座学で得た知識を、実習で再確認 -京都女子大学編-

すばる高校で実施した情報セキュリティ教育の実習をカスタマイズし、京都女子大学で実施しました。高校生との行動の違いや今後の課題を共有します。

10月16日に、京都女子大学の現代社会学部 宮下先生のゼミにて情報セキュリティ教育のお手伝いをしてきました。

前回7月に京都すばる高等学校で開催したセキュリティ実習を、大学生に対して実施しました。情報セキュリティの理解を深めたり、魅力（正しく使った際の便利さ、悪用した際の脅威、セキュリティの必要性）を伝えたりすることを目的に実施しました。

参加者の学生は、Webブラウザからスコアサーバにアクセスして問題文を閲覧し、問題を解いてフラグと呼ばれる答えを探します。スコアサーバに正しいフラグを入力すると得点が加算されます。中には図1の問題のように、別途稼動しているサーバを使うものもあります。

今回は、より教育の親和性を高めるために、先生に、授業を理解していれば解ける問題を中心に10問作成いただきました。ラック側は、前回の問題を微調整し、さらにDNSに問い合わせる問題を追加しました。最終的に、問題数は先生が作成した問題と合わせて合計30問になりました。宮下先生、猪俣先生ご対応ありがとうございました。

個人的に興味深かったのは、問題を解くためにさまざまな方法を試す大学生が高校生よりも多かった点です。
例えば、写真を撮影した場所を答える問題はGPS情報から辿ることを想定していましたが、特徴のある箇所を抜き出し、類似画像検索により場所を特定する学生がいました。また、ラックの本社ビルの屋上にある特徴的な施設を答える問題では、断片的な情報を頼りに再検索を繰り返し答えに辿りつくことを想定していましたが、航空写真で屋上の施設を確認しようとする学生もいました。さすがに後者は正答することはできませんでしたが、出題側もなるほどと感心しました。

最終的には、出題側に直接ヒントをもらうというソーシャルエンジニアリングまで...。免疫がない私はすぐにヒントを出してしまいました。

さらにセキュリティ実習が進み、すぐに解ける問題がなくなったあたりから、高校生との行動の違いが表れ始めました。
計算問題を100問解いたり、数百あるディレクトリから答えのファイルを探したり、Webサイトを1万回訪問するような力技でも解ける問題に対する行動です。なお、実際の問題には、○問解け等の終わりを示す数字は記載していませんので、いつ終わるのかわかりません。高校生は、力技で解く人が何名もいました。対して大学生は、力技で解く人はいませんでした。力技も試しますが皆さん途中で諦めていました。力技で解いても得るものがないと考えたようです。ただ、合理的に解く方法も見つけることができなかったようです。

これらの問題は、あえて力技で苦労して解かせ、最後の答え合わせの際に合理的に解く方法を解説することで、ITの便利さを伝える意図で作成しました。高校生にはそのアプローチがうまく機能しましたが、大学生にはうまく機能しませんでした。今回の対象者のレベルにおいては、合理的に解くためのヒントを提示して解法を考えさせた方が、教育効果が高かったのではないかと反省しています。

課題はありましたが、前回、今回ともに学生たちの反応は上々でした。
実際に稼動しているシステムに触れて学習することは、座学で得た知識を自分自身のものにする手助けをするだけでなく、ITの楽しさも伝わりやすいと考えます。

現在、もう一校希望される学校がありますので、いずれ本ブログで開催報告をしたいと思います。
下記の工夫＋αで楽しく身になる実習を目指します。
　・授業を理解していれば解ける問題を先生に作成してもらう
　・対象者の技術レベルに合わせて問題内容やヒントを変える

学校教育の中でセキュリティ実習の希望がありましたら、ご連絡ください。
お手伝いできれば幸いです。

なお、今回は、弊社八尾さんが宮下先生へすばる高校の話をしたことがきっかけで実現しました。八尾さんは全国各地で情報セキュリティ関連の勉強会を開催されている方で、"まっちゃだいふく"というハンドルネームで活動されています。八尾さんのこれまでの地道な活動が着実に情報セキュリティの普及啓発に結びついていると感じました。

ただし、今回も「ラックを知っている人？」と手を挙げてもらったところ、残念ながら前回同様、誰一人として手が挙がりませんでした。まだまだ情報セキュリティの普及啓発＋自社の知名度向上の活動が必要だと痛感しました。

これからも精一杯がんばりますので、皆様どうぞよろしくお願いいたします。

【参考】
情報系ゼミの学生がCTFに挑戦 | 現代社会学部blog