サイト内の現在位置

NECセキュリティスキルチャレンジ2022開催報告

NECセキュリティブログ

2022年12月23日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの中島です。
2022年度も「NECセキュリティスキルチャレンジ(NSSC)[1]」(NECグループ全社員を対象にしたCTF)を開催しました。8回目となるNSSC2022は開催方針を変え、新しい取り組みを行いました。本ブログでは、取り組みの内容や参加者の声をお伝えします。

NSSC2022の概要

NSSCでは、これまで「セキュリティスキルの人材育成や発掘」を目的に、まずはNECグループでの認知度や参加者数を増やすことを目指して開催をしてきました。その結果、2021年度の開催までで累計6,400人の参加者があり、沢山の参加者を通じてセキュリティの取り組みを知ってもらうことをある程度達成できました。そこで今年度は目的の視点を変え、「NECグループのアウェアネスの向上」を第一の目的として新たなNSSCの方向性を打ち出しました。
なぜ、「NECグループのアウェアネス向上」を第一の目的として掲げたかというと、現在の社会やNECにとって最も大切なことと考えたからです。最近では場所や時間に縛られない多様な働き方が増えたこと、そして、そのような働き方を狙った攻撃や不正が増えています。これにはどのような業種・職種に関わらず、ひとりひとりのセキュリティアウェアネスの向上が必須であり、NSSCはアウェアネス向上の一助を担えると考えました。
新たな目的を踏まえて、NSSC2022では大きく以下の2つの取り組みにチャレンジをしました。

取り組み 概要
チュートリアル問題の導入 最初に取り組むチュートリアル問題を出題
基礎問題の設置 各カテゴリで基礎となる知識を身に着けられる、ハンズオン形式の問題を設置。

チュートリアル問題の導入

過去7回の開催では、CTFのサイトにログインするとすべての問題が表示され、どの問題から取り組むのも自由、という形式をとっていました。今年度は、最初はチュートリアル問題のみが表示され、その問題を解くことで全ての問題が表示されるようになる、という仕組みを取り入れました。チュートリアル問題は、CTFのルール紹介をする問題と暗号カテゴリにおける基礎問題としてハッシュ関数に関する問題の2問を出題しました。
これは、過去開催時のアンケート結果で得られた「(申し込んだが)難易度が高いようなので見合わせようと思った。」といった意見を参考にしました。
まずは「自身の身近にあるセキュリティ」をテーマにした問題でNSSCを体験・理解してもらうことを目的としました。

基礎問題の設置

過去7回の開催では、問題の難易度を「初級」「中級」「上級」の3つのレベルに分けて出題をしていました。今年度は、各カテゴリに1問「基礎」というレベルの問題を用意しました。このことも過去開催時のアンケート結果において、「申し込んだものの難しくてほとんど/全く問題が解けなかった」という方が一定数いることを参考にしました。セキュリティに明るくない人からプロフェッショナルまで、職種やレベルにとらわれず、より広く多くの人に問題を解いて気づきを得てもらう、ことが目的です。
基礎問題は、「身近なネタ」「各カテゴリで基礎となる知識を身に着けられる」をテーマとしており、ヒントをすべて開くと誰でも手順に沿って解くことができる内容としています。NSSCでは、基本的にその問題のヒントを開くと正解時にヒント開示分の減点があるのですが、基礎問題では減点がありません。基礎問題でヒントを開くことに対する抵抗感をなくし、つまったときにはヒントを開こう、というくせを身に着けてもらうこともこの基礎問題の設置の目的の一つとしました。
基礎問題の取り組みは全体的に好評で、全参加申し込み者に対し、問題を回答した人の割合は2016年以降、今年度が最高値となりました。

参加者の声

昨年と同様に、NSSC2022の終了時にアンケートを実施しました。セキュリティ技術の習得に関して、そして基礎問題について、以下のような結果がでました。

今年度アンケート結果
(参考)2021年度アンケート結果

以下、コメントを抜粋して紹介します。

  • (+):好意的なコメント、(-):改善提案のコメント
取り組み コメント
チュートリアル問題の導入 (+)チュートリアルを強制させるのは良い取り組みだと思った。NSSCはこんなですよ、というのを理解させるのに役立つと思う。
基礎問題の設置 (+)初めての人にはどのように解いていくのか雰囲気が分かるよい問題だったと思う。解くために必要になるツールを見つけることも重要だということが感じ取れた。
(+)同僚にNSSCの勧誘をしても敷居が高いといった理由で参加しない方が多かったので、こういった問題が増えるとさらに盛り上がるのではないかと考えた。
(-)演習問題を別に用意しておけばいいかなと思う。(演習問題は常設できるので、その方が実際のチャレンジへの参加者が増える気がする)
全体を通して (+)セキュリティについては専門家ではないが、顧客への提案や検討中の事業やシステム開発において、気を付けるべき点が多数あり、それらを理解せずにシステム化提案をする危険性に改めて気が付かされた。
(+)とても楽しくセキュリティに関する知識を学ぶことができた。謎解きをやる感覚で知識を得られてとてもよかった。ぜひ、今後セキュリティにかかわる仕事に多くかかわり知識を増やしていきたいと思う。社外のCTFにも参加してみる。
(+)新しい技術知識を体感的に得られるため。実際に問題を解くことは机上のみで学ぶ知識と全然違うと思う。
(-)各問題を解くにあたり、環境構築(問題の本質ではない)で分かりにくい部分がありそこをフォローしていただけると非常にありがたい。

まとめ

本記事では、NECセキュリティスキルチャレンジ2022について、新しい取り組みや参加者の声をご紹介しました。更なるアウェアネス向上やセキュリティに対して自発的に取り組める姿勢につながるように、よりよいNSSCを目指していきます。

問題一覧画面

参考資料

執筆者プロフィール

中島 春香なかしま はるか
リスクハンティング・システムグループ

ペネトレーションテスト、脆弱性診断を通じたセキュア開発支援、社内CTF運営に従事。
CISSP Associate、GCPN、認定Webアプリケーション脆弱性診断士を保持。
CTF for GIRLS副代表として主にWeb分野の問題作成やワークショップ企画設計を担当。「Hardening II SU」 MVV(Most Valuable vendor)賞受賞。

執筆者の他の記事を読む

アクセスランキング