学生募集から就職支援まで、最新の情報を集約。
- 専門学校と経営TOP
- 企業との連携
- 第7回セキュリティコンテストMBSD Cybersecurity Challenges 2022 開催!
第7回セキュリティコンテスト
MBSD Cybersecurity Challenges 2022 開催!
主催:三井物産セキュアディレクション株式会社
「専門家に依頼しよう」 -- あるWebサイト運営会社は、過去のインシデントから学び、社員のセキュリティ教育や、自社開発した診断ツールで診断するなどの対策を行ってきた。「これでもう完璧だろう」というセキュアな新サイトを開発したが、リリース前に念のため外部の専門家にも診断してもらうことにした。
あなたのチームはこのサイトの脆弱性を発見することができるだろうか。
1.コンテスト開催の目的
① セキュリティへの興味喚起
本コンテストを通じて学生の皆様にセキュリティへの興味を高めていただきたいと考えています。
② 現実的な問題へのチャレンジ機会創出
現実味のある課題(2022はWebアプリケーションの脆弱性診断)にチャレンジすることで 、セキュリティ業務の一端を体験していただきます。
2.コンテスト概要
| 名 称 | 第7回 専門学校・高等専門学校対象セキュリティコンテスト MBSD Cybersecurity Challenges 2022 |
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 主 催 | 三井物産セキュアディレクション株式会社  |
||||||||||
| 後 援 | 一般財団法人 職業教育・キャリア教育財団 一般社団法人 全国専門学校情報教育協会 |
||||||||||
| 協賛企業 |
|
||||||||||
| 参加資格 | 応募時点で専門学校または高等専門学校に在籍している学生 | ||||||||||
| 募集期間 | 2022年9月12日(月)~11月8日(火)※詳細は下記参照 | ||||||||||
| 最終審査会 (オンライン開催) |
2022年12月15日(木) | ||||||||||
| 表彰 | 入賞(10チーム) 最終審査会に出場 最優秀賞 (1チーム) |
||||||||||
スケジュール
|
2022年9月12日(月)~11月8日(火) |
|
2022年10月11日(火)~11月8日(火) |
|
2022年11月8日(火) |
|
2022年11月18日(金) |
|
2022年12月15日(木) |
エントリー方法
①チームエントリー受付
下記のボタンから「チームエントリーフォーム」をダウンロードし、ご担当教員の方から事務局宛てにメールで送信してください。(できるだけ学校単位でまとめてください。)
mcsc2022_team_entry.xlsx②課題提示
事務局からご担当の先生宛に、課題をダウンロードするURLをお送りします。
(エントリー受付が完了したチームから、10月11日(火)以降順次お送りします。)
③診断ツールの提出
各チームで課題に取り組み、審査観点を確認した上で報告書を作成してください。
報告書の提出期限は、11月8日(火)です。提出先は課題の送信時にご案内します。
競技概要
- 1チーム4名以内とし、課題に取り組んでください。
- 参加者に、課題サイトの仮想マシンをOVA形式で配布します。
- このシステムに潜む脆弱性を調査し、運営会社に対して調査内容と検出した脆弱性の報告書を作成してください。
- 各報告には、現象の再現方法・攻撃による想定被害・対策方法の提案を含めてください。
- 報告書を元に一次審査を行い、上位10チームは12月15日(木)にオンラインで開催される最終結果発表会に出場できます。
- 1次審査結果は、審査を通過したチームの代表者に、11月18日(金)に事務局よりご連絡いたします。
- (最終審査)一次審査をしている最中に、Webサイト運営会社は指摘した脆弱性を修正します。一次審査を通過した10チームには修正後の仮想マシンを配布しますので、修正されているかどうか再診断を行っていただきます。
