絶対に負けられない戦いで負けない人材を育成するさまざまな取り組み：セキュリティ・アディッショナルタイム（3）（2/2 ページ）

[高橋睦美，＠IT]

女性エンジニアが気軽に参加し、質問できる場を作る「CTF for Girls」

　もう一つ、裾野の広がりに期待したい分野がある。女性エンジニアだ。筆者もセキュリティ関連の勉強会やCTFに取材に訪れるたび、数少ない女性を見つけては「ああ、仲間がいた」とほっとするのが常。決して扱いに差があるわけではないが、絶対数の少なさに気後れを感じないとは言いきれない。

　こんな実情が、セキュリティに興味を持っている女性エンジニアにとって心理的なハードルになっていないだろうかーーそんな問題意識の下、女性同士が気軽に情報セキュリティについて情報交換できるコミュニティ作りを目指しているのが、SECCON実行委員会と日本ネットワークセキュリティ協会（JNSA）が実施している「CTF for Girls」だ。

　4月28日に開催された「第3回 CTF for GIRLS（ワークショップ）」のテーマは「バイナリ（ソフトウエア解析）」。これに先立つ2014年に開催した女性限定のCTF「CTF for GIRLS」で「もっと詳しく知りたい」といった声があったことを受けての開催だ。

スイーツとバイナリと女子

　ワークショップには約50人が参加し、実行ファイルを対象としたソフトウェア解析を行う手法を実機を用いて学習した。前半では「IDA Pro」や「OllyDbg」といったツールの使い方とともに動的解析、静的解析の手法を説明。その後、複数用意された問題に取り組んだ。参加者の一人は「普段はネットワークエンジニアをやっているが、こういった分野にも興味があった。ちょっと時間的に物足りなかったが面白かった」と述べていた。

　通常のCTFや勉強会では聞きにくいことも、女性限定の場ならば気軽に質問できる。講師を務めた一瀬小夜氏は「こうした機会を通じて『あ、見えた、できた！』という達成感を味わってほしい」と述べている。

発掘した人材を生かす環境も

　さて、次の課題は、こうして生まれてきた人材をいかに活用するかだ。せっかく磨いたスキルも生かす場がなければ宝の持ち腐れとなってしまう。

　そこで、CTFを社内の人材育成に活用し始めようという試みも生まれている。例えばNTTコムセキュリティでは社内エンジニア有志がチームを結成し、DEFCON CTF予選等に参加。実際の攻撃コードを理解したり、インシデント対応に当たるスキルの向上に役立てたりしているという。

　また富士通では、漠然とした「セキュリティ人材」ではなく、現場で必要とされる能力を具体的に定義した「セキュリティマイスター認定制度」を設け、セキュリティに関するスキルを持った人材の発掘・育成に取り組んでいる。このプロセスの中で、既存のフレームワークや教育では足りない分野を育てるという意味で、社内セキュリティコンテスト（CTF）が役に立っているという。加えて、「開発と運用、セキュリティという異なる分野の人が近付くことができる。人材の発掘という意味だけでなく、人的ネットワーク構築にもCTFは有効だ」という。

　もちろん、CTFで問われる知識や技能以外にも、セキュリティエンジニアに求められる要素は多い。その一つが、コミュニケーション能力や外部との調整スキルだ。「サイバー犯罪に関する白浜シンポジウム」と併催される「情報危機管理コンテスト」、あるいは「Hardening Project」では、技術的なスキルだけでなく、コミュニケーションも含めた組織としての対応といった要素を競技に盛り込むなど、特色を持たせた競技会が増えている。

　スポーツの世界でアスリートがレベルアップしていくには、練習や試合を重ねるのはもちろんとして、競技環境の整備や指導者、審判のレベル向上なども含めた全体の底上げが必要だ。情報セキュリティに関しても、ここに紹介した取り組みはもちろん、教える側のレベルアップも含めた多角的な取り組みが必要だと思わされる。