Japan
サイト内の現在位置
CTF活用による人材育成効果~INCS-CoE C2C CTFへの問題提供を通して得た学び~
第13回サイバーセキュリティ国際シンポジウム「多国間の産官学連携による国家安全保障、経済安全保障、社会保障」第13回サイバーセキュリティ国際シンポジウム「多国間の産官学連携による国家安全保障、経済安全保障、社会保障」にて、「CTF活用による人材育成効果~INCS-CoE C2C CTFへの問題提供を通して得た学び~」というテーマでパネルディスカッションを行いました。
開催概要
- イベント名
- :第13回サイバーセキュリティ国際シンポジウム「多国間の産官学連携による国家安全保障、経済安全保障、社会保障」
- :
- 主催
- :慶應義塾大学、MITRE Corporation 慶應義塾大学サイバーセキュリティ研究センター
- :
- 日時
- :2023年10月25日(水)13:40~18:00、26日(木)~27日(金) 9:00~18:00 JST (東京、対面式)
- :
- 場所
- :慶應義塾大学 三田キャンパス
- :
- 詳細URL
https://symp.cysec-lab.keio.ac.jp/2023oct/index-j.html- NECセッション名
- :CTF活用による人材育成効果~INCS-CoE C2C CTFへの問題提供を通して得た学び~
- :
- パネリスト
- :榊 龍太郎(NEC サイバーセキュリティ戦略統括部 リスクハンティンググループ、主任)
- 中島 春香(NEC サイバーセキュリティ戦略統括部 リスクハンティンググループ、主任)
- 中川 紗菜美(NEC サイバーセキュリティ戦略統括部 セキュリティ実装技術グループ)
- :
- モデレータ
- :宇都田 賢一(NEC サイバーセキュリティ戦略統括部 タレントマネジメントグループ、グループ長)
- :
- ※CTFとは:「Capture The Flag」の略で、手を動かしながらフラグと呼ばれる“答え”を見つけ出し得点を競い合うセキュリティコンテストで、ゲーム感覚で効果的にセキュリティ技術の学習が可能。
- ※INCS-CoE C2C CTFとは:世界トップ大学が加盟するサイバーセキュリティ分野の産学連携組織「InterNational Cyber Security Center of Excellence(INCS-CoE)」が主催する国際イベント。8月1日から4日間にわたり「Country to Country CTF 2023」が開催され、開催当初よりサイドチャレンジ枠(民間企業が実践的な問題を提供する枠)が設けられていましたが、NECが大会史上初めて社内CTFの基盤を活用して問題を提供しました。
https://jpn.nec.com/cybersecurity/journal/2023/PR003_c2cctf.html
当日の様子
NECのセキュリティ人材育成について
最初に宇都田からNECのセキュリティ人材育成の全体について紹介。
「NECでは、セキュリティを後付けするのではなく、設計の段階から構築、運用に至る全てのフェーズでセキュリティを実装していくという『Security By Design』の考え方のもと、セキュリティ実装を徹底する体制を構築しています。この『Security By Design』を適切に行うスキルを定着させるため、人材育成に注力しています。」
NECの人材育成プログラムの中でもCTFを取り入れており、「NECセキュリティスキルチャレンジ(以下、NSSC)」として、アウェアネスの醸成とセキュリティの素養を持つ人材の発掘育成を目的にNECグループ全社員を対象に毎年開催しています。2022年度のNSSCの運営にも携わり、INCS-CoE C2C CTFへの問題提供を行った榊、中島、中川に話を聞きました。
パネルディスカッション「CTF活用による人材育成効果~INCS-CoE C2C CTFへの問題提供を通して得た学び~」
CTFを通じた人材育成の経験・得た知見
「CTF for GIRLS」の運営として副代表も務める中島。社内外の活動実績がある中島から見る「CTF」の教育効果について聞きました。
「元々、技術力を競い合うコンテストとして開催されていたCTFですが、最近のCTFは、クイズを解くような感覚ででき、専門家だけでなく、初心者の方にも理解・参加しやすいCTFが増えてきています。また、CTFの参加後に、参加者自らが作問し運営として活躍する動きもみられ、より裾野が広がっています。
