自分のところの社員がサイバーセキュリティ技術を競う競技大会 CTF に参加することを企業が推奨することはあっても、たとえば海外大会などで航空券とホテルまで面倒を見るところはほとんどない。
そもそも、参加の事実や収めた成績を、参加者自身がエンジニアブログ等に投稿することはあっても、会社としてプレスリリースを出すところもあまり多くはない。
ごく大雑把にまとめると「参加することを妨げることはしない(幻滅して退職でもされたら困る)」「いい成績が出たときは広報に控えめに活用する(おそらく翌年成績を残せなかったりするとこっ恥ずかしい的な価値観)」といったところか。
これとまったく違うのが、GMOサイバーセキュリティ byイエラエ株式会社である。
「今年からうちはコンテストに出ていきます」2023 年 7 月に別件の取材の際に同社代表取締役社長の牧田誠が本誌に語った言葉を思い出す。それを裏付けるように同社は、プレスリリースの件数で見ても 2023 年以降、CTF への参加と多数の上位入賞の成績を次々と納めはじめた(それ以前から納めていたが規模が増した)。
2017 年の 1 件、2018 年の 3 件、2019 年の 1 件、それぞれの CTF 上位入賞のプレスリリースと比較して、2023 年は 8 件と、それまでの年間平均約 2 件から 4 倍に増加している。これはちょっとした出来事だ。
加えて、この活躍の背景には、単に同社だけではなく、熊谷正寿が率いる GMOインターネットグループ全体で CTF を明確に推奨し、あまつさえ金銭的支援も行っているという驚きの実態がある。国際的に見てもこんな会社、そうたくさんあるとは思えない。CTF オタクの凄腕の外国人技術者がこの条件「だけ」を見て、魔が差して GMOグループにうっかり入社するなんて珍事が起きないとはもはや言い切れない。
ところでこの記事をまとめるために Web をあちこち調べていて、驚くべきページを発見した。
それは「ハッキングコンテスト国際成績」と題された、イエラエや Flatt の黒帯の達人たちが世界で残した優秀成績が記された Web ページで、なんとそのページが「group.gmo」という同社グループを代表するいわばホールディングス的な位置のドメインのページに掲載されていたのである。
たとえば MBSD も以前、きわめて難易度の高いコンテストである Pwn2Own で 5 万ドルもの賞金を獲得したし、CTF でも在籍者が所属するチームが日頃活躍しており、JVN の報告件数も山ほどあるなど、国内有数の実績を持っている。国分さんのようなマスターヨーダ的に尊敬される技術者も在籍している。なおかつ、戦略子会社としてグループからとても大事にされている。しかし、しかし、である。「mitsui.com」のドメインの中の Web ページにそれらの MBSD の輝かしい実績が誇らしげに掲載されるなどということは今後絶対にあり得ないだろう。一体何が GMO で起こっているのか。
GMOイエラエは今年も顕著な成績を挙げ続けており、毎夏ラスベガスで開催されるカンファレンス DEF CON の複数の CTF で上位入賞している。近年の取り組みと、CTF に全力な理由と目的、そして GMOグループとしての CTF への取り組みについて話を聞いた。
取材協力
・GMOサイバーセキュリティ byイエラエ株式会社
事業本部執行役員 小池 悠生 氏
高度診断部 高度診断課 シニアエンジニア 渡部 裕 氏
※ 渡部氏はチーム「GMOイエラエ」代表
--
── まず最初に DEF CON とそこで開催される CTF の歴史やハードルの高さについて教えてください
小池:DEF CON はハッカーのジェフ・モス(Dark Tangent)が 1993 年に開催以降毎年ラスベガスで行われる世界最大級のセキュリティカンファレンスです。来場者は数万人規模で、50 以上の専門ブース、技術展示、講演などが行われ、本戦と Village のふたつの CTF が開催されます。
DEFCON Cloud Village CTF の難易度については、アメリカへの渡航費とカンファレンスの参加費が確保できるなら誰でも参加できるため、参加については、主に費用面だけハードルが高い形になります。ただし、1 位を取ることについてはそれなりのハードルはあります。Cloud Village CTF は、すべての問題を解ききったチームが勝つイメージの大会であり、実はクラウド以外の問題も出題されるというのも相まって、広範な知識が必要になります。クラウドに関する知識はもちろんのこと、フォレンジックや Binary Exploitation などの知識も求められます。
CTF の本戦である DEFCON CTF はそもそも予選時点で、参加する各チームが、世界の CTF トップチームが複数組んでできた連合であるため、それに太刀打ちするには他の CTF で上位入賞の常連であるようなトッププレイヤーを、最低でも 20 人程度集めて予選を突破する必要があります。
決勝については、優勝チームは現地参加メンバーだけで 60 人以上いるチームだったりと、より頭数をそろえて取り組まないと良い成績は取れません。3 日間、膨大な問題量を徹夜もしながら解き進める必要があり、非常にハードルが高いといえます。
── 現地で戦った渡部さんに Cloud Village CTF についてお聞きしていいですか?
