「セキュリティにおける国際協調」を言葉だけでなく実践――地域対抗形式のCTF「ICC」とは：日本の若手も参加した「Team Asia」に聞く

国際的なCTF（Capture The Flag）大会、「International Cybersecurity Challenge」（ICC）が米国サンディエゴで開催された。米国、カナダ、欧州、アフリカ、南米、オセアニアなど各地域の代表チームが参加し、日本の若手セキュリティエンジニアも「Team Asia」の一員として活躍。そのTeam Asiaのメンバーとオーガナイザー、コーチ陣に話を伺った。

[高橋睦美，＠IT]

　国境などおかまいなしにさまざまな脅威が活動する中、「サイバーセキュリティ対策においては組織の壁を越えた協調、そして国際連携が重要だ」とよくいわれる。といっても、言葉や文化の壁を越え、どのように協力関係を築き、手を携えて対策に取り組んでいけばいいのだろうか。

　そのきっかけの一つとなりそうな取り組みが国際的なCTF（Capture The Flag）大会、「International Cybersecurity Challenge」（ICC）だ。2023年8月1〜4日に米国サンディエゴで開催されたICC 2023には米国、カナダの各代表に加え、欧州、アフリカ、南米、オセアニア各地域の代表チームが参加し、日本の若手セキュリティエンジニアも「Team Asia」の一員として活躍した。そのTeam Asiaのメンバーとオーガナイザー、コーチ陣に話を伺った。

国対抗ではなく、地域ごとにチームを作って競い、スキルアップを図る「ICC」

　セキュリティの重要性が認識され、セキュリティ技術者の育成が求められるにつれ、日本国内でも海外でも盛んにCTF大会が開催されるようになった。世界中のすご腕が集う「DEF CON CTF」はもちろん、国外からの招待チームも交えた日本最大級のCTF大会「SECCON」など、グローバルにスキルを競う場が増えている。

　ICCもそうしたCTF大会の一つだ。ただ、25歳以下の学生や若手エンジニアを対象に、地域チームの構築での国を超えたつながりの強化と教育を重視した位置付けとなっていることが特徴だ。「大学対抗版競技プログラミングのICPC（International Collegiate Programming Contest）などに近いイメージだと思います」（市川遼さん）

　教育やケイパビリティビルディング、チームビルディングを狙いに置いているので、チームの作り方もユニークだ。「一般的なCTFでは、学校や職場、コミュニティーなどで見知った人同士がチームを組んで参加し、知っている顔が多い状態ですが、ICC、特にTeam Asiaは大会で初めて顔を合わせる人がほとんどで、かなり新鮮でした」（米内貴志さん）

　ICCに挑戦したTeam Asiaには、予選を経て、日本はもちろん、韓国、台湾、シンガポール、マレーシア、タイの各国からメンバーが参加した。「単純にCTFのスキルだけを見れば、日本単独、あるいは韓国や台湾単独でチームを結成する方がより良い成績を残せる可能性はあります。しかし、さまざまなアジア諸国から、国境を越えて1つのチームを作っているのが特徴です」（市川さん）

　こうしたコンセプトの原型は、ENISA（欧州ネットワーク・情報セキュリティ機関）が開催してきた「European Cyber Security Challenge」（ECSC）にある。

　「欧州は過去の歴史を踏まえ、EU（欧州連合）という連合体を作りました。独立性が高く、国同士の結び付きが弱い中で、サイバーセキュリティに共に取り組もうという意識を醸成し続けることに取り組んでいます。ECSCはそうした背景から企画され、ケイパビリティビルディングを通して互いの交流を深めていくことを目的としています」と、オーガナイザーの篠田佳奈さんは説明する。

　ENISAでは過去5年にわたって展開してきたプログラムを通して、「国対抗ではなく複数の国々のメンバーで地域チームを作り、1つの目標を達成することでより強固なつながりが生まれる」という手応えを得た上で、ICCという形で対象をグローバルに拡大した。

さまざまな支援も得つつ、透明性の高い方法で結成されたTeam Asia

　第1回のICCは、コロナ禍による延期を経てギリシャのアテネで開催され、日本からも3人がTeam Asiaの一員として参加した。1日目は「Jeopardy」、2日目は「Attack & Defense」とそれぞれ異なる形式で行われた本選を戦い抜き、2位に入賞する成果を残した。

　ICC 2023ではそうした経験を積んだメンバーが、アジア地域の予選の運営やインフラの準備、チームの支援などに携わっている。普通の企業ならばまだまだ若手と見なされるメンバーが、チームのオーガナイザーとなって支援している形だ。

　ICCの参加者選抜は、地域によって方法が異なっている。Team Asiaの場合は「透明性にこだわりました」と市川さんは語った。誰が見ても「こいつなら選ばれて当然だ」と思われるよう、いわゆる普通のCTF大会と同様の予選を開催し、「各国の成績上位から選抜するが、各国とも3人を上限とする」というルールで決定していった。またジェンダーに配慮し、「Non-male」の参加者を加えるルールも盛り込まれていたという。

　市川さんは、「作問担当が、過去にCTFをやってきたプレイヤーということもあり、良くも悪くも普段のCTF通りでした。各ジャンルともバランス良く問題が用意されており、ランキングも順当でした」と振り返った。こうして10カ国から補欠2人を含む17人が選抜され、Team Asiaが結成された。

