Japan
サイト内の現在位置
NEC Security Skills Challenge for Students 2024開催報告
NECセキュリティブログ2024年10月8日
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの長谷川です。
2024年9月10日(火)~2024年9月20日(金)の11日間で、社内CTF「NEC Security Skills Challenge(NSSC)[1]」の学生向けイベントとして、NSSC for Students 2024を開催しました。本ブログでは、競技の概要と結果についてご紹介します。
目次
NSSC for Students 2024の開催概要
競技期間は11日間でチュートリアルを含む8カテゴリ全21問(満点:2841)で開催しました。
- 開催期間:2024年9月10日~20日
- 参加者:国内の高等専門学校・大学・大学院の学生とグループ会社も含めたNEC社員
- 実施形式:オンライン
- 問題レベル:3段階のレベルを設定(表1参照)
- 問題数:8カテゴリ20問+チュートリアル1問(表2参照)
- ヒント:1. 問題を解くきっかけとなるヒント(開くと問題のスコアから5%減)
2. 正解に大きく近づくヒント(開くと問題のスコアから45%減)
レベル | 問題数 | スコア | 詳細 |
初級(触ってみるレベル) | 12 | 0-120 | キーワードで調査し、簡単なツールを使うテクニックが必要な問題 |
中級(エントリーレベル) | 5 | 130-290 | 簡単なプログラミングやツールを使いこなすテクニックが必要な問題 |
上級(トップレベル) | 3 | 300以上 | 複雑なプログラミングやツールを使いこなすテクニックが必要な問題 |
カテゴリ | 問題数 |
Webアプリ | 3 |
OSINT・MISC | 3 |
ペンテスト | 3 |
ネットワーク | 2 |
暗号 | 2 |
事故調査 | 3 |
防御・コンテナ | 2 |
Binary | 2 |
今回は、過去のNSSC(主に2023年)で出題、かつ昨年の学生CTFで出題していない問題を使用しました。セキュリティインシデントの調査で使用する手法やセキュリティの設定ミスがどのような影響を引き起こすのかを学ぶことができるようになっています。
また、普段のCTFではあまり見ることができないカテゴリの問題も用意しており、楽しみながら新たな知見を得ることができるものとなっています。
競技結果
本イベントは学生とグループ会社も含めたNEC社員(以下、NEC社員)を合わせて、計153名の方にご参加いただきました。上位10名の得点の遷移を図1で紹介します。全問正解された方は4名おり、そのうち3名の方はヒントを開けずにすべての問題を解いていました。
また、上級問をヒントなしで解く方はいないと考えていましたが、全問正解された方以外にもヒントなしで解いた方がいて、レベルの高さに圧倒されました。
競技終了後の9月25日(水)には、セキュリティスキルチャレンジミーティングと題し、NEC社員と学生を交えた解説会・交流会を開催しました。
解説会では、運営チームが選定した7問の解法手順だけではなく、問題から得られる学びなども一緒に紹介しました。得られる学びには、「インターネット上での情報の取り扱い」や「セキュアな実装方法」など、日常生活に役立つ情報から脆弱性を作りこまないための情報など、幅広い学びを紹介しました。
解説会終了後には、SpatialChat[2]というツールを使用して学生とNEC社員がオンライン上で自由に話すことができる交流会も開催しました。交流会では、印象に残った問題やセキュリティの勉強法など、CTFに限らず幅広い話題について学生と話し、良い刺激をもらいました。
まとめ
本ブログでは、NSSC for Students 2024の開催概要や結果についてご紹介しました。今後も楽しみながら学びを深め、かつ、常に気づきを得られるような、社内外向けのイベントの設計・運営を実施していきたいと考えております。
参考文献
- [1]NEC、グループ社員向けCTF形式のセキュリティコンテスト開催 ~社内の作問体制を拡大し、セキュリティ提案・実装に必要な実践問題を拡充~
https://jpn.nec.com/cybersecurity/topics/2024/20240314.html - [2]SpatialChat
https://www.spatial.chat/
執筆者プロフィール
長谷川 奨(はせがわ しょう)
セキュリティ技術センター リスクハンティング・システムグループ
ペネトレーションテストや脆弱性診断、社内CTFの運営などに従事。
2024年6月にIPA産業サイバーセキュリティセンター第7期中核人材育成プログラムを修了。
情報処理安全確保支援士(RISS)/CEHを保持。
執筆者の他の記事を読む
アクセスランキング