TOUCH THE SECURITY Powered by Security Service G

発信

2017.10.12

パーソルテクノロジースタッフ初の「社内CTF大会」を開催

情報セキュリティへの更なる理解と促進に向けて、社内初の取組みとなる「CTF大会」を9月23日に開催しました。近年、各社が啓蒙活動の一環として実施するケースをよく耳にしますが、我々の様な派遣ベースの事業種としては比較的珍しい事例であったかもしれません。

今回は、この社内CTF大会にまつわるお話を紹介します。

大会の目的

記事冒頭の通り、大会の目的として先ずあげられるのが、セキュリティに関する理解と促進。弊社はインフラからアプリケーション開発に至る様々なフィールドのエンジニアが在籍していますが、日頃の業務内容に沿うか否かを問わず、ゲームを通じて幅広いセキュリティ要素に触れてもらう中で「そうだったのか」「知ってはいたが、初めて動かした」といった、体験や興味を提示しようという訳です。

そしてもう一つの目的は、CTFというゲームそのものに対する社内認知の獲得です。以上二つのコンセプトより、解ける・解けないに関わらず、参加者が何らかの知識を得たり、面白さを理解できるといった点を重視しました。

また、今回は参加者のスキルに対するプロファイリングはしない旨を、告知時に明確にした点も特色として挙げておきます。

ノウハウは無し、先ずはスモールスタートで

SECCONをはじめ、スタッフ陣の過去数回にわたるCTFへのチャレンジにより、概ねの予備知識は備わっていたものの、こと運営に関する知識はゼロに等しい状態です。スタッフは各々が別の現場に就業しているという物理的な制限もある中、無理のない開催方式が求められます。

議論の結果、初の社内CTFは以下の方式で実施する運びとなりました。

  • 開催場所:オフライン(社外からのエントリーではなく、社内のクローズドな環境に集合して実施)
  • 出題形式:Jeopardy(いわゆるクイズ形式、攻防戦的な要素は見送り)
  • エントリー者の想定:20名程度による個人戦

問題の作成

開催形式が固まったところで、早速問題の作成です。弊社セキュリティサービスGの有志10名弱が、出題ジャンルに関するミーティングを行った後、以降は全てslackでやり取り。ひと月程度の期間を経て、「暗号」「WEB」「バイナリ」「NW」「フォレンジック」といった、CTFにおける一通りのジャンルの問題が出揃いました。いずれも各人が業後にコツコツと作り上げた渾身の作です。

スコアリングシステムの選定、大会準備

一方、社内常駐のメンバーを中心とする別動部隊は、スコアシステムの構築、問題サーバーへの実装、出題文の微調整、そして執拗な社内への告知、果ては本番当日のお菓子の買い出しといったタスクまで、とにかく雑多にこなしていきます(この記事を書いている私もその一人)。

ちなみにCTFのスコアサーバですが、facebook社がOSSとして提供する「fbctf」を使用しました。OSSとして提供されるスコアサーバは他にも幾つか存在しており、当初別のもので稼働させる予定ではあったものの、大会直前にしてマルチバイト文字列の処理に関する困ったエラーが発覚。急遽こちらへ乗り換えるといったドタバタもありました。尚、fbctfについては、本サイトで別途詳しくお話する予定です。

fbctfのスコア機能

facebook社製のスコアリングシステム、その名も「fbctf」。画面は本番実施時におけるスコアの状況。

本番当日

万全の態勢?で迎えた本番当日。チーム一丸となって取り組んだ甲斐もあって、目立ったトラブルもなくゲームは進みます。社内イベントにしては(個人戦特有の)淡々とした雰囲気も如何なものかと、休憩用のお菓子ラウンジなども用意してみましたが、全員没頭しすぎて利用頻度低し。どうやら皆のエンジニア魂に火をつけてしまったようです。

社内CTFの様子

上段:二つのルームに分かれてゲームを実施/下段左:「Kali Linuxでなんとかならないかしら」/下段右:妙な仕掛けのwordpressサイトとにらめっこ中

そして遂に迎えたタイムアップ。上位3名に位置するアカウントの使用者には、名乗り出てもらって表彰と商品授与。その後は街へと繰り出し、参加者と運営陣でお約束の乾杯です。

参加者「あの問題‘%$〇#みたいに解こうとしてたんだけど、解けなかったよ。」
スタッフ「実はそれ+@◆“△みたいな解法で行けるよ。」
参加者「うっ。マジかっ!ぐやじぃ~」

こんな会話が延々と繰り広げられた事は想像に難くなく。

まとめ、次回課題など

初のトライという事もあり、第一回目はオフライン開催でのスモールスタートとなりました。いずれオンライン実施による参加者数の拡大を狙いたいところですが、CTFの実施環境に対するセキュリティの担保をはじめ、敢えて見送っていた要素に目を向ける事になるでしょう。次回のCTFは、方式をよりチューンナップしてレポート出来るよう、我々も精進が必要ですね。

記事一覧に戻る