極楽せきゅあブログ

ときどきセキュリティ

SecCap(enPiT Security) ProでCTFやってきました

SecCap(enPiT Security) Proというプログラムの一環で、CTFの講義と演習、そして本番CTFを開催してきました。enPiTというのは「高度IT人材を育成する産学協働の実践教育ネットワーク」ということで、名乗りを上げた大学がそれぞれコンテンツを企画・調達して持ち寄って実践的な教育を行うプログラムです。

この中のSecurity分野はIT-Keysというプログラムが前身で、関西圏を中心に良い感じの人材を輩出していました。当初は大学院生が対象だったんですが、最近は学部生や、社会人も対象としていて、社会人向けをProと称しています。大阪大学の宮地先生がトレンドマイクロの新井さんに声をかけたことがきっかけで、九州大学の小出先生、株式会社セキュアサイクルの服部社長、社内でCTFを何年も開催されている日本総研さんとわたしが集ってCTFコンテンツを作り上げました。まぁわたしはほぼ見てるだけでしたが(笑)。

今回は大阪大学中之島センターと九州大学を遠隔で結びながら開催しましたが、スライド表示映像がうまく送受信できなかったりしてなかなか大変でした。スライドのデータファイル自体を共有して人力で(笑)対応したので事なきを得ましたが。近年遠隔会議システムを使って会議するのは当たり前になってきていますが、繋がらないとか見えないとかいうトラブルは割と良く起こります。最終的には人力で何とかできるように各場所でサポートできる体制を作りつつ、複数の通信ルートや通信手段を準備しておかないとハマることを実感しました。

当初企画案ではひたすら過去問を題材に解説していけば良いのでは?という構想でしたが、やはりベーシックなレクチャーは必要だろうということで、CTFに出る暗号の話と、Pwn(ポーンと読みます)という脆弱性攻撃の話、そしてWebアプリケーション攻撃の話などの講義と演習を行った後に3.5時間のCTFを実施するという構成になりました。講義時間の配分や中身のバランスなど、まだ見直すべき点はあると思いますが、このプログラムの参加者のセキュリティを専門にしている方々の割合などを見るとレクチャーを入れたことは良かったように感じます。レベル感はどうしても個々にバラつきが出るので難しいのですが、ある程度経験がある人たちもベースを押さえることは無駄ではないと思います。

CTF本番は比較的解きやすいレベルの問題を用意したからか、参加者の方々が活発に問題を解いていって盛り上がる展開になりました。初体験の方も居ましたが、すごく楽しいとおっしゃっていたので狙いは当たったのではないでしょうか。ゲーム要素を学習に活かすことをゲーミフィケーションと言いますが、CTFはゲームの「要素」ではなくゲームそのものですし、自学習促進剤としてとても良いツールだと思います。もし機会があれば、今後もこのenPiT Proにおいて良い感じにCTFを展開していきたいと考えています。

大阪大学 enPiT-Pro セキュリティ分野(enPiT-Pro Security) 情報セキュリティプロ人材育成短期集中プログラム(ProSec)のご案内