皆さん、こんにちは。
12月10日(木)に日本工学院専門学校にて、Ninjastarsによる特別講義「ホワイトハッカー入門」CTF体験をオンラインで実施しました。今回は、2回に渡って実施する講座の1回目です。
講座の目的と社会的背景
この講座はゲーム業界のセキュリティ診断とセキュリティ製品の開発・提供でトップクラスにあるNinjastarsの森島代表と縄江氏による3時間の体験講座。
マスメディアでは毎日のように企業がサイバー攻撃を受けたというニュースが取り上げられています。ゲーム会社大手や大学の医学関連施設、大手企業など、単なる情報漏洩のリスクだけでなく人の生命に関わる被害まで出始めています。
今後、サイバーセキュリティに関するリテラシーの向上はもちろん、セキュリティエンジニアの育成を急がねばなりません。
ゲームセキュリティ、サイバーセキュリティを学ぶといっても広範囲に及ぶ領域です。セキュリティに関する学習はリテラシーも重要な要素となります。なぜならホワイトハッカーとしてのスキルを習得することを目的としていますが、その学習・スキル獲得は裏を返せば即(本物のブラック)ハッカーとなる知識・スキルでもある訳です。
今回はそのことを担保しながらより高度なスキルを学習することを目的とした講座です。では広範囲に渡る学習分野に対してどのような方法で自分の適性を見つけてそのスキルをアップさせるか、この画期的な方法がCTF(Capture The Flag:旗取りゲーム)です。
Ninjastarsはすでに大手ゲーム会社向けにCTFを提供しています。GAFAと呼ばれるGoogleやfacebook社ではすでに社員研修に活用されています。
米国でも日本でも国防総省や防衛省が協賛してCTFの国内大会を実施しています。地方では警察庁もCTF大会を実施しています。
このCTFを専門学校や大学の授業で積極的に活用してセキュリティ人材を育成したいというのが今回の目的です。セキュリティの知識だけでなくスキルを習得する最も効果的な手法と考えています。
CTFとは?
CTFとは、情報セキュリティのスキルを競い合うセキュリティコンテストです。情報セキュリティのスキルを用いて、課題の中から隠された答えとなるFLAGを見つけ出し、得点を稼ぐ競技となります。
情報セキュリティの分野は非常に幅広く、学習も単調なものになりがちです。学んだ知識を活かす機会も多いとはいえないため、なかなか身につかないといった側面もあります。
CTFはクイズゲームのように楽しみながら情報セキュリティを学び、実践的なスキルを身につけることができます。CTFで出題される問題は、さまざまな知識を組み合わせながら、トライ&エラーを繰り返さなければ解けないため、知識と実践的なスキルが身につくわけです。
――cybersecurity.comより引用
CTFを活用するメリットは大きく2つあります。
ひとつはFLAGを取る(解答を見つける)ための手法は問われません。どんな方法でもどのようなやり方でもFLAGを早く取ったチームに得点が入ります。つまりCTF活用の効果は「問題解決能力」が高まる、という点が実は根底にあります。
もうひとつが「気づき」です。CTFでFLAGを取るやり方は問わないという事であらゆるツールを使い、考えながら答えを探していきます。その過程で自分がどんなことが得意か、何に一番興味が沸くか、またチームでコミュニケーションを取ることからメンバーから評価されることで自分自身の長所にも(短所もあり)具体的に気づかされます。これによってより得意な分野、興味がある分野のスキルアップに集中することで専門性を高めていくことが可能になります。
余談ですが、先日T大学の経済学部でセキュリティに関する知識も関心もない学生にCTFを体験学習してもらいました。昨日そのアンケートが返って来ましたが、驚くことに全員がコンピュータやプログラミングに興味を持った、またCTFをやりたいと回答してきました。こうした今までセキュリティやコンピュータプログラミングに興味がなかった学生が関心を持ってくれる、それができる手法であるCTFはやはりすごいな、と思いました。
最後にこのCTFはゲーム感覚でチームの得点力を競うものです。ここにも仕掛けがあって得点は「ダイナミックスコアリング方式」というのを採用しています。
スタートでは各問題とも同じ配点ですが、競技が始まると得点配分がリアルタイムで動きます。つまり多くの参加者(チーム)が解けた問題は相対的に配点が低くなり、解答者が少ない問題は配点が高くなります。
こうした随所に工夫が凝らしたCTFはこれを多用することで学生の学習意欲を高め、スキルをアップさせる最適なツールであると思います。
今後、色々な学校でこのCTFを提案し、導入していきます。そして来年にはCTF学生選手権をぜひ開催したいと思います。
みなさん、ぜひ興味を持って頂き一緒にCTFを普及させていきましょう。