CTFの作り方～ハッカーコンテスト運営成功の秘訣とは

セキュリティ企業のトレンドマイクロ株式会社は2015年から毎年ハッキングコンテスト「Trend Micro CTF」を開催しています。

「参加チーム数1,000チーム」という目標で始めたプロジェクトでしたが、2017年に開催された第3回開催の参加数は1,431チームとなり目標を達成しました。

最近は、SECCONなどの他にも、企業内での研修や、就活イベント等にCTFを活用するケースが増えてきました。しかし「どのチームが優勝したか」「どんな問題にどう回答したか」といった情報は積極的に共有されるものの、CTFイベントを運営するノウハウや舞台裏についてはこれまであまり知られていませんでした。

CTFに参加するだけでなく自分で主催すればきっと見えてくるものは全然違うはず。本稿ではTrend Micro CTFの過去3回の成果をふり返りながら、企画責任者へのインタビューを通じ成功要因を分析、企業や団体、各種コミュニティがCTFイベントを成功させるヒントを探ります。

（なお、企業が行うCTFということで、優秀な人材を発掘し採用することが目的と思われがちですが、「採用の門戸は閉じていないが、あくまでCTFとしての成功を目的としている。リクルーティングを目的とすると前提が崩れてしまう（Trend Micro CTF企画責任者染谷征良さん）」とのことです）

さて、そもそもTrend Micro CTFが起案されたのは、2014年でした。複雑化・高度化するサイバー攻撃、IoTなどの環境の変化、世界的なセキュリティ人材の不足、こうした現状に総合セキュリティ企業として製品・サービスとは違う形で何か寄与できないかという課題からスタートして、CTFイベントが企画されました。社内承認後、翌2015年の開催が決定されます。

しかしCTFは、展示会出展やワークショップなどとは全く質の違う活動であり、社内に運営経験者が一人もいませんでした。初年度はスモールスタートということでアジアパシフィック地域だけを対象として開催、しかし、途中スコアサーバの設定ミスで予選開催を延期する事態を迎えるなど最初は決して順調ではありませんでした。それ以外にも幾多の課題に直面しましたが、なんとか乗り切って形にします。第1回の参加チーム数は881チームでした。

翌2016年は、前年の知見と学びを活かして、よりいっそうトレンドマイクロ色を出して、第三者の手助けなく自立しました。対象地域を全世界に広げて取り組んだところ、国際CTFランキングで上位に入っているチームが多数参加、第2回の参加チーム数は952チームでした。

そして第3回目の2017年、IoTに関する問題を増やすなどよりいっそう同社の色を鮮明に出し、他のCTFイベントの優勝チームを招待したり、チームだけでなく個人の表彰制度を設けるなど新しい試みを行い、1,431チームが参加しました。

Trend Micro CTF 参加チーム数推移
- 2015年 881チーム
- 2016年 952チーム
- 2017年 1,431チーム

ここで、運営を成功させた要因を考えてみます。

ひとつは、経営トップの理解が挙げられます。CTFイベント開催は最終的にCEOの承認によってスタートしていますし、そもそも起案の段階からCEOの支持を得ていました。トレンドマイクロ株式会社のエバ・チェン代表取締役社長兼 CEOは以前からラスベガスで開催されるDEF CON CTFに自ら顔を出すなど、CTF開催の価値や重要性を理解してもいました。

また、国際的にみても遜色ない優勝賞金の額も要因のひとつに挙げられるでしょう。「CTFの世界ではまったく無名なので賞金賞品を魅力的にすることを心がけた。世界各地の有名なCTFの賞金を調べ、遜色ないかそれ以上の金額になるよう配慮した（染谷さん）」

次に挙げられるのは社内外から得られた協力です。CTF未経験のトレンドマイクロがCTFを開催するという、いわば蛮勇を粋に感じ、CTFの裾野を広げることを目的にCTF運営実績のある業界関係者10名がボランティアとして協力を申し出ました。問題作成にはじまるさまざまな運営ノウハウが提供されました。「正直ここまでやってくれると期待していなかったレベルのご協力をいただいた。彼らの助けがあったからいまがある。彼らの存在は絶対忘れられません（染谷さん）」。加えて決勝戦の会場内映像配信とインターネット中継も、2015年と2016年は業界関係者がボランティアとして担当しました。

