TOUCH THE SECURITY Powered by Security Service G

発信

2022.08.25

CTFとはなにか?社内で自社CTFを開催したお話について

ここ数年、自社内でCTFを開催しているといった話をよく耳にするようになりました。我らパーソルクロステクノロジーも、初の自社CTFを2017年度に開催しました。1回目の時点では、元々ノウハウに乏しいということもあり、多くの気付きや反省を得ることとなりました。そして今回、2回目となる大会を敢行しました。この時の運営に関するお話や、社内行事にも関わらず、そこそこのリソースを要することへの気づきと、問題をいかに活用すべきか、というお話をいくつか紹介します。

CTFを既に自組織内で実施している方、また、これから企画を考えているといった方のお役に立てれば幸いです。

そもそもCTFとは?

CTFとは、「Capture The Flag(旗取りゲーム)」という意味の略です。CTFは、情報セキュリティ分野で技術を競い合うゲームですが、専門知識や技術を求められる情報セキュリティ分野の敷居を下げ、楽しみながら学ぶことができ、またスキルをつけられる競技です。

CTFのイベントで有名なのは、規模やレベルともに、アメリカにある「DEFCON」が世界最高峰と言われています。日本国内では、NPO日本ネットワークセキュリティ協会が主催する「SECCON」が最大級です。「SECCON」は毎年開催されています。

また「SECCON」は「CTF For Girls」というイベントも開催しています。どうしても情報セキュリティ分野に関連する性別は男性が多くなってしまい、女性が興味を持っても敷居が高くなってしまうところを、あえて性別を限定して開催することで、性別問わず多くの人に情報セキュリティに興味を持ってもらうことを目的にCTFをを開催しています。

なぜCTFなのか?弊社の目的とは

CTFは、上述した大きな企業や団体がおこなうイベントが有名で、それらがCTFを代表していることからも分かる通り、自組織でCTFを行うとなると、それなりのパワーとリソースを必要とします。

しかし、弊社があえて自社のCTFを取り組んだ理由は、下記の2つです。

  • セキュリティ技術・文化に対する理解促進~キャリアシフトのきっかけを作る
  • 潜在的な人材の可視化
ただ筆者の結論としては、社内で「面白いことがしたかった」という言葉に尽きるかもしれません。

ただしそれは個人的な事由になってしまうので、弊社やIT人材派遣事業者ならではの背景にもとづく、上記2つの理由についてお話します。

セキュリティ技術・文化に対する理解促進~キャリアシフトのきっかけを作る

ITセキュリティの技術領域において、長らくテーマとなっているキーワードに、人材不足が挙げられます。どこの企業も悩ましい問題だと思いますが、弊社も例外ではなく、いわゆるセキュリティエンジニアとしての経験がある人材は、なかなかいないため、希少な存在です。

こういった昨今のセキュリティ技術を持つ人材不足の状況は、セキュリティ人材の市場にとって、領域に特化した商材を抱えるセキュリティベンダやメーカー、そして同領域の"経験者"といった、より色味の濃いプレイヤーに有利に働くのが実情です。

弊社のように、千差万別の個性に合わせて、様々な職種をマッチングさせる事業形態は、よく言えばニュートラルですが、一方で影が薄くなってしまう可能性も持ち合わせています。

ただ、弊社が同領域の中で躍進するための鍵と考える要素に「同じ技術をベースとするエンジニア」の存在があります。NWインフラやアプリケーション開発に携わる技術社員に対して、セキュリティに特化したキャリアプラン・シフトを考えてもらう活動が必要でした。そしてその一環としてあがったものがCTFでした。

感度の高い技術社員に、楽しく問題を解いてもらいつつ、「概念理解だけで済ませていたものが、よく考えると、これは日頃接する技術要素だ」といった気付きや興味を得てもらう。それがさらにはキャリアシフトのきっかけへと繋がると、そんな期待を込めています。

潜在的な人材の可視化

セキュリティ人材(セキュリティエンジニア)とは、恐らくIT部門に在籍する技術者ではなく、セキュリティ専門部門やセキュリティベンダの技術者を指す場合が多いはずですが、両者の職務分掌の点は、曖昧であることも多々あると思います。現実として、「専任では無かったが、セキュリティ的な業務を受け持っていた」というようなIT部門に在籍する技術者は存在します。

そこで、社内においてセキュリティ専門部門やセキュリティベンダの技術者の我々が、潜在的なセキュリティ人材に属するセキュリティと親和性の高い人を緩やかにでも良いので可視化しておきたかった、というのも今回のイベント開催の狙いのひとつです。

ただし、参加者をプロファイリングするような意図はなく、その後は参加してくれた人や成績の高い人などを、社内報を通じて紹介しただけに留めています。

弊社の社内CTFに求められるものとは

前述の目的を掲げるならば、例えば、解答や問題に込められた意味の解釈を、参加者がライトアップとしてまとめてくれることはない可能性のほうが高いため、こちらで提示する必要があります。世のCTFをそのまま踏襲した大会では、目的は成り立ちません。

ほかにも、非BYODという弊社環境に起因しますが、参加者の人数分だけ同じ条件の端末を用意する都合上、解法のバリエーションは限定されてしまいます。また、大会が短時間であること、あくまで興味のきっかけであるべきことを考慮した結果、実務の延長線上にあるような問題が中心になりました。

反対に、弊社でも継承したい世のCTFのカルチャーも多々ありました。例えば、どことなく自由で、遊び心のある世界観などです。この世界観を崩さないよう、問題の内容から告知の方法に至るまで、かっちりし過ぎず、しかしふざけ過ぎずといったバランスは常に心がけていました。

