見出し画像
Photo by mericanadesico

セキュリティのスキル・知識を競う大会「セキュリティCTF-パーソル杯」でミイダスが2連覇達成

miidas_tech

こんにちは。ミイダスTech Officeです。この度、パーソルホールディングス主催で2回目のセキュリティCTFが開催され、今年もミイダスから参加したエンジニアが優勝しました。今回は、本イベントを企画・運営されたパーソルホールディングスの宮下さんと、優勝したミイダスの酒井さんに話を伺いました。

昨年の開催記事はこちら

宮下:2017年に新卒採用1期生としてパーソルホールディングス(旧テンプホールディングス)に入社し、パーソルグループの各種セキュリティサービスの企画導入から運用保守に携わってきました。また、セキュリティインシデントが発生した際のハンドリングも行っています。現在はゼロトラストやXDRを軸としたグループの次世代アーキテクチャ推進もおこなっています。

酒井:ミイダスのインフラチームの酒井です。前職では5年間、主に開発部でJavaを用いたバックエンド開発を行い、時々スマホアプリ開発なども担当していました。また、情報システム部では社内ネットワークの管理も担当していました。その後ミイダスに移籍し、6年ほど在籍しております。
自社サービスである「ミイダス」のインフラ基盤を担当しており、特にAWS周りの設計・運用に注力しています。また、SRE領域においても調査改善活動を行っており、過去の開発経験が役立っていると感じています。また、情報システムに関する業務にも積極的に関与しています。


今回のセキュリティCTF(Capture The Flag)について

Q. CTFとはどのようなコンテストなのでしょうか?

宮下:CTF(Capture The Flag)は、旗取りゲームの略称で、情報セキュリティの分野では専門知識や技術を駆使して隠されたFlag(答え)を見つけ出し、時間内に獲得した合計点数を競うハッキングコンテストを指します。クイズ形式の問題を解くことや、ネットワーク内で疑似的な攻防戦を行うこともあります。CTFでは、難易度に応じた配点が設定されており、参加者はどの問題から解いていくかという戦略性も求められます。また、高得点の問題を解くことで点数を稼ぐことができますが、それによって時間がかかる場合は、簡単な問題を解いていく方が良いこともあります。
CTFは参加者の技術や知識を試すゲーム性があり、今回もその点を意識して準備を行いました。

Q. 開催背景や今回の運営体制について教えてください

宮下:もともと、私自身も過去に参加したことがあるのですが、現パーソルクロステクノロジーズ(PXT)である旧パーソルテクノロジースタッフ株式会社がCTFイベントを主催していました。しかし、コロナ禍によってCTFイベントは一度凍結されていました。コロナが落ち着いてきたこともあり、PXTメンバーと再びイベントを開催したいという話になり、グループ内のTech(セキュリティ・IT等)人材の交流やスキル向上、新卒・中途採用の促進を目的に、グループ全体で開催することになりました。それをきっかけに、パーソルホールディングス(PHD)が主導で企画を開始しました。今回は2回目の開催となります。
今回のCTFの運営メンバーは、事務局を中心に5人で構成されています。事務局には、PXTから3人、当社から私を含めた2人(私と部長の持田さん)が参加しています。技術面では、前回と同様にPXTが基盤の構築を担当し基盤構築や負荷テストを行いました。PHDは参加者募集に関するコミュニケーションや日時調整などを中心に行いました。問題制作に関してはPXTが半分を準備し、残りの半分は私が担当しました。

Q: 今回のCTFのルールや工夫した点などについて教えてください。

宮下:今回のCTFでは技術的なセキュリティ脆弱性、ファイル解析、パスワードクラックなどの問題だけでなく、セキュリティ知識がない人でも楽しめるように脳トレの問題も含めました。問題の割合としては、脳トレが10問、残りが技術的な問題で合計約40問でした。正答率を見ると初めての方でも高得点が出ているようです。参加者は脳トレ的な問題から始めて、興味のある分野へと進んでいくようでした。
CTFの性質上、参加者が限られてしまいがちなのですが、私たちのCTFの開催の目的はセキュリティに関心を持ってもらいより多くの人に触れてもらうことです。そのため、今回は幅広い参加者を対象とした構成にしました。

Q: 参加者の属性や攻略スタイルに違いはありましたか?

宮下:今回はグループ各社から参加者が集まったのでIT部門所属でも普段担当している業務が異なるなど属性もバラバラで、全体で約50人程度でした。前回の反省を活かして準備をしましたので、今回は参加者にしっかり楽しんでいただけたと思います。参加者のバックグラウンドから攻略スタイルに違いが見られ、運営としても興味深く見ていました。前回に比べて参加者の呼び込みが少し足りなかったかもしれませんが、それでも多くの方に参加いただき、様々な属性の参加者がいたのは良かったです。次回はもう少し早い段階から場所と日時の確保をして、呼び込みができたらと思います。

Q: ミイダスの活躍はどうでしたか?

宮下:酒井さんの活躍は予想通りでしたが、2位の小林さんもミイダスであることは驚きでした。閉会式で発表された際、ミイダスの方であることを知りました。酒井さんを含む1位から3位の方々が激しいデッドヒートを繰り広げていたんですよね。今回のCTFは初心者にも取り組みやすいように、脳トレのような問題も多くありましたが、酒井さんをはじめ、先に述べた3名の方々は技術寄りの問題を解いていた印象です。

今回CTFに参加されていかがでしたか?

Q: 今回も優勝おめでとうございます。大会はいかがでしたか?