また、CTFには社内の協力も欠かせません。2017年には実に58人の世界各国（日本、フィリピン、台湾、アメリカ、アイルランド等）のトレンドマイクロの技術者が結集、裏方として「スコアサーバの運用と戦いの可視化」「インフラの安全な維持と運用」「出題問題の安定した運用」の大きく3つのチームに分かれ、決勝戦大会を支えました。CTFイベントは、世界の技術者がナレッジと技術力を集約する場でもあるようです。

Trend Micro CTF 運営スタッフ数推移
- 2015年 27人（業界ボランティア10名含む）
- 2016年 30人
- 2017年 58人

各国の支社は、あくまで本業を優先しつつも、CTFの問題作成にはじまり、予選や決勝戦の運営に技術者が参加することを取締役や現場の上長が認めています。参加する技術者は、過去イベント運営経験者の学びを活かすとともに未経験者や若手社員にも機会を与える意図で、毎年同じ人にならないように前年参加したメンバーの数が約半数になるよう調整されており、これは運営全般においてアイデア枯渇を防ぐことにも役立っているとのことです。ちなみにもっとも骨が折れるのは問題作成とのことでした。

企画責任者の染谷さんは「ここまで疲れるものか」と運営の苦労を語ります。模擬戦とはいえ決勝戦の2日間はサーバへの攻撃が継続し、攻防をリアルタイムに監視しながら、ルールに抵触する行為をしているチームにそれとなく注意したり、サーバで技術的な問題が発生した際には原因を特定し対応方針を決めてリカバリーをする等、CTF運営メンバーは、インシデントが発生したSOCにつめているような集中力と負荷への対応が要求されるそうです。

「Trend Micro CTFの成功は、それぞれ異なる専門性を持つメンバー一人ひとりの力量のすごさとプロ意識の高さのおかげです。これなしに成功はあり得ません。（染谷さん）」

しかし同時に運営スタッフは、競技参加者の攻防状況やフィードバックから、自分の技術がどれだけのレベルかを知ることができ、スタッフにとってもチャレンジングなイベントとなっているようです。

今回の取材に対応いただいた染谷さんは、2時間弱のインタビューの間に「トレンドマイクロがCTFイベントをやる意味は何か」という言葉を何度も何度も繰り返しました。実はこうして書いてきましたが、研修や就活イベント等を除いて、一企業がCTFを主催するというのは実は国際的にみてほとんど例がありません。かかるお金やリソースに見合った見返りがないと思われているからです。そのためTrend Micro CTFは常に一民間企業が単独でCTFを開催する意味は何なのか「トレンドマイクロだからこそできるCTFをやれているのか」を当初から考えに考え、考え抜いてきました。

その甲斐あってかTrend Micro CTFは、グローバル総合セキュリティ企業だからこそ知りうる、実際に起こったサイバー攻撃をモチーフにしたり、実際に発生したインシデント対応やリサーチの結果を参考にするなど、個性的CTFとして歩みを進めつつありますが、きっとこの問いには答はないのでしょう。開催の目的と存在意義を真摯に問い続けることも、成功要因のひとつに挙げられると思います。

最後に、CTFイベントを起案し、経営トップのエバ・チェンCEOに上申し承認を得て、その後具体的なイベント設計と実施、宣伝やPR、決勝戦当日のいわばウォールームと化した運営現場を責任者として取り仕切り、会場ではマイクを片手に戦況の実況中継も行うという多様な役割を3年間負い続けている、染谷さんの存在を忘れてはいけないでしょう。

あくまで筆者の印象論ですが、繊細でソフトな雰囲気の人物が多いセキュリティ業界において、眼力が強く野太い声で話すガキ大将のようなキャラクターの染谷さんは業界であまり見かけないタイプであり、経営トップにもパイプを持ち、単なる専門家やコーディネーターではなく、イベントにまつわる人と技術とお金の問題を切り盛りする胆力を感じました。笑顔が多いとは言えないちょっと見はコワモテの染谷さんですが、グローバルの社員約5,700人によるトレンドマイクロ社内の投票で昨年MVPを受賞したそうです。あたりまえすぎる結論ですが、人選と権限移譲が重要な成功要因であることは確かでしょう。

CTFイベント成功要因まとめ
- 経営トップの理解
- 魅力的な賞品・賞金
- 社内外からの協力
- 現場責任者の理解及び支援
- 開催意義・アイデンティティの探求
- 適切な人材のアサインと権限移譲