TOUCH THE SECURITY Powered by Security Service G
以前自社におけるCTFの取組みについて触れたのですが、社内行事にも関わらず、そこそこのリソースを要することへの気づきと、問題を如何に利活用すべきかというお話を少々。
目的は崇高だけど、これでよいのか
弊社は、以下の目的でCTFを実施しました。
- 1. セキュリティ技術・文化に対する理解促進~セキュリティ領域へのキャリアシフトのきっかけを作る
- 2. 潜在的な人材の可視化
ちなみにどこの会社も似たような課題があって、これに等しい取組みがあるのではないかと思います。
弊社の事情を顧みた際、この目的を実現するための手段がCTFである必然性は何だろう。我ながらふとそんな疑問が頭もよぎります。そもそも即効性を期待しがたい目的ですが、CTFという手段は、果たして割にあうコストなのだろうか。もっと見合った手はあるのかもしれません。
そして社内で公言はしなかったものの、更にはこんな崇高な目的も。
- 3. CTFは単なる手段ではなくカルチャー。社としてもなんとか与したい
- 4. ただ単に楽しんでもらう
流石に個人の活動ではないので、これを目的に含めると異論も飛び出すかも。しかし、この裏テーマに無条件で理解を示す人々こそ、今求められる人材像でもありまして。つまりは何が言いたかったかというと、こんなことです。
「CTFが中長期を見越した活動になりそうであれば、短期、且つ定量的な結果を得られる(かもしれない)目的にも紐づけると、より持続できるのでは?」
ワールドワイドに開催される、ハッキングのためのカンファレンス「DEFCON」におけるCTFの模様。
Nate Grigg [CC BY 2.0 (https://creativecommons.org/licenses/by/2.0)], from Wikimedia Commons
短期視野の目的、弊社におけるCTFの利活用
弊社はITの人材派遣会社です。セキュリティ領域と親和性のある技術者を採用すべく、日々様々な取組みを行っています。その一環として、社内向けに実施したCTFを求職者さんへのアピール・交流イベントとして、そのまま活用してみました。
とは言え、先ずはブランディングの為の活動という側面も大きく、成果 ――参加頂いた方が、弊社へ興味を持って入社したり、派遣スタッフとしてご登録頂くなど―― をいきなり求めることはやはり難しく。しかし本来の目的に比べると、幾分分かりやすい目的へも紐づけられたかもしれません。
問題レベルのばらつき、環境の不完全さなど、クリアすべき課題はまだまだ多く、先ずはオフラインで小規模に開催。
また、同じ環境・同じ問題を流用したものの、社員をターゲットとした時とは異なる、新たな課題も浮き彫りになりました。この点は、ご参加頂いた皆様へ感謝するとともに、既にパブリック向けにCTFを主催されている他の会社さんへも、改めてリスペクトを感じた次第です。
ということで、社内でCTFを実施する際のちょっとした論考でした。