CTFは自分がどのように問題を解いたのか、Writeupを共有し合う文化があり、これにより、参加者や、これから取り組もうという人の勉強にもなる教育効果の高いコンテンツだと考えています。」(中島)
NECの社内CTFについて
NSSCは、2015年以降延べ7,200名以上(2022年11月時点)が自主的に参加し、セキュリティ人材の裾野拡大につなげています。毎年約1000人規模でグループ会社も含めて開催しており、2023年度で9回目の開催となります。社内イベントにとどまらず、社外向けにも学生向けのCTFイベントやSECCONの電脳会議でのミニCTFなど開催しています。
技術者だけでなく、NECグループ全社員を対象にしているNSSCの問題について、中川、中島はこのように語ります。
「NSSCは、一般的なCTFのようにただフラグ取得を競い合うだけでなく、業務で使える/使っているテクニックをできるだけ問題に反映しています。どういった場面で起こりる問題なのかなど、各問題で学びとなる内容を記載しています。
また、NSSCの問題は9つの分野から出題しており、自身のスキルの強い所・弱い所が見える化され、自身のスキルの数値化にもなります。
CTFに慣れていない方向けに基礎問を準備し、幅広く参加が可能で、セキュリティアウェアネスの向上に寄与できるCTFになっていると思います。」(中川)
「NSSCでの出題する問題に対して、参加者からコメントをいただいたときは、作問側へフィードバックするようにしています。たとえば、よく見られるクラウドの設定ミスに関連する問題を昨年度のNSSCで出題した際には、実際にクラウド関連の業務に携わる社員から、意識するようになった、などの声をいただきました。このような声をいただけると作問側としてもとても嬉しいですね。」(中島)
C2C CTFで活かしたこと
INCS-CoE C2C CTF(以下、C2C CTF)では、NECはサイドチャレンジ(民間企業が実践的な問題を提供する枠)として、2日間を通して合計15問を出題しました。大会史上初めてとなった社内CTFの基盤を活用した問題提供について、NECが約2か月程度で実現できた理由について榊はこのように語ります。
「過去8年間しっかり管理してきた社内CTFの蓄積データが、今回のC2C CTFでとても活かされたと思います。
世の中のCTFは、ハイレベルのものが多いですが、NSSCでは、初心者の方も解けるような問題もあえて用意しています。また、私たちが所属するサイバーセキュリティ戦略統括部は、全社の様々な部門の方との関わりがあるからこそ、実務に沿った現実味のある問題を用意できていると思います。
今回、チームごとにインセンティブや表彰を用意し、順位を競う形式での開催でしたが、C2C CTFの参加者からアンケートで「Educationalな問題だった」、「出題された問題は現実的だった」、「難易度のバランスがよく、とても勉強になった」などの声をいただき、私たちが意識していることが、問題を通して参加者にも伝わっていることを実感しました。」
C2C CTFで得た学びを今後の人材育成にどう活用していきたいか
NSSCとC2C CTFを比べ、発見があったと中川と中島は言います。
「社内CTFでは1人で解く形式ですが、C2C CTFはチームで解く形式でした。社内でも難易度が高くなかなか解かれない問題も、チームで協力することでとても惜しいところまで答えに近づいているものもあり、チーム戦だからこそみられる新しいCTFの魅力も感じられました。実際にチームで協力して解けた際には、ハイタッチをしている姿も見られたのが印象的でした。」(中川)
「問題を解く時間が終わった後も、学生同士がやり取りしているチャットツールで、「この問題はクールだったね」とお気に入りの問題について話し合っていたり、「ここはどうやって解いたの?」など、チームを超えた学生同士のコミュニケーションが活発に行われていました。これまでNSSCでは、個人戦で、個々のスキルアップを目的とした施策を実施してきましたが、参加者同士や参加者と作問者の双方向のコミュニケーションは、互いにスキルを高めあうのに有効であると再認識しました。
11月1日から始まった今年度の社内CTFでは、C2C CTFでの学びを活かし、早速コミュニケーションの場を用意しています。」(中島)
今回C2C CTFへの問題提供に携わった3名は、NSSCの学習効果を実感したと共に、今回得た様々な学びを今後の社内CTFにも生かしていきたいと語りました。
NECはこれからも自社の人材育成で得たノウハウを、お客様や未来を担うセキュリティ人材のために提供していきます。
