検索
ニュース

実はこんなにいた! セキュリティ女子女性同士、気軽に教え合うCTFワークショップ

SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA)は2014年6月29日、女性のみに限定したCapture The Flag(CTF)のワークショップ、「CTF for Girls」を開催した。

Share
Tweet
LINE
Hatena

 SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA)は2014年6月29日、女性のみに限定したCapture The Flag(CTF)のワークショップ、「CTF for GIRLS」を東京・六本木で開催した。参加者も女性だけならば講師も皆セキュリティに携わる女性という集まりで、学生や社会人、約70人が参加した。

 CTFとは、セキュリティ技術を競う競技会の一種だ。主に、用意された問題を解いて得点を積み重ねていくクイズ形式と、互いに手元のサーバーを守り合う攻防戦形式の2タイプがある。いずれも、脆弱性検査や監視、マルウェア解析などに必要となるスキルを組み合わせて取り組まなければ、勝利は難しい。米国で行われる「DEFCON CTF」を筆頭に海外では盛んに開催されており、時にはセキュリティエンジニアのリクルーティングの場として活用されることもある。


「CTF for GIRLS」を企画した中島明日香氏

 日本でも最近になって、セキュリティ人材の裾野拡大を目的に、「SECCON CTF」など幾つかの大会が開催されるようになってきた。だがこれまで取材してきた限り、女性の参加率はよくても1割以下といったところだ。これはそのまま、国内のIT業界、ITセキュリティ業界の女性の少なさを表すものでもある。

 そんな中、あえて女性限定のCTFワークショップを試みた理由について、企画したNTTセキュアプラットフォーム研究所の中島明日香氏は、「女性限定という形にすることで、セキュリティ技術に興味を持つ人の最初の入口のハードルを下げ、機会を広げたかった。これを機に、気軽にセキュリティについて相談し合えるコミュニティを作っていきたい」と述べる。

 当初、集まるのは20人程度かと想定していたそうだが、蓋を開けてみれば大盛況で、3日ほどのうちに80人を越す申し込みがあったという。「実はこんなにセキュリティやCTFに興味を持っている女性がいたんだなと感じた」(中島氏)。

演習の模様

 CTF for GIRLSでは、まず「ネットワーク(パケット解析)」「Webセキュリティ」「バイナリ解析」「フォレンジック」という4分野について、どんなツールを用いてどのように問題を解いていくのか、それらが現実のセキュリティとどのように結びついているかを解説する講習を実施。その後、仮想マシン形式で用意した演習環境上で、実際にツールを用いて問題に取り組み、実習を進めるという二部形式で行われた。


一般的なCTFで机に並ぶのは、レッドブルをはじめとするエナジードリンクが定番だが、CTF for GIRLSの場合は「スイーツ」

 参加者への事前アンケートでは、「初心者なのでついていけるか、周りに迷惑を掛けるのではないかと不安です」といった声もあったという。そこで今回のワークショップでは基礎的な内容を中心に、例えばネットワーク(パケット解析)ならば「Wireshark」の、フォレンジックならば「FTK Imager」の使い方を、またWebセキュリティならばSQLインジェクションやディレクトリトラバーサルといった代表的な脆弱性の説明を丁寧に行った。


スイーツもそこそこに、手はマウスとキーボードに

 「ツールの使い方が分からないというところでつまづく人が多い。そこで今回の企画では、ツールの基本的な使い方から解説し、まずは手を動かしてほしいと考えた」(中島氏)。午後の演習では、「フラッグって何?」といった基本的な疑問を講師らと交わしながら、問題に取り組んでいた。

 中には、業務としてセキュリティ検査などを経験している参加者もあったが、大半はセキュリティに関する講習を受けるのも、ましてやツールに触れるのも初めて。演習では、6〜7人単位で分かれたグループごとに、時には黙々と、時には声を掛け合いながら、問題に取り組んだ。

 ある参加者は「普段はセキュリティ製品を商材として扱う営業職だが、上司から『セキュリティ女子になってこい!』と言われ、参加してみた。実際にやってみると、想像していたものとは違って、ツールですべて自動的にぱぱぱっとやるというよりも『力業』。経験が必要だなと感じた」と述べた。


無事ネットワークの問題を解いて「やったー!」と声を上げていたお二人。ツールに触れるのは今回が初めてだったそうだ

 一緒に問題に取り組んでいた別の参加者は、1カ月半前に情報セキュリティ対策室に配属されたばかり。「ツールの使い方や、どのようにして攻撃されるのかといったことを知らなければ対策もできない。今回の経験で、あらためて、もっと知識を深掘りしていかなくてはならないと感じた」と感想を述べた。

 演習後半はさらに、参加者それぞれの興味に応じて、4つのテーマ+暗号という5つのブースに分かれ、講師とコミュニケーションしながら問題に取り組んだ。


後半は、興味を持ったテーマごとに分かれて演習を進めた

 中島氏は、こうした機会を通じて、まだ女性が少ないIT業界、情報セキュリティ業界の中で気軽に相談し合えるコミュニティを形作り、ひいてはロールモデルの確立などにつなげていきたいとしている。

 海外に目を転じれば、例えば韓国では女性限定のCTF大会「Power of XX」が2011年から毎年開催されているなど、取り組みが盛んだ。この大会は淑明女子大の情報セキュリティサークルの学生たちが主体となって運営しているという。中島氏は「今回の取り組みへの反応を見て、再びワークショップを開催するか、あるいはCTF大会を開催するかなど、どのように展開していくか検討していきたい」と意欲を語っている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  5. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  6. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  7. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  8. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
ページトップに戻る