SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA)は2014年6月29日、女性のみに限定したCapture The Flag(CTF)のワークショップ、「CTF for GIRLS」を東京・六本木で開催した。参加者も女性だけならば講師も皆セキュリティに携わる女性という集まりで、学生や社会人、約70人が参加した。
CTFとは、セキュリティ技術を競う競技会の一種だ。主に、用意された問題を解いて得点を積み重ねていくクイズ形式と、互いに手元のサーバーを守り合う攻防戦形式の2タイプがある。いずれも、脆弱性検査や監視、マルウェア解析などに必要となるスキルを組み合わせて取り組まなければ、勝利は難しい。米国で行われる「DEFCON CTF」を筆頭に海外では盛んに開催されており、時にはセキュリティエンジニアのリクルーティングの場として活用されることもある。
日本でも最近になって、セキュリティ人材の裾野拡大を目的に、「SECCON CTF」など幾つかの大会が開催されるようになってきた。だがこれまで取材してきた限り、女性の参加率はよくても1割以下といったところだ。これはそのまま、国内のIT業界、ITセキュリティ業界の女性の少なさを表すものでもある。
そんな中、あえて女性限定のCTFワークショップを試みた理由について、企画した中島明日香氏は、「女性限定という形にすることで、セキュリティ技術に興味を持つ人の最初の入口のハードルを下げ、機会を広げたかった。これを機に、気軽にセキュリティについて相談し合えるコミュニティを作っていきたい」と述べる。
当初、集まるのは20人程度かと想定していたそうだが、蓋を開けてみれば大盛況で、3日ほどのうちに80人を越す申し込みが集まったという。「実はこんなにセキュリティやCTFに興味を持っている女性がいたんだなと感じた」(中島氏)。
演習の模様
CTF for GIRLSでは、まず「ネットワーク(パケット解析)」「Webセキュリティ」「バイナリ解析」「フォレンジック」という4分野について、どんなツールを用いてどのように問題を解いていくのか、それらが現実のセキュリティとどのように結びついているかを解説する講習を実施。その後、仮想マシン形式で用意した演習環境上で、実際にツールを用いて問題に取り組み、実習を進めるという二部形式で行われた。
参加者への事前アンケートでは、「初心者なのでついていけるか、周りに迷惑を掛けるのではないかと不安です」といった声もあったという。そこで今回のワークショップでは基礎的な内容を中心に、例えばネットワーク(パケット解析)ならば「Wireshark」の、フォレンジックならば「FTK Imager」の使い方を、またWebセキュリティならばSQLインジェクションやディレクトリトラバーサルといった代表的な脆弱性の説明を丁寧に行った。
「ツールの使い方が分からないというところでつまづく人が多い。そこで今回の企画では、ツールの基本的な使い方から解説し、まずは手を動かしてほしいと考えた」(中島氏)。午後の演習では、「フラッグって何?」といった基本的な疑問を講師らと交わしながら、問題に取り組んでいた。
中には、業務としてセキュリティ検査などを経験している参加者もあったが、大半はセキュリティに関する講習を受けるのも、ましてやツールに触れるのも初めて。演習では、6〜7人単位で分かれたグループごとに、時には黙々と、時には声を掛け合いながら、問題に取り組んだ。
ある参加者は「普段はセキュリティ製品を商材として扱う営業職だが、上司から『セキュリティ女子になってこい!』と言われ、参加してみた。実際にやってみると、想像していたものとは違って、ツールですべて自動的にぱぱぱっとやるというよりも『力業』。経験が必要だなと感じた」と述べた。
一緒に問題に取り組んでいた別の参加者は、1カ月半前に情報セキュリティ対策室に配属されたばかり。「ツールの使い方や、どのようにして攻撃されるのかといったことを知らなければ対策もできない。今回の経験で、あらためて、もっと知識を深掘りしていかなくてはならないと感じた」と感想を述べた。
演習後半はさらに、参加者それぞれの興味に応じて、4つのテーマ+暗号という5つのブースに分かれ、講師とコミュニケーションしながら問題に取り組んだ。
中島氏は、こうした機会を通じて、まだ女性が少ないIT業界、情報セキュリティ業界の中で気軽に相談し合えるコミュニティを形作り、ひいてはロールモデルの確立などにつなげていきたいとしている。
海外に目を転じれば、例えば韓国では女性限定のCTF大会「Power of XX」が2011年から毎年開催されているなど、取り組みが盛んだ。この大会は淑明女子大の情報セキュリティサークルの学生たちが主体となって運営しているという。中島氏は「今回の取り組みへの反応を見て、再びワークショップを開催するか、あるいはCTF大会を開催するかなど、どのように展開していくか検討していきたい」と意欲を語っている。
関連記事
- 知力、体力、時の運! 2日間にわたる攻防戦
幅広い情報セキュリティの知識や経験を問う「第1回SECCON CTF全国大会」が、2013年2月末に開催された。2日間にわたって攻防戦スタイルで争われた旗取り合戦。その熱戦の模様をレポートする。 - さらなる裾野の拡大を目指す、「SECCON 2014」開催へ
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.