TOUCH THE SECURITY Powered by Security Service G

発信

2019.01.10

社内で2回目のCTFを開催したお話

ここ数年、自社内でCTFを開催しているといった話をよく耳にするようになりました。我らパーソルテクノロジースタッフも初の自社CTFを2017年度に開催、元々ノウハウに乏しいということもあり、多くの気付きや反省を得ることとなりました。そして遂に2回目となる大会を敢行したのですが、この時の運営に関するお話を幾つか紹介しておきます。

CTFを既に自組織内で実施している方、また、これから企画を考えているといった方のお役に立てれば幸いです。

何故CTFなのか、弊社の目的

自組織でCTFを行うとなると、それなりのパワーとリソースを必要とします。しかし弊社が敢えて取組む理由は以下の2つです。

  • セキュリティ技術・文化に対する理解促進~キャリアシフトのきっかけを作る
  • 潜在的な人材の可視化

冒頭からなんですが、究極を言うと「面白いことがしたかった」に尽きるかもしれません。但しそれは個人的な事由に相当するので、弊社やIT人材派遣事業者ならではの背景に基づく、2つの理由に触れておきます。

セキュリティ技術・文化に対する理解促進~キャリアシフトのきっかけを作る

ITセキュリティの技術領域において、長らくテーマとなっているキーワードに、人材不足が挙げられます。どこの企業も悩ましい問題ではないのでしょうか。弊社も例外ではなく、いわゆるセキュリティエンジニアとしての経験がある人材は、喉から手が出るほど欲するところです。

この昨今の状況において、セキュリティ人材の市場では、領域に特化した商材を抱えるセキュリティベンダやメーカー、そして同領域の"経験者"といった、より色味の濃いプレイヤーに有利に働くのが実情です。我々の様に、千差万別の個性に合わせて様々な職種をマッチングさせる事業形態は、よく言えばニュートラルですが、一方で影の薄らぐところでもあります。

そんな弊社が、同領域での躍進の鍵と考える要素に「同じ技術をベースとするエンジニア」の存在があります。平たくいうと、NWインフラやアプリケーション開発に携わる技術社員に対して、セキュリティに特化したキャリアプラン・シフトを考えてもらう活動が必要で、その一環として挙がったものがCTFでした。

感度の高い技術社員に、楽しく問題を解いてもらいつつ ―― 概念理解だけで済ませていたが、よく考えると、これは日頃接する技術要素だ ―― といった気付きや興味を得てもらう。それが更にはキャリアシフトのきっかけへと繋がる。そんな期待を込めております。

潜在的な人材の可視化

IT部門に在籍する技術者。片やセキュリティ専門部門やセキュリティベンダの技術者。セキュリティ人材(セキュリティエンジニア)とは、恐らく後者のことを指す場合が多いはずですが、両者の職務分掌点は曖昧であることも多々あると思います。「専任では無かったが、セキュリティ的な業務を受け持っていた」という、前者の人材は居るものです。

そこで、社内において後者の我々が、前者(潜在的なセキュリティ人材)に属するセキュリティと親和性の高い人を、なんとなく可視化しておきたかったというのも狙いのひとつです。

但し参加者をプロファイリングするような意図はなく、参加してくれた人、成績の高い人などを、社内報を通じて紹介しただけではあります。

参加してくれた弊社の技術社員たち。横から失礼するね。

弊社の社内CTFに求められるもの

前記の目的を掲げる都合上、世のCTFをそのまま踏襲した大会では成り立ちません。例えば、解答や問題に込められた意味の解釈を、参加者がライトアップとしてまとめてくれることは無いでしょう。こちらで提示する必要があります。

また、非BYODという弊社環境に起因しますが、参加者の人数分だけ同じ条件の端末を用意する都合上、解法のバリエーションは限定されます。更には大会が短時間であること、あくまで興味のきっかけであるべきことを考慮した結果、実務の延長線上にあるような問題が中心になった点も挙げておきます。

逆に継承したい世のCTFのカルチャーも多々あります。例えばあのどことなく自由で、遊び心のある世界観。こういったものを軽視してはナンセンスです。故に、問題の内容から告知の方法に至るまで、かっちりし過ぎずふざけ過ぎず、常にバランスを心がけました。

タイトルでピンとくる人は、解けた後に脱力。ジョージオーウェルの名作がモチーフの教養あふれる問題(こちらはアクティブディフェンス研究所の忠鉢氏作成)。

環境について

世のCTFと言えば、オンラインで開催しつつ、万人が気軽に参加できる方式を連想する方も多いのではないかと思います。但し、問題によっては参加者がインターネット越しにイリーガルなリクエストを飛ばすことになる為、サーバを何処にホスティングさせるのかといった課題が発生します。

その手はオンプレに向けさせる手もあるのですが、非セキュリティ職種の参加者が、不慣れなツールを使って、意図しない相手に怪しいリクエストを飛ばす可能性もぬぐえない。そんなことを考えると、オフライン(要するに会社内)開催として、以下のような環境で実施するのが相応しいという結論に至りました。

稚拙な感は否めないけど、安全ではある。

2回目の開催に伴う新たな試み

弊社は東京、名古屋、大阪の3か所に拠点があります。これを書いている私は東京拠点に在籍するのですが、初回は東京拠点の技術者だけを対象としていました。そして2回目開催の噂を聞きつけた他拠点上層部より「俺らも参加させて」のリクエストが。面倒な予感(汗)と同時に「日頃乏しい、拠点間交流のきっかけにもなるのではないか。」という気持ちも湧いてきました。先の環境をベースとする大会ですし、端末の台数と手間は要するものの、技術的なハードルは皆無です。

但し、馴染の薄い不特定多数の面々に対して、大会の意図や方式を説明する為には、いつも以上の慎重・丁寧さが要求されます。説明の機会も社内掲示版やメールといった遠隔手段に限られますが、長文の告知を何度も投げつけるような精神性をもってしてはCTFも台無しです。ふざけているようで要点は端的。そういった、コミュニケーションのセンスは問われたと思います。

結果、うまく伝わっていたかどうかはわかりませんが、複数拠点を巻き込むことで、社内の繋がりも増してよかったと思っています。個人的なメリットではありますが。

苦労、反省点など

多少稚拙ではあるものの、1回目のそれを踏襲することで、システムをゼロから考える手間は省けました。

しかし当然ながら、社内のメンバーが新たな問題を作成する工数は発生します。しかも弊社の技術メンバーは各々が客先常駐なので、出揃う問題に統一感はありません。必ずモディファイする役割の人も必要です。回数を重ねても、必ず発生する工数は存在します。

また、反省点としては、予定を下回る参加者数になってしまった点でしょうか。更に多くの参加者を募るに場合は、周到な根回し・運用リソースが必要と思われます。例えば、役職者や広報部署が、この大会に直接言及するような公の場を設けていれば、社内の反応が一変した可能性も否めずです。

今後の課題

冒頭でも触れましたが、弊社のCTFは、自組織内でのセキュリティ技術・文化に対する理解促進や、キャリアシフトのきっかけ作りが主となります。但しその目的であれば、CTFという周りくどい手段に拘る必要はない。そんな考え方も出来ます。費用対効果が明確ではないのです。

そこで、次回は問題や環境を更に利活用する取組みについて紹介します。

記事一覧に戻る