タイトルでピンとくる人は、解けた後に脱力。ジョージオーウェルの名作がモチーフの教養あふれる問題(こちらはアクティブディフェンス研究所の忠鉢氏作成)。

環境について

CTFと言えば、オンラインで開催しつつ、万人が気軽に参加できる方式を連想する方も多いのではないかと思います。しかし問題によっては、参加者がインターネット越しにイリーガルなリクエストを飛ばすことになるため、サーバを何処にホスティングさせるのかといった課題が発生することがあります。 そういった場合はオンプレに向けさせる手もあるのですが、非セキュリティ職種の参加者が、不慣れなツールを使って、意図しない相手に怪しいリクエストを飛ばす可能性もぬぐえない状況が出てきてしまいます。そういったことを鑑みると、オフライン(要するに会社内)開催として、以下のような環境で実施するのが相応しいという結論に至りました。

稚拙な感じは否めないけど、安全ではある。

2回目の開催に伴う新たな課題

弊社は東京、名古屋、大阪の3か所に拠点があります。これを書いている筆者は、東京拠点に在籍していますが、初回は、東京拠点の技術者だけを対象としていました。

2回目開催の噂を聞いた他拠点上層部より「自分たちも参加させてほしい」とのリクエストが。「日頃乏しい、拠点間交流のきっかけにもなるのではないか。」という気持ちが湧きます。

先の環境をベースとする大会ですし、端末の台数と手間は要するものの、技術的なハードルは皆無。ただし、馴染みの薄い不特定多数の面々に対して、大会の意図や方式を説明するには、いつも以上の慎重・丁寧さが要求されます。

説明の機会も、社内掲示版やメールといった遠隔手段に限られますし、長文の告知を何度も投げつけるような形では、CTFというものの意味が変わってしまいます。一見ふざけているようで、要点は端的に述べる。そういった、コミュニケーションのセンスはこのとき大きく問われたと思っています。

結果、複数拠点を巻き込むことで、社内の繋がりも増しました。

苦労、反省点など

2回目のCTFは、多少稚拙ではあったものの、1回目のイベントを踏襲することで、システムをゼロから考える手間は省けました。

しかし当然のことですが、社内のメンバーが新たな問題を作成する工数は発生します。しかも弊社の技術メンバーは各々が客先常駐なので、出揃う問題に統一感はありません。必ずモディファイする役割の人も必要です。回数を重ねても、必ず発生する工数は存在してしまいます。

また、反省点としては、予定を下回る参加者数になってしまった点です。多くの参加者を募る場合は、周到な根回し・運用リソースが必要だと考えています。例えば、役職者や広報部署が、この大会に直接言及するような公の場を設けていれば、社内の反応が一変した可能性もあったかもしれません。

実はあった裏テーマ

そして、弊社は、下記の目的でCTFを実施しました。

  • 1. セキュリティ技術・文化に対する理解促進~セキュリティ領域へのキャリアシフトのきっかけを作る
  • 2. 潜在的な人材の可視化
弊社の事情を鑑みた際、この目的を実現するための手段がCTFである必要があるのだろうかと、疑問が頭をよぎることもありました。そもそも上記は、即効性を期待しがたい目的です。それに対してCTFという手段は、果たして割にあうコストなのだろうか。もっと見合った手はあるのかもしれないとも考えています。

そして、社内で公言はしなかったものの、こんな崇高な目的も思い描いていました。
  • 3. CTFは単なる手段ではなくカルチャー。社としてもなんとか与したい
  • 4. ただ単に楽しんでもらう
さすがに社内CTFイベントは個人の活動ではないので、これを目的に含めると異論も飛び出すかもと思い、公言はしませんでした。しかし、「CTFが中長期を見越した活動になりそうであれば、短期、かつ定量的な結果を得られる(かもしれない)。そういった目的にも紐づけると、より持続的なイベントとなるのでは?」という意図、この裏テーマに無条件で理解を示す人々こそ、今求められる人材像でもあります。

ワールドワイドに開催される、ハッキングのためのカンファレンス「DEFCON」におけるCTFの模様。
Nate Grigg [CC BY 2.0 (https://creativecommons.org/licenses/by/2.0)], from Wikimedia Commons

今後の課題

冒頭でも触れましたが、弊社のCTFは、自組織内でのセキュリティ技術・文化に対する理解促進や、キャリアシフトのきっかけ作りが主となります。ただしその目的であれば、CTFという周りくどい手段にこだわる必要はない、そんな考え方も出来ます。CTFは、費用対効果が明確ではないのです。

弊社はITの人材派遣会社です。セキュリティ領域と親和性のある技術者を採用すべく、日々様々な取組みを行っています。その一環として、社内向けに実施したCTFを求職者さんへのアピール・交流イベントとして、そのまま活用しました。

とはいえ、まずはブランディングのための活動という側面も大きく、参加して頂いた方が、弊社へ興味を持って入社したり、派遣スタッフとしてご登録頂くなどの成果をいきなり求めることはやはり難しいのが実情です。しかし本来の目的に比べると、分かりやすく目的への紐づけができたかもしれません。

問題レベルのばらつき、環境の不完全さなど、クリアすべき課題はまだまだ多く、先ずはオフラインで小規模に開催。

また、1回目と同じ環境・同じ問題を流用したものの、社員をターゲットとした時とは異なる、新たな課題も浮き彫りになりました。この点は、ご参加頂いた皆様へ感謝するとともに、既にパブリック向けにCTFを主催されている他の会社さんへも、改めてリスペクトを感じました。

記事一覧に戻る