自社CTF開催時に外注してはいけないこと 2ページ目 | ScanNetSecurity
2020.08.03(月)

自社CTF開催時に外注してはいけないこと

第4回目となるScanNetSecurity読者向け勉強会「CTF開催の秘訣~人材育成や採用へのCTF活用について」が3月20日に都内で開催された。本稿ではその模様をレポートする。

研修・セミナー・カンファレンス セミナー・イベント
「CTFには外注できない部分がある」合同会社ヘマタイト 社長 兼 技術者 茨木 隆彰 氏
「CTFには外注できない部分がある」合同会社ヘマタイト 社長 兼 技術者 茨木 隆彰 氏 全 5 枚 拡大写真
ワークショップ形式は、参加者に課題や材料が与えられ、最小限の説明のもとで実際に作業を行いながら、創造性と対応力を養う。特にCTFにはゲーム性と競争があり、参加者が夢中になり盛り上がりやすいという。またCTFは、セキュリティの要素技術を学ぶことができるため(反面でCTFは体系的知識を得ることは難しい)、現在「質」「量」ともに不足しているセキュリティ人材の「質」不足に効果があるという。

●最初に自社の課題把握を

一方で企業が実施する場合「CTFありき」で進めることは得策では決して無く、「自社の現状の課題の把握」と、その結果導き出される「自社の必要人材の定義」、そしてCTFで伸ばすことができるスキルと、その必要人材のスキルがマッチするのかを判断しなければならない。

茨木氏は、セキュリティに関わるスキルセットを大きく「コンピュータ技術」「セキュリティ技術」「非技術スキル」の三領域に分け、CTFがカバーする教育領域は、ペンテスターやプログラマなどには有効であるものの、管理者に必要とされるスキルとは重ならない部分も多く、業務に生かすには事前の設計が必要だと語った。

また、企業がCTFを実施した場合、後に犯罪に悪用されるコンプライアンスリスクがあり、倫理教育がとても重要になること、体系的知識を得ずして要素技術だけを学ぶと、ツールの使い方は知っているが実務ができない「スクリプトキディ」となりやすいため、悪用厳禁であることをしっかりと伝えることはもちろんで、本人の無自覚または善意の結果起こる悪用にまで充分に配慮する必要性を付け加えた。

●CTF開催のための工程とタスク

茨木氏は、CTF実施のための「設計」「コンテンツ開発」「実施」「アフターケア」と連なる、工程表と具体的タスクリストを示したが、特に「設計」段階における「現状の問題点検討」「目的の明確化」「対象の明確化」などのタスクは、専門家やコンサルにも外注できない部分であり、課題を把握して実施の目的を明らかにすることと、そのために必要な人材の定義を行い、対象を絞ることの重要性を再度繰り返した。

茨木氏はCTFを修了すると保安官のようなバッチのような修了証を配付するといったちょっと微笑ましい社内制度や、社内で実施後に社外のCTF大会にも積極的に参加させるといった、個人と組織が継続的に成長するための複数の提案を行い講演をしめくくった。


オフィスビルの避難訓練や消化器を用いた消防訓練などはごく一般的に社会で行われている。ITセキュリティの世界でも、ISMSやプライバシーマークの研修や、攻撃メールを模したメール訓練などは定着しつつあるところだ。CTFがただの単発の教育研修イベントとして扱われたり、一過性の流行として消費されてしまったとしたらこれまで文字通り命をかけてきた先人たちにあまりにも申し訳ない。茨木氏がScan勉強会で繰り返し語ったことは、CTFを単なるイベントではなくムーブメントに変えていくためのCTFの本質だと感じた。

当日資料公開中(要登録)
勉強会講演資料は公開中(要登録)
  1. «
  2. 1
  3. 2

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  2. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  3. 初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

    初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

  4. 攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

    攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

  5. 再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

    再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

  6. ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

    ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

  7. 増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)

    増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)PR

  8. 破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

    破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

  9. 初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)

    初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)

  10. 「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

    「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

ランキングをもっと見る