2020年3月27日

NEC サイバーセキュリティ戦略本部セキュリティ技術センターの小林です。
2020年2月3日～16日に社内CTF「NECセキュリティスキルチャレンジ 2019」を開催しました。本記事ではその模様をレポートします。

NECセキュリティスキルチャレンジとは

NECでは、セキュリティの素養を持つ人材の発掘と育成を目的に、年に1回、NECグループ社員であれば誰でも参加できる社内CTFを開催しています。
CTFとは、一般的にはセキュリティのコンテストであり、フラグと呼ばれる答えを、様々なテクニックを駆使して見つけ出し、点数を競い合う競技です。
NECセキュリティスキルチャレンジは、2015年度の初開催から今年度で5回目を迎える大会であり、参加者には2週間で101問(チュートリアル問題含む)の問題に挑戦してもらう、年に一度の大規模な社内CTFイベントです。また、参加取り扱いは、業務外(自主研修)の扱いで、主に自宅のPCやスマホを使って解答してもらっています。
今年も2週間で全101問のCTFに挑戦してもらいました。

出題ジャンル

問題はWeb上(インターネットからアクセス可能)に14日間問題を公開し、参加者は好きな順番、タイミングで問題に取り組むことができるようになっています。毎日こつこつ取り組むスコアアップする参加者もいれば、週末一気にスコアアップする参加者もおり、参加者の個性も垣間見られます。

ジャンルは全9ジャンルを用意しました。

またここで、特徴的な問題ジャンルについて、詳細に説明いたします。

防御系

セキュアコーディング等、セキュア開発に関する知識・スキルが問われるジャンルです。具体例として「FWのブラックリストをテキストファイルで作成し、そのハッシュ値を回答せよ」という問題が出題されます。これは、セキュリティの素養を持つ人材の育成という観点から、セキュア開発を実践していく上で、どのようにシステムを堅牢化するかについて、CTFを通じて学んでもらいたい、という思いがあり、2017年度に新設されたジャンルです。

DFIR

参加者には1つのOSイメージファイルが渡され、そのファイルをターゲットに出題内容に従って解析を行うジャンルです。事故解析と酷似した問題ジャンルになりますが、こちらは侵害を受けたOSのイメージファイルに対し、インシデントレスポンスを想定したフォレンジック解析を行い、いつ、どんな攻撃が、どこから行われ、どのような事をされたのか、を明らかにするものです。こちらのジャンルも今大会から新設されました。

防御系はシステム開発に携わるSEをターゲットに、セキュア開発に関わる知識・スキルを問う問題としました、一方で、DFIRではセキュリティアナリスト等、セキュリティ専門職をターゲットに、解析スキルを問う問題としました。

結果について

上位陣の得点推移は以下の通りです。最後まで激しい争いを繰り広げ、特にTop3は200点以内(満点は11441点)の僅差での決着となりました。
過去大会は一律2月1日開始、2月14日終了としていたのですが、今年は2月1日が土曜日だったため、(運営側の負担も加味し)2月3日の月曜日開始としました。そのためラスト2日が土日ということもあり、急激にスコアが伸びるなどラストスパートをかけた参加者もいました。

表彰式

大会終了後は、上位入賞者を対象に表彰式を行いました。表彰対象は以下のカテゴリ・基準で選出しています。

今年は新型コロナウイルスの影響もあり、集合形式での開催は望ましくないと判断し、リモート会議システムを使用して、表彰式を開催しました。
現地開催を予定していた時は、地理的に遠い、前後の予定がある等、参加困難な者もいましたが、リモート形式にしたことで、全員に参加してもらうことが出来ました。準備には少し手間取りましたが、この形式で開催して良かったと感じました。

まとめ

今回新ジャンルとして追加したDFIRは、面白い、業務でも役立つという声が多数あった一方で、サイズが大きすぎてダウンロードできない等の声もありました。問題そのものは好評だったため、次回は運営面での改善を図りたいです。
また、全体を通じては、セキュリティの勉強・スキルアップにつながった、次回も参加したいという声を多くありましたので、次回も、参加者の皆さんに楽しみながらセキュリティの勉強・スキルアップにつながる大会にしていきたいです。

執筆者の他の記事を読む