実施。144名がオンラインで参加して大盛況のうちに終了し、まさにこの言葉を体現したイベントとなりました。
オンラインだからこそ盛り上がる、今年も熱戦となった「UCSQ2021」
UCSQは、セキュリティの専門家に限らず、IT管理者や法務担当、ちょっとセキュリティに興味を持っているだけの人に至るまで、さまざまな分野の人々が楽しみながら参加できるクイズ大会です。
わいわい楽しく、時にぼやきながらクイズに取り組み、サイバーセキュリティに関するさまざまなジャンルの知識を得て、「また来よう」と思ってもらえることを第一に企画され、2018年にスタート。以降、毎年1回夏に開催されています。
第一回、第二回はオフラインでの開催でしたが、新型コロナウイルスの影響で昨年の第三回からはオフライン開催となりました。2021年も、コロナの感染状況を踏まえてオンラインイベントとなりましたが、怪我の功名と言うべきか、UCSQ実行委員会の主体であるSECKANSAIが活動する関西・近畿地区だけでなく、四国中国、九州、関東など、日本全国から参加者がありました。
大会は過去の回と同様、マルバツクイズ形式の予選、上位8名と敗者復活戦を勝ち抜いた1名、計9名による四択式の準決勝を経て、勝ち抜いた4名による記述式の決勝戦が行われました。
予選では、25分の制限時間で100問もの問題に取り組みます。
毎度おなじみ、ニューヨークの「自由の女神」にちなんだ問題からスタートし、マルウェアやWebセキュリティ、CSIRTの役割といったサイバーセキュリティ関連の問題から情報処理全般、著作権をはじめとする法律関連、そして一般常識に至るまで幅広い内容が出題されました。
著名なセキュリティインシデントが発生した年や主要なソフトウェアのサポート期限など、「年月」を問う問題も含まれており、つい手元で調べたくなる気持ちもわいてきます。そこをぐっと抑えながら問題に取り組む、あっという間の25分間。参加者らは「つかれたー」「25分間、集中力が持たなかった」など、チャットを通して賑やかに感想を語り合っていました。
ちなみに前回はZoomと独自システムを組み合わせて行った一次予選ですが、今回はGoogleフォームを活用することで、正確かつ迅速な集計を実現しました。同点の参加者が複数いた場合には回答時間の短かった方が上位となるルールです。
ひもで区切って勝ち抜く人を決めていたマルバツクイズでは難しかった「キリ番」の方にも賞品を用意できるようになりました。
さて、準決勝からは少し高度な問題も混じってきます。ただ、さすが予選を勝ち抜いてきた面々だけあって、時には全員正解という場面もありました。それでも緊張のためか、普段ならば間違えないはずの問題で「やってもうた! 絶対間違えてはいけない問題を間違えてもうた!」と声が上がったり、「今、何問目?」という突然のクイズタイムショックに動揺したりで徐々に差が開き、最終的に4名の決勝進出者が決定しました。
合間に集計のための休憩が挟まるとはいえ、さすがに疲労の色も見えてきます。
決勝戦では、手元に用意した用紙に正解を書いてカメラに示す記述式が採用され、回答は頭に浮かんでも綴りに苦戦する場面などが見られました。頭がオーバーフローなのかいっぱいいっぱいになり、「分からないならボケて!」という圧力にも応えきれず悩む姿に、思わずチャットからは「頑張れ!」という応援の声が寄せられるほどでした。
こうして計25問の問題を戦い抜き、見事優勝を飾ったのは学生のTsubasaさんです。
前回、前々回と決勝に残ったA氏さんをはじめベテラン勢も意地を見せましたが、若者の実力を見せつけられる結果となりました。
なお、上位入賞者やキリ番の方々には、アンケート結果も踏まえて用意された豪華賞品が送られます。
クイズ翌日にはすぐ受賞者の元に発送されるため、翌週行われた振り返り会では「北の幸詰め合わせ」を受け取った参加者から、「メロンおいしかったです」「ウニが良かったです」と喜びの声が寄せられていました。
そして最後に特別講演を行ったのは、これもおなじみ、川口設計の川口洋さんです。
「自分自身、コミュニティに育ててもらいました」という川口さんですが、「今日の優勝を飾ったのが学生さんで、そういう若い人が出てくるのはうれしいこと」と述べ、UCSQや総関西サイバーセキュリティLT大会、あるいは自身が企画するMicro Hardeningなどコミュニティベースのイベントを通じて学生をどんどん支援していきたいとしました。
川口さんは、ファイル転送ソフトウェアなど日本に閉じている製品やアプリケーションの脆弱性が狙われ始めている実態をはじめ、昨今のサイバーセキュリティを巡る最新の状況を解説し、あらためて「これだけさまざまなセキュリティ技術や製品、サービスが出ているのに事故がなくならないのはなぜか、足りないのは何かを考えていく必要があります」と述べました。
