Alice in Hackerland 第4回「CTF for Girls」

本連載は、セキュリティコンサルタント土屋アリス氏による、セキュリティカンファレンスや、サイバーセキュリティ専門家のインタビューをお届けします。今回は、多数の参加者の好評を得て、今週金曜日2014年10月17日に第2回ワークショップが開催される、CTF for GIRLS の第1回のレポートをお届けします。

--

2014年6月29日、SECCON実行委員会及び日本ネットワークセキュリティ協議会による女性限定CTF「CTF for GIRLS」が東京六本木ヒルズで開催された。参加者、スタッフ、講師全てが女性限定という国内初の女性向け情報セキュリティイベントは、告知3日間で80名以上の応募が殺到し、キャンセル待ちが出るほど盛況だった。出席者の7割は社会人で3割が学生。中には高校生もいた。社会人の多くはスマホアプリやWeb開発、フォレンジック、情報セキュリティプロダクトの営業、また政府機関からも数名出席していた。

●「CTF for GIRLS」構想のきっかけ

企画者の中島明日香氏は、構想のきっかけは韓国で開催された女性限定CTF「Power of XX」だったと振り返る。

「韓国では『ハッカー＝かっこいい』の印象が浸透していて女子大では情報セキュリティ学科もあります。国としても、情報セキュリティ学科を卒業した先に韓国政府での幹部候補のポストを設けていて、いまや花形職です。日本でも同じこと(女性が活躍する舞台の提供)がしたいと思い、SECCONの方と企画し約半年をかけて今回のCTFが実現しました。未経験の方が多くいる中、プロの方もいらっしゃるので、講師選定、プログラム構成にはとても気を配りました」と中島氏は語った。

●人気カテゴリはWeb脆弱性

プログラムは、午前中に、Webの脆弱性、バイナリ解析、フォレンジック、暗号化、ネットワークのパケット解析の講習を行い、ヒルズランチの後は講習を元に各カテゴリの問題をグループ別に解いていく。その後、各カテゴリに分かれて、より専門性の高い講習を聞くという流れだ。

事前アンケートではWebの脆弱性が一番の人気だったが、バイナリ解析やフォレンジックも人気が高かった。ほとんどの参加者が、時間制限中に14問全ての問題を解けていない中で、3分で解き終えてしまう参加者もいた。

CTF参加者の目的は、技術向上、セキュリティ知識向上があげられた。

参加のきっかけは先輩や後輩に勧められてという、他者から勧められたケースが多い。印象的だったのが「完全にランチとスイーツに惹かれました」と、なんとも女性らしい理由を答える人も多くいた。

●参加者の声

いくつか参加者の感想をご紹介したい。

慶応義塾大学、環境情報学科に通う小林茉莉子さんは、CTF for girls に参加したきっかけを語った。小林さんは、アプリケーション開発技術を勉強している中で、この春より情報セキュリティのコースを受講している。その先輩の中には海外のCTFに参加している方もいて、知人の運営委員に勧められて参加を決めたようだ。今回の「女性限定」というのは彼女にとって「安心」だったという。現在彼女が所属している情報セキュリティのコースも9割が男性で、技術的レベルが格段に違う。なかなか質問しづらいし、質問できてもその回答が専門用語すぎて理解できないこともあるという。「女性の先輩は、質問しやすくて。とても安心してワークショップにも参加ができた」と笑顔をみせた。

CTF For GIRLSの締めくくりとして、各グループ代表1名が参加のきっかけや感想を一言コメントとして発表した。

・「『個人PCないなら俺が貸してやる』と言う先輩に、ここまで言われたらさすが参加しないといけないなぁ、と思い参加しました。通常、Webの脆弱性診断業務をしていますが、今回はいろいろなセキュリティの分野があって勉強になりました。」

・「ネットワークのセキュリティは初めて。会社でもネットワークのセキュリティはやっていなくて。新しいツール等も知れてよかった。ランチとスイーツにつられてきてしまったのですが。」

・「男性が多い勉強会が普通。よく勉強会には参加するのだけれど、女性だけ(の勉強会)は初めて。社内で勉強会っていうのはあるけれど、他の会社や、大学生とともに勉強できるのがよかった。」

・「セキュリティには関係のない仕事で後輩が紹介してくれた。セキュリティの大会があるということも初めて知った。会社では毎年出ようとしているので、今後挑戦してみたい。」

・「普段は暗号技術の研究をしている大学院生です。普段行く勉強会やカンファレンスでは男性が多い。だから普段から男性が多いことには慣れているけれど、今日は女性が多くて華やか過ぎて緊張してしまった。」

●「機会」を造っていきたい

CTF for GIRLSを立案した中島明日香氏は「CTR for GIRLS」の企画の背景を振り返る。

参加者のアンケートによると「私はレベルが低いけれど参加してよいのか？」「ついていけるかが心配」など、女性が情報セキュリティに関して「学びたい意識」があるのにも関わらず「他人のレベルについていけず、ご迷惑をかけるのではないか」と参加を自粛しがちであることを指摘した。

中島氏は、女性がこの業界に入りづらい要因は情報セキュリティに触れる「機会」が少なかったからなのでは、と問う。例えば幼少の頃からパソコンで遊んだり、プログラミングについて女友達同士で語り合うことはあっただろうか。いざ社会に出ても女性と出会う機会も少ない。CTF for Girls は、同じ業界で働く女性がこれだけいて、同じ悩みを抱いていることを分かち合うことの出来る出会いの機会であり、今日出会った人達とは、今日限りではなく、これからも繋がっていて欲しいと考えており、今後もこういったきっかけを提供し続けていきたい、と語った。