渡部:私たちが 3 連覇した Cloud Village CTF は、Cloud Village というクラウドセキュリティに関する話題を取り扱う Village(特定のテーマやトピックに特化した小規模なコミュニティスペース)で開催される CTF です。名前の通り、クラウドセキュリティに関連する問題が中心となります。
しかし 2025 年はこれまでの傾向と異なり、クラウドセキュリティに関連する話題だけでなく、Web や Binary Exploitation、Forensic などの分野の問題も複数出題されました。当然ながら、DEF CON CTFといった CTF で出題されるレベルのものではないものの、より広範囲の知識が求められる問題セットであったといえます。
過去 3 年の成績一覧
2025年
DEF CON 33 Cloud Village CTF:世界 1 位
DEF CON CTF Finals:世界 2 位
※一部のパートナーが BlueWater のメンバーとして参加
2024年
DEF CON 32 Cloud Village CTF:世界 1 位
DEF CON 32 CMD+CTRL Cyber Range CTF:世界 2 位
2023年
DEF CON 31 Cloud Village CTF:世界 1 位
DEF CON 31 CMD+CTRL Cyber Range CTF:世界 2 位
── CTF への参加がこれほど推奨されエンパワーされている会社は少ないのではないかと思います。教育研修の効果があるのでしょうか? あるいは実務と直結性があるのでしょうか?
小池:ジュニア層の教育研修効果については一定ですが、ミドル層・シニア層の技術力の向上については非常に効果があると考えています。教育研修レベルの話については、やはり実務で OJT をやってもらう方が、実際にやる作業のイメージがつくため、そちらの方が話が早いというのが正直なところです。ただ、OJT でのトレーニングは、そのタイミングでどのような依頼が来ているかに依存して、実施できる内容が変わってくるため、足りないところを補う意味では、初歩的な CTF の問題などが役に立つこともあります。
一方、一定以上のスキルレベルを持った人間が、技術力を向上させるには、CTF が非常に有効だと考えています。CTF は、実務では数週間・数か月かけて取り組むような、あるいは、能力がなければ普通は取り組まないような作業を、数時間・数日という短い時間で取り組まさせられます。ですから、本気で取り組めば短時間で非常に凝縮された経験をしやすいというところで、特に IoT や Web のペンテストにおいては、スキル向上力と実務との直結性において秀でていると考えています。
事実、弊社のこれらの部署に所属するメンバーには、セキュリティの勉強を CTF で始めた人間が多く、メンバーの大半は CTF でもトッププレイヤーであり、業務でも多大な成果を残しています。この実績から、採用においても CTF の経験がある場合には、非常にプラスで見ている側面があります。
もちろん、CTF 以外でも十分に勉強や研鑽はできるということも理解していて、他の実績で実力が十分と分かる人であれば、CTF をやっていない人であっても採用します。
また、実は CTF は、高度な攻撃手法や新規性のある攻撃手法が発表される場になっている側面もあり、これらをキャッチアップしておくことも、実務で役に立つ場面があります。
渡部: Cloud Village CTF の問題例としては、AWS などのクラウドサービスにおける権限設定不備を題材とした問題や、CI/CD パイプラインの設定不備に起因した脆弱性を突く問題などがあります。こういった題材は、特にクラウドセキュリティに関わる実際の業務でも直面することもあり、実務という観点でもある程度親和性のある CTF であると思います。
── GMO グループ全体で CTF に対する理解や支援はありますか?
小池:GMOグループは 2025 年「セキュリティもGMO」をスローガンにして、グループ全社をあげてセキュリティを推し進める活動を行っています。結果として、グループの他社は我々の会社や活動を応援してくれて、理解もあり、こちらとしては非常にありがたい限りです。
GMOでは、年に 1 回、ノミネートされたグループ内の活動に投票を行い、表彰するアワード「GMOアワード」がありますが、そこでも多くの投票をいただき、表彰いただいています。CTF への支援については、2025 年 6 月 18 日から GMOインターネットグループ全体を対象に「GMOハッキングコンテスト(CTF)参加応援プログラム」を実施しています。
CTF 参加応援プログラムは、事務局の審査を経て、海外開催の大型 CTF の参加に限定して「海外渡航費の負担」「快適な宿泊と作業スペースの確保」「参加に必要な物資(PC周辺機器やガジェットなど)」などの支援を受けられます。入賞した場合は獲得賞金が支給されます。また、セキュリティ事業者に関わらずGMOインターネットグループパートナーなら誰でも応募できます。
── 滅多に見ない手厚い支援ですがどんな狙いがあるのですか?
小池:「世界 No.1 を狙う CTF 参加者に対してサポートも世界 No.1 に」という思いから始まりました。支援内容は参加者の声を聞いてアップデートしていく予定です。
── ありがとうございました。今後の活躍と、そして DEF CON CTF Finals 世界 1 位の一報を期待しています。日本のセキュリティの歴史を変えて見せて下さい。