トレンドマイクロがCTF開催、優勝者にはHITCON CTF参加権も:標的型攻撃やIoTに関する問題も用意、スキル磨く「一つの機会に」
トレンドマイクロはセキュリティに関する知識や技術を競う競技会、「Trend Micro CTF Asia Pacific &Japan 2015」を開催する。まず9月26日から27日にかけてオンライン予選を行い、上位10チームが攻防戦形式の本戦に進む予定だ。
トレンドマイクロはセキュリティに関する知識や技術を競う競技会、「Trend Micro CTF Asia Pacific &Japan 2015」を開催する。まず2015年9月26日13時から27日にかけての24時間、用意された問題を解いて得点を競うジェオパディ形式のオンライン予選を実施。その予選を勝ち抜いた10チームで、アタック・アンド・ディフェンス形式の本戦を11月21日、22日に開催する予定だ。オンライン予選には、アジア太平洋地域に在住する20歳以上の人物であれば参加できる。
当初、オンライン予選は8月22日から23日にかけて実施される予定となっていたが、競技用スコアサーバーの設定に一部不備があり、一時的に、問題や解答を含むファイルにアクセスできる状態になっていたことが判明。公平を期すために日程を延期した。同社では、本来の日程に向けて準備を進めていた参加者に申し訳ないと述べている。
仮想化、クラウドやIoTに関する問題も用意
セキュリティ技術者の不足が叫ばれる中、優れた技術力や発想力を持った人材を発掘する場の一つとして「Capture The Flag」(CTF)が注目を集めている。バイナリ解析やネットワークパケット解析、Webアプリケーションの脆弱性に関する問題を、実際にマルウエア解析などに使われるツールを使いながら解き、切磋琢磨しながらセキュリティスキルの向上を目指す取り組みだ。
Trend Micro CTF Asia Pacific &Japan 2015もそうしたCTFの一つである。たいていのCTFは、DEFCONやCodegate、HITCONのようにセキュリティカンファレンスに付随する形で開催されたり、あるいはSECCONのように有志の取り組みを国などが支援する形が多かった。社内勉強会の一環で実施するケースもあるが、セキュリティベンダーが単体でオープンな競技会を実施するケースは、他にもあるとはいえ珍しい。
運営に当たるトレンドマイクロの染谷征良氏は、Trend Micro CTF Asia Pacific &Japan 2015開催の理由を「セキュリティベンダーとしてソフトウエアやハードウエアを提供するというのとは違う形で、『より安全な社会を実現する』という目的に向け、社会貢献したいと考えた」と述べる。もともとアジア発のセキュリティ企業という立場もあって、アジア太平洋地域を対象とした大会としたそうだ。
特徴の一つは問題の内容だ。これまでのCTFで出題されてきた分野に加え、仮想化やクラウド、標的型攻撃、あるいはIoT(Internet of Things:モノのインターネット)といった新たな分野の問題も含め、6カテゴリの設問を用意した。これらの分野は、トレンドマイクロ自身が注力する分野でもあり、「今までのCTFとは少し違う毛色のものを用意しているので、ぜひ楽しんでほしい」と染谷氏は述べる。なおオンライン予選は、ボーナスポイントを付加することで、早く問題を解いたチームが有利な仕組みになるということだ。
もう一つは、上位チームに与えられる賞金・商品だ。1位のチームには優勝賞金100万円が贈呈される他、台湾で開催される「HITCON CTF 2015 Final」の出場権が与えられる。こうした要因もあってか、既に380を超えるチームが登録しており、英語サイトからの登録数も相当数あるということだ。
競技インフラはトレンドマイクロのビジネスパートナーであるヴイエムウェアやIBMが支援する。オンライン予選のスコアボードは、Webで公開される予定だ。
なお、問題作成や運営に当たっては、SECCONの運営にも携わっている多数のセキュリティ専門家の協力を得た。オンライン予選の延期に伴って、「本来出題予定だった問題のサンプルを演習・トレーニング用にいくつか共有してほしい」といった要望も寄せられたという。
「発掘した後」にどうするか
染谷氏は、CTFのような取り組みも大事だが、むしろ、これを通じて技術力を持つエンジニアを発掘した後にどうするかこそが大事だと述べる。「セキュリティ人材を増やし、技術力を上げるのはいい。しかし、発掘した後にその人たちをどう生かすかが議論されていない。こうした技術を備えた人々が活躍できる場をどう用意するかを、官民ともに考えていく必要がある」(同氏)
最近では情報漏えいやマルウエア感染、Web改ざんと、さまざまなセキュリティインシデントが後を絶たない現状を背景に、とかく「セキュリティ人材不足」が叫ばれるようになった。だが、そもそもどういったセキュリティ人材が必要なのかが議論されないまま、数字だけが一人歩きしているのではないかと染谷氏は危惧しているという。
例えばトレンドマイクロが2015年3月に行った調査では、回答企業の約半数が、セキュリティ対策を進める上での課題として「組織の中にセキュリティ人材が不足している」「スキルが足りない」といった項目を挙げたそうだ。だが染谷氏は「本当に人が足りていないのか。そもそもセキュリティ人材の存在価値や意義が認められていないのかもしれない」と言う。
突き詰めていくと根本的な問題は「意思決定者や経営層のサイバーセキュリティリスクに対する認識や理解がまだまだ足りないことではないか。ここをどう高めていけるかが課題であり、その中で、直接セキュリティに関連する業務に従事する人たちをどのように増やし、どんなポジションを用意するかを考えていかなければならない」(同氏)と言う。
染谷氏はその意味で、「今回のCTFは一つの機会にすぎない」と述べる。CTFという形でセキュリティに関するスキルアップを図ってもらうことも大切だが、結果だけにとらわれず「『より安全な社会を実現する』というゴールに向けて技術力を高めていく機会になれば」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.