- 最終審査会では、再診断の結果を含め報告を行っていただきます。報告書の内容とプレゼンテーションに対する審査の総合点を出し、優秀なチームを表彰します。
審査観点
発見した脆弱性の種類と数
- 攻撃者は1つ見つければ攻撃できますが、守る側は全て見つけて塞ぐ必要があります。発見が難しい脆弱性の発見を評価するとともに、軽微な脆弱性の網羅性も重視します。
脆弱性の再現方法や対策案
- 再現方法や対策案が曖昧な報告では、開発者が修正できません。正確かつわかりやすく説明されているかどうかを評価します。
脆弱性の再現(最終審査)
- 脆弱性を悪用されるとどのような被害が起きるのか理解されないと、開発者が修正しない場合があります。攻撃のデモ等を行ってもかまいませんので、開発者が修正したくなる説明をしたかどうかを評価します。
脆弱性発見の工夫
- ツールを使った・作った、チームメンバーの役割分担、調査手法など、脆弱性発見を網羅的・効率的に実施するために行った工夫があれば、アピールしてください。
表彰について
報告書の内容とプレゼンテーションに対する審査の総合点で、上位3チームを表彰します。
各賞詳細
| 最優秀賞(1チーム) | ・Burp Suite Professional 1年間ライセンス(人数分) ・協賛企業による賞品 |
|---|---|
| 第2位(1チーム) | ・協賛企業による賞品 |
| 第3位(1チーム) | ・協賛企業による賞品 |
| 最終審査会参加チーム全員 | ・MBSD Cybersecurity Challengesオリジナルグッズ ・協賛企業ノベルティセット |
※ Burp Suiteは、Webアプリケーションのセキュリティテストを行うための統合プラットフォームで、Webアプリケーション脆弱性診断業務で使われています。無償のCommunity Editionと、より高機能なProfessionalがあります。
注意事項
- 以下に該当する報告書は、審査対象外とします。
・他人の著作権、肖像権、商標権、プライバシー権等を侵害するおそれのあるもの
・意図の有無に関わらず盗作の疑い、もしくは類似と判断されるもの
・公序良俗に違反するもの、過度な暴力的描写、性的描写のあるもの - 報告書の著作権は応募者に帰属します。応募レポートの抜粋画像・最終審査会や表彰時に撮影した写真・ビデオ等については、三井物産セキュアディレクション、および【専門学校と経営】Webサイト、Facebook、Twitter等で広く紹介させていただく場合がありますので、あらかじめご了承ください。
- 提供するWebサイトを無断転載・無断転用・商業活動などでの利用はご遠慮ください。
- 報告書やプレゼンテーション資料等を他の参加チームが学校内・学内のサークルなどにおける自己学習の参考資料として活用することを許可することを前提として本コンテストへご参加ください。
3.三井物産セキュアディレクション株式会社について
MBSDは情報セキュリティサービスに特化した専門会社です。
| 会社名 | 三井物産セキュアディレクション株式会社(略称:MBSD) |
|---|---|
| 代表者 | 代表取締役社長 鈴木 大山 |
| 設立 | 2001年3月23日 |
| 事業所 | 東京都中央区日本橋人形町1-14-8 JP水天宮前ビル6階 |
| 資本金 | 4億円 |
| 株主 | 三井物産株式会社(100%出資) |
| 従業員数 | 295名(2022年 4月 現在) |
主なサービス内容:
プロフェッショナルサービス
Webアプリケーション脆弱性診断
ネットワーク脆弱性診断、ペネトレーションテスト
ソースコード診断、組込診断
セキュリティ監視(IDS/IPS監視、統合ログ監視)
セキュリティ教育
情報漏えい調査(フォレンジック)
コンサルティングサービス
情報セキュリティ対策支援
(リスクアセス、ポリシー策定、等)
4.応募者の個人情報の取扱い
<本コンテストに関するお問い合わせ先 >
【専門学校と経営】事務局
〒105-0021 東京都港区東新橋2-18-3-906(株式会社ビーアライブ内)
TEL:03-3436-2035 メールアドレス:setten-info@sgec.or.jp
