ZOOMを使って、遠隔(オンライン)でのセキュリティの実機操作研修を開催しました

情報処理安全確保支援士はセキュリティに関する幅広い知識・技術が問われます。試験にでる攻撃手法や暗号・認証、PKIなどを実際に体験してもらうイベントです。

開催日2020年3月の日曜日。 Connpassを使って案内を行い、 45名の方にお申込みいただきました。※参加費は無料ですが、全5回の有料セミナーのいずれかに参加された方に限定しています。
https://nespe.connpass.com/event/171037/

1.実際にやってみることは、教科書を10回読むよりも大事だったりする

私が作るセミナー(および研修)の考え方は、自分が受験生ならどんなセミナーに参加したいか、です。
クロスサイトスクリプティング(反射型とDOM型の違い)、SQLインジェクション、ハッシュ関数の特徴、POSTとGETの違いなど、書籍を読めば理屈ではわかります。でも、なにか腹に落ちない。心底理解するには、自分でやってみたい。

百聞は一見にしかず

この言葉はまさにその通り。やってみると、「なるほど」と理解できますし、体験して得た知識はしっかりと記憶に残ります。

2.試験対策に通じる内容に限定

内容は、情報セキュリティスペシャリスト、情報処理安全確保支援士の過去問で登場した内容に限定しています。

セキュリティの学習内容は非常に広範囲です。ネットワーク、サーバ、アプリケーション、Web、プログラミング、そして、ログ解析やインシデント対応まで含めた運用など、どのテーマを学習しても、1日では終わりません。

今回の実機研修では、もっと深いところまで覚えていただきたいという思いを抑えつつ、試験対策とある程度割り切った出題にしました。

以下、参加者のアンケート結果です。とても役に立った、ある程度役に立ったとお答えいただいた方が87.%でした。そういっていただけてうれしいです。

Q1.【役立ち度】今回のクイズは支援士の試験対策として役に立ちましたか?

3.問題は57問、所要時間は2時間~3時間

今回の問題は、57問。実際に私が構築したWebサーバにアクセスしたり、Wiresharkのpcapファイルを開いてパケットをみたり、攻撃手法を試したりします。答えを考える時間も必要なので、所用時間は、2時間から3時間くらいかかったようです。

Q3.【所要時間】このクイズを実施した所用時間を教えてください

具体的な内容は、以下のconnpassのサイトに掲載しています。
https://nespe.connpass.com/event/171037/

抜粋すると、たとえば以下です。

1)HTTPSの通信
・リクエスト、レスポンス  ・プロトコルの値は?  ・HTTPヘッダをみよ
・Hostに何が入っているか  ・User-Agentの情報  ・応答コード
・メソッドの確認  ・POSTとGETによるURLの違い ・Cookieの設定

2)PKI
・実際の証明書をみて、CNを答えてもらう
・公開鍵の暗号化暗号化アルゴリズムは?  ・公開鍵のデータを答えよ
・ディジタル署名のアルゴリズムは?  ・この署名の長さは?  ・CAはどこ?

3)メールのヘッダ
・recievedヘッダ ・MXレコード、優先度が低いFQDNは?
・DKIMのドメインは?  ・SPFのTXTレコード 
・DKIMの設定  ・DMARの設定

4)ログ分析
・Proxyログの確認 →複数問

5)Webへの攻撃の理解
・SQLインジェクション  ・JavaScript  ・反射型のXSS
・DOMの理解  ・DOM型のXSS  ・RLO  ・C&Cサーバ

6)Proxyサーバ
・PCとProxyサーバの接続ポート  ・非暗号のHTTPの場合のメソッド
・HTTPS通信のメソッド  ・HTTPS通信の場合、PCが接続する先はどこ?
・HTTPSの場合、Connectメソッドを最初に送信したあとのプロトコル

