①　セキュリティへの興味喚起
本コンテストを通じて学生の皆様にセキュリティへの興味を高めていただきたいと考えています。

②　現実的な問題へのチャレンジ機会創出
現実味のある課題（2017はオンラインバンキングシステム）にチャレンジすることで、セキュリティ業務の一端を体験していただきます。

• 1チーム4名以内とし、課題に取り組んでください。
• 参加者に、課題となるオンラインWebサービスのシステム(Linux VM)と、Webアプリケーションのソースコード(PHP)を配布します。
• このシステムに潜む脆弱性を調査し、運営会社に対して調査内容と検出した脆弱性のレポートを作成してください。
• 各報告には、現象の再現方法・攻撃による想定被害・対策方法の提案を含めてください（報告レポートのフォームを提供しますが、任意の形式でも構いません）。
• セキュリティの問題と思われるものであれば、どのような問題を報告してもかまいません。PHPアプリに限りません。OSやネットワークなどにも問題があれば報告してください。画面構成・デザイン・パフォーマンスの問題など、セキュリティに影響のない問題は報告不要です。
• レポートを元に一次審査を行い、上位10チームで最終審査会を行います。
• 最終審査会では、発見した脆弱性から抜粋して発表していただきます。レポート内容とプレゼンテーションに対する審査の総合点を出し、優秀な発表チームを表彰します。

• 発見した脆弱性の種類と数
  • 攻撃者は1つ見つければ攻撃できますが、守る側は全て見つけて塞ぐ必要があります。発見が難しい脆弱性の発見を評価するとともに、軽微な脆弱性の網羅性も重視します。
• 脆弱性の再現方法や対策案
  • 再現方法や対策案が曖昧な報告では、開発者が修正できません。正確かつわかりやすく説明されているかどうかを評価します。
• 脆弱性の再現（最終審査）
  • 脆弱性を悪用されるとどのような被害が起きるのか理解されないと、開発者が修正しない場合があります。攻撃のデモ等を行ってもかまいませんので、開発者が修正したくなる説明をしたかどうかを評価します。
• 脆弱性発見の工夫
  • ツールを使った・作った、チームメンバーの役割分担、調査手法など、脆弱性発見を網羅的・効率的に実施するために行った工夫があれば、アピールしてください。

①チームエントリー受付

下記のボタンから「チームエントリーフォーム」をダウンロードし、事務局あてにメールで送信してください。（できるだけ学校単位でまとめてください。）

mcsc2017_team_entry.xlsx

②課題提示

事務局からご担当の先生宛に、課題とレポートフォームをダウンロードするURLをお送りします。
（エントリー受付が完了したチームから、10月16日(月)以降順次お送りします。）

③レポート提出

各チームで課題に取り組み、審査観点を確認したうえでレポートにまとめてください。レポートフォームは参考ですので、別の形式で提出していただいても構いません。

レポート提出期限は、2017年11月14日（火）です。提出先は課題と送信時にご案内します。

期限までに提出されたチームのレポートについて、一次審査を行い、上位10チームを選出します。一次審査を通過した10チームは、2017年12月13日（火）に開催される最終審査会に出場できます。
一次審査結果は、審査を通過したチームの代表者に、11月28日(火)に事務局よりご連絡いたします。

最終審査会では、プレゼンテーション内容についても評価し、総合評価で優秀な発表チームを表彰します。

※最終審査会の会場については、近日中に発表いたします。

各賞詳細

その他、健闘されたチームを表彰予定です。

※Burp Suiteは、Webアプリケーションのセキュリティテストを行うための統合プラットフォームで、Webアプリケーション脆弱性診断業務で使われています。無償のFree版と、より高機能なProfessional版があります。

• 許可を得ずに他人のシステムの脆弱性を探す行為は、不正アクセス禁止法違反や業務妨害罪で処罰される可能性があります。本コンテストの課題システム以外を調査する場合は、事前に管理者の承諾を得てください。
• 以下に該当する応募レポートは、審査対象外とします。
  ・本課題以外のシステムに対する攻撃結果や脆弱性情報を含むもの
  ・他人の著作権、肖像権、商標権、プライバシー権等を侵害するおそれのあるもの
  ・意図の有無に関わらず盗作の疑い、もしくは類似と判断されるもの
  ・公序良俗に違反するもの、過度な暴力的描写、性的描写のあるもの
• 応募レポートの著作権は応募者に帰属します。応募レポートの抜粋画像・最終審査会や表彰時に撮影した写真・ビデオ等については、三井物産セキュアディレクション、および【専門学校と経営】Webサイト、Facebook、Twitterで広く紹介させていただく場合がありますので、あらかじめご了承ください。
• 配布するVMやソースコードは、本コンテストの課題として提供するものです。無断転載・無断転用・商業活動などそれ以外の目的での利用はご遠慮ください。学校内・学内のサークルなどにおける自己学習の参考資料などとしての活用は許可します。取り扱いに関して不明点等ある場合には、事務局までお問い合わせください。

• IPA: 安全なWebサイトの作り方
• 脆弱性診断士スキルマッププロジェクト
• Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 上野宣著
• 体系的に学ぶ 安全なWebアプリケーションの作り方 徳丸浩著

MBSDは情報セキュリティサービスに特化した専門会社です。

主なサービス内容：

プロフェッショナルサービス
Webアプリケーション脆弱性診断
ネットワーク脆弱性診断、ペネトレーションテスト
ソースコード診断、組込診断
セキュリティ監視（IDS/IPS監視、統合ログ監視）
セキュリティ教育
情報漏えい調査（フォレンジック）

コンサルティングサービス
情報セキュリティ対策支援
（リスクアセス、ポリシー策定、等）

本コンテスト実施運営に際して取得した個人情報は、三井物産セキュアディレクションおよび事務局を担当する株式会社ビーアライブの個人情報保護方針に則り、実施事務局が責任を持って管理、運営いたします。

• 三井物産セキュアディレクション株式会社　個人情報保護方針
• 株式会社ビーアライブ（【専門学校と経営】事務局）　個人情報保護方針

※2016年の最終審査会の様子はこちら