ここで頼りになるのは、やはりコミュニティの力です。「僕はコミュニティの力を信じています。コミュニティを通してそれぞれの思いや課題を語り、議論することが大事です」(川口さん)。そして、地理的なアクセスにとらわれずに済むのがオンラインのいいところだとしながらも、「来年はぜひ大阪城で皆さんに会いたいです。勝ち抜いた人が天守閣を一回ずつ上がっていくのはどうでしょう」と、来年の再会に期待を寄せていました。
半年以上前からコツコツ進められてきた作問に込められた「願い」とは
見事優勝を飾り、豪華賞品の中から「MacBook Air」を選んだTsubasaさん。当日は、普段、技術系の勉強はしているものの、「法律系や監査系の知識はあまり学んだことがなく、不得意なところが分かりました」とコメントを述べていました。
これは、UCSQの作問の狙い通りと言ってもいいでしょう。
UCSQの企画、進行を取り仕切る池田総裁は、「セキュリティ業界だけに閉じた、ある種オタク的な知識しか持たない人にしか答えられない問題は避けたいと思っています。できるだけまんべんなく、いろいろな分野の問題を用意することで、ちょっとセキュリティをかじっただけの人にも面白かったと思っていただけるイベントにしています」と述べています。
たとえば、スキルに長けた人ならば、他にも賞賛を受ける機会は多々あるでしょう。しかし、会社で「セキュリティの仕事、お願いね」と言われて日々セキュリティ情報をウォッチし、少しでも知識を身につけようと努力していたり、CSIRTで頑張っている人たちが日の目を浴びる機会はあまりありません。
「そういう人たちが頑張っていることを評価される場になればなと思っています」(池田総裁)。実際、過去のUCSQを見ても法律、CSIRTといった、セキュリティ専業以外の分野の人が優勝者に輝いており、その路線を今後も継続できればと考えているそうです。
ちなみに、予選は「情報セキュリティマネジメント試験」相当、準決勝と決勝は「情報処理安全確保支援士」相当の問題を用意しています。このため「過去問道場をチェックしておくと、けっこう参考になります」ということです。
クイズ自体は1日で終わりますが、UCSQのスタッフは半年前から準備を進めてきました。毎週毎週、予選と準決勝・決勝用の問題アイデアを作成し、共有し、クイズに使えそうかどうかを判断する作業を繰り返し、これだけの数の問題を用意してきたそうです。それでも実際には「検討の結果、採用しない問題の方が多いかもしれません」(池田総裁)といいます。
問題として使えそうだと判断しても、参加者から「これって、ちょっと違うんじゃないですか?」と指摘を受けた場合に備え、エビデンスも確認します。また、最初に作られた質問案のままでは参加者すべてに意味が伝わらない可能性もあるため、「てにをは」にはじまり、文の構成に至るまで文章を推敲し、修正した上で、本番のクイズで使っているそうです。
なぜ言葉にこだわるのかというと、「自分の仕事でも、業界用語をそのまま言っても伝わらないことが多いからです。なので、できるだけわかりやすく話すことを心がけています」(池田総裁)。それがひいては、セキュリティ業界だけの内輪受けから脱して、広くさまざまな人に楽しんでもらえるイベントにつながると考えています。
来年は大阪城で会いましょう!
「あの問題の正解が知りたい!」という多くの要望を受け、UCSQ2021の翌週には予選の「振り返り会」が行われました。
ここでは、クロスサイトスクリプティングやリスト型不正ログインといった定番の攻撃手法については全般に正答率が高かったものの、「普段自分が触れている分野か、そうでないかで難易度が大きく変わり、どこに疎いかを自分でチェックできる機会になりました」という感想が、ゲストとしてコメントしたプラチナスポンサーのPwC小林さんから寄せられました。
小林さんはまた、リスクの定義を問う問題に触れ、「普段の自分のタスクだけでなく、その上でジャッジを下す人間が物事をどう判断するかを理解するという意味で、いい問題だったと思います」と振り返っていました。
一方、決勝まで進出して奮戦した三村さんは、自分の普段の業務や肌感覚ですぐに分かった問題があったものの、少なくない問題で「これは引っかけではないか」という疑いが浮かび、時間を消費してしまったそうです。問題文の裏、さらに裏の裏を深読みしたり、似たような略語が頭に浮かんでしまってもう少しで引っかかってしまうところだった問題もいくつかあったといいます。なお、当日のチャットでも話題になっていた「ポルンガを呼び出す呪文」に関する問題については、「知るかー!」というのが率直な感想だそうです。
さまざまなレイヤの脅威と対策、標準動向、サイバーセキュリティを巡る政府の取り組みや法制度に至るまで幅広い問題が用意されたUCSQ2021。「決勝戦は特に頭の中がフィーバーして大変でしたが、面白かったです」と三村さんは述べています。
小林さんも「普段セキュリティ分野ドンピシャの方もそうでない方も、幅広い分野を学べる機会になりますし、自分が知らないことに詳しい人とネットワーキングできる機会にもなります」とし、「来年はコロナ禍が収まった状態で、ぜひ大阪城で会いましょう」と声を揃えていました。