4.難易度はやや高め。しかし、ヒントを活用して、9割は解けるように工夫

問題そのものの内容は、決して難しくはありません。即答できる問題もあります。ですが、WEB、暗号、認証、PKI、各種攻撃手法など、情報処理安全確保支援士試験のすべての範囲に精通している人は非常に少ないです。また、それぞれの分野の内容を、実際に試したことがある人も、もちろん多くはありません。
ですから、難易度としてや、「やや難しい」と感じた人が多かったようです。

Q4.【難易度】今回の内容の難易度はいかがでしたか

セミナーを受ける目的は、自分に無い知識を得てもらうことです。あまり簡単すぎるのもよろしくありません。
しかし、改善すべき点もあります。
アンケートのフリーフォームでもいただいたのですが、事前にWiresharkやコマンドなどの基礎知識を講義する時間を設けておくべきだったと考えております。
また、問題が簡単になり過ぎないように意識したのせすが、CTFdの仕組みでヒントを出せるので、次回の開催時には、ヒントや解き方の解説をもう少し入れるようにします。

とはいいながらも、受講していただいた皆さん、真面目に、そして真剣に解いていただきました。間違えても何度でも答えらえる仕組みにしておいたのですが、大半の人が8割以上に正解し、ほぼ満点という方も、4割ほどいらっしゃいました。
お疲れ様でした。

5.夜の19時から1時間の解説

昼の13時にスタートし、オープニングはZOOMにて1時間の操作方法の解説、軽い質問タイムを設けました。また、夜の19時からは1時間の解説をしました。基本は、質問にお答えする形で、解けなかった問題を中心に解説をしました。

無料イベントということもあり、きちんとしたドキュメントとしての解答・解説はお配りしていませんでした。
本セミナーに対する要望として、「解答・解説が欲しい」「見るべきポイントをまとめた資料が欲しい」というご意見をいただきました。たしかに、後日の復習を考えると、口頭解説だけでなく、ドキュメントとして仕上げる必要があると感じました。

6.87.2%の方に満足いただけました

今回のイベントの満足度をお聞きすると、「大変満足している」「やや満足している」とお答えくださった方が87.2%であり、高い評価をいただくことができました。アンケートでは「ご要望」を書いてもらうようにお願いしたのですが、生の意見として、以下のようなありがたい言葉をいただいております。

「模擬サイト(SQL,XSS,cookieの動作検証等)は、実際の挙動を目で確認できたことで、書籍等で学ぶものとは違い非常に実感が湧きました」
「月に1回とか定期的に実施されるとうれしいです」
「ネットワークスペシャリストでも同じことをおこなってもらいたい」

Q5.【満足度】今回のクイズの満足度を教えてください

7.改善点

高い満足度をいただいたとはいえ、もちろん改善点もあります。次回は以下を修正して、よりよいセミナーにしたいと考えます。
【要望1】 「解答・解説が欲しい」
→解答解説を作ります。

【要望2】
「見るべきポイントをまとめた資料が欲しい」
→Wiresharkやコマンドなどの基本操作をまとめた資料を作ります。

【要望3】
「Wiresharkやnslookupなど事前に基本を教えてほしかった」
→イベント前に、1時間程度の講義時間を取るようにします。

【要望4】
アンケート結果から、やや難しいと感じた人が多かった
→要望2、3にあるように、事前解説をすることと、CTFdのヒント機能を活用して、コマンド等の経験が少ない人が効率的に学べるようにします。

【要望5】 「回答者側のブラウザやメーラーなどの環境によるものかと思いましたが、前提とするブラウザやメーラーを指定していただければよかったのかなと思いました」
→私も知らなかったのですが、同じサイトにアクセスしても、Windowsから接続する場合と、Macから接続する場合で、表示される証明書が違ったようです。前提となる環境を指定することは大事だと感じました。(今回で、操作環境による違いが出る問題はある程度絞れました)

【私の感想】
ゲーム性を高めて参加者のモチベーションを上げる意味では、ヒントを見るにはポイントが必要(つまり減点)にするのも有りだと思います。

この投稿へのコメント

コメントはありません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

この投稿へのトラックバック

トラックバックはありません。

トラックバック URL