酒井:ありがとうございます。今回も無事に良い成績を残すことができました。前回の結果を踏まえ、まるで防衛戦のような感じでしたね。他の運営の方々にも期待されていたのではないかと感じ、プレッシャーはありました。正直、開始時はかなり緊張していましたよ(笑)手を抜くわけにはいかないと思っていましたが、いつも通りの環境でしっかりと整えて臨みました。

Q: スコアの進捗はどうでしたか?

酒井:スコア自体は途中で見ることができ、リアルタイムでグラフになって表示されていました。途中経過は結構ギリギリだったと聞いています。最初はただ解けるところを解いていましたが、一段落ついてからスコアを見直した時に、僅差にいることに気づきました。そこからは少し焦って本腰を入れて取り組みましたね。

Q: ミイダスの小林さんとの競争はいかがでしたか?

酒井: ミイダスから誰かが参加しているだろうとは思っていたのですが、最後まで小林さんだったとは気づかなかったですね(笑)実際、ミイダスの小林さんにすごい勢いで抜かされてすぐに追い越しましたが、その後は追い越されないように必死で頑張りました。まさか小林さんだとは思っていなかったので、特に意識して対戦はしていませんでした。

Q: 実際に難しかった問題や苦戦した点について教えてください。

酒井:セキュリティ的な問題は得意で順調に進めましたが、脳トレは確かに苦戦しました。技術的な問題に関しては、最終的にはほとんど解けました。期間が終わったら解答が公開されるので、その時に見直したいと思います。
特にCTF終盤で解いた、将棋に関する問題が印象的でした。結果的には技術的な問題だったものの私には将棋の知識がないため、私が解ける問題なのかと悩みました。解き進めていくと画像が出てきて、郵便ポストの上に将棋の駒が乗っているもので、それが置かれている市町村の名前が答えになるという問題でした。将棋のことを知っている人であれば回答となる「天童市」を連想する人はいたかもしれません。Googleで検索するとすぐに出てきたので、正解することができました。
また、ファイルの解析をした上で、攻撃者側や守る側の立場で情報を入手し、ブラウザでウェブ上の情報を探すようなOSINT(オープンソースインテリジェンス)を使うイメージで問題が作られているものもありましたね。それは実際のセキュリティ対策にも役立つ知識だと思います。

Q: 今回の問題についてどう思いますか?

酒井: 大きく分けて、すぐに答えが出る問題と、だんだんと答えに近づいていくステップがある問題があります。そういう問題を解く癖がついていると、より面白く感じられるかもしれません。バランスがとられていて良かったと思います。

宮下:問題文にちょっとした遊び心やネタを入れることで、参加者に「面白そうだな」と思ってもらえる雰囲気を伝えたいと考えています。例えば、「私はエルフだからね」というようなアニメの時事ネタが入っている問題を作っています。問題文を読んでクスッと笑ったり、解いてみようかなという気持ちにさせるような工夫をしています。このような面白さが参加意欲につながりやすいと思っています。

前回から今回の開催、そして次回開催に向けて

Q: 前回の開催から今回の開催に向けて改善した点や工夫した点について教えてください。

宮下:前回のCTFでは使用していた基盤の処理が重くなってしまい、参加者が増えると耐えられないことが分かりました。そのため、今回は基盤をFBCTFからCTFdというものに変更しました。これにより、競技への影響なく進めることができました。
酒井:今回は非常に快適で、特にレスポンスの悪さを感じることなく、純粋に問題に集中できました。前回は不調があった部分を無理やり回避していたので...。今回は快適さを実感できました。
宮下:事務局側としては、前回の反省を踏まえ、新しい基盤を使って負荷テストを行いました。これにより、数百人を超える参加者でも問題なく対応できることを確認した上で、当日安心して開催することができました。

Q: CTFを開催することによるグループ内の変化や雰囲気について教えてください。

宮下:アンケート等で多くの参加者から、「興味を持った」「解けない問題について調べてみます」という声をいただきました。「次回参加する際には勉強してきます」という声もありました。参加者にとっては良い作用があったと思います。また、CTFのイベントを開催していることで、グループ間のつながりを感じることができました。

酒井:今回は懇親会に参加して、運営の難しさを知ることができましたし、何よりも参加者同士のコミュニケーションを取ることができてとても楽しかったです。やはりこういうイベントは交流ができる魅力があると思います。
今回は脳トレ的な問題に苦戦したというのもあるように、色んな方がいい感じに接戦になれるように問題が作られているので、まず試しに参加してみてほしいです。みんなが参加して、こうして場を盛り上げていくところが重要だと思っているので。みんながワイワイと楽しめる場であって欲しいので、色んな人に参加して欲しいですね。

Q: 最後に次回開催に向けて一言お願いします。

宮下:次回の開催に向けては、より多くの参加者を集めることと、参加者同士のコミュニケーションが取れるような開催を目指しています。オンラインでの参加を選びがちな現状を考慮して、現地参加を促進したいと考えています。CTFは知的好奇心を刺激するイベントです。初心者でも経験者でも楽しめるように準備しますので、ぜひご参加ください!

ミイダス Techについて

ミイダスでは、様々な技術イベントを開催しています。connpassやYouTubeチャンネルでミイダスグループのメンバーになった方には、最新の開催情報やアーカイブの公開情報が届きますのでぜひご登録をお願いいたします。

イベントページ:https://miidas-tech.connpass.com/
Twitter:https://twitter.com/miidas_tech


この記事が気に入ったらサポートをしてみませんか?