　国によっては、ICC参加に向けて渡航費用などが支援される。「日本ではセキュリティ・キャンプ協議会がサポートし、韓国ではDEF CON CTFにも多くの参加者を送り込んでいるBest of Bestが支援しています」（前田優人さん）。一方でマレーシアのように費用の捻出が難しく、クラウドファンディングを実施して有志の支援でプレイヤーを送り出した国もあった。

メンバー交代ありのCTF、レギュレーションの関係で驚く場面も

　本戦は、1日目はフォレンジックやWeb、暗号といった分野ごとに用意された問題を解く「Jeopardy」、2日目は各チームに割り当てられたサーバの脆弱（ぜいじゃく）性を守りつつ、他チームを攻撃して点数を競う「Attack & Defense」と、2022年と同じようにそれぞれ異なる形式で行われた。実のところ、なかなか苦戦したという。

　「時間のなさに苦しめられました。競技時間は両日とも9時間ずつで、この限られた時間でどう問題を解いていくかが大変でした。他のCTF大会ならば、1日目の夜に持ち帰って夜遅くまで問題を解くということもできるのですが、ICCはそれぞれの日で完結しているのでその方法も採れませんでした」（米内さん）

　普通のCTFならば、難易度が高いけれど高得点の問題に専念し、得点を伸ばす戦略を採ることもある。だがICCでは、むしろ「1人がどれだけの数の問題をこなせるか」「どうタイムマネジメントを行うか」というケイパビリティが問われたという。

　また、「ESCAPE ROOMチャレンジ」という課題も用意されていた。別室で用意された課題を制限時間内にいわゆる「OSINT」（Open Source Intelligence）を中心に謎解きを進め、スコアを競うものだが、「問題への集中をいったん解いて、部屋の外に出て行わなければなりませんでした」と米内さんは振り返った。

　また、「チート」を防ぐために厳密なレギュレーションが定められていたことも印象的だったという。

　「競技中は、選手はコーチ以外の人とは一切話してはいけないルールでした。選手は区切られたエリアでプレイしており、トイレへの出入りの際はエリア外の誰とも話すことができず、そのつどポケットにスマートフォンが入っていないかどうかチェックされるほどでした」（篠田さん）

　どうしてもコーチと話したいときには、何と、手にプラカードのようなものを掲げ、運営の許可を得る必要がある。しかも、コミュニケーション可能な時間には制限がある上に、話していい内容と話してはならない内容がルール上明確に定められており、運営立ち会いの下で会話を交わす必要があった。その上、このタイムの回数にも上限があり、一定数を超えると減点されてしまうといった具合だ。

　「CTFをやっていてプラカードを掲げた経験は、今回が初めてです。9時間という競技時間の中で、自分たちはどこに集中すべきか、いろいろストラテジーを考えながら取り組む必要がありました」（米内さん）

　こうした制限があるので、コーチ側も、スコアボードは見えるものの、チームが今どのような状況にあるかまでは分からない。キャプテンと本人の判断で、Team Asiaでもかなりの実力を持つメンバーが控えメンバーと交代したときは、コーチ側が「えっ」と非常に驚いたそうだ。

　「今回は前回と異なり、アイスホッケーの試合のように、控え選手と入れ代えることのできるルールになっていました。彼は、暗号のジャンルの問題をすごいスピードでほとんど解いてくれましたが『残りは9時間という時間枠だと解き切るのは難しい。ここにリソースをかけるよりも交代した方がチーム全体のスコアは伸びそうだ』との洞察を基に申し出てくれて、ポジティブな理由で交代しました。外側から見ていた人たちは驚いたかもしれませんが、何度もコミュニケーションをとった上での判断でした。結果としてプラスに働いたと思います」（米内さん）

　コーチはコーチで、「主催者から提供されるスコアボードをより読み取りやすくし、『他のチームでより解かれている問題はどれか』が分かるビューを作るために、競技が進む横で、その場でスクリプトを書いたりしていました」（藤原裕大さん）

　そんな、チームメンバーとそれを支える人々の努力も相まって、Team AsiaはAttack & Defense部門で優勝。総合でも3位と好成績を収めることができた。

多国籍チームだからこそ実感できる壁の存在と共通言語

　勝手知ったる仲間とチームを組む場合とは異なり、国も文化も違うほぼ初対面のメンバーが1つのチームを作って競技に取り組んだので、驚きを感じる場面もあった。

　「Team Asiaの中でも文化の違いを感じる場面がありました。ゲームに取り組む中で、ルールに対してどこまでOKかという線引きやルールに対するハックの姿勢に関して違いを感じたこともありましたし、やはり一番大きい壁は言語でした」と米内さんは振り返る。

　チーム内では基本的に英語でコミュニケーションを取ってはいたが、やはり、母語でやりとりするのとは違う。ESCAPE ROOMチャレンジのようにコミュニケーションが求められる課題については、比較的言語圏が共通している国のメンバーに担当してもらったという。

　また、コミュニケーション方法にも違いを感じる場面もあった。語学の問題もあるだろうが「欧州チームがワイワイガヤガヤ話しながら進めている一方、Team Asiaはチャットでのコミュニケーションが主体で、比較的静かでした。ジャンルごとに担当者にある程度任せる部分もありました」と米内さん。言葉の違い、文化の違いがチームの方針や戦術にも影響を与えたかもしれない。

　一方で、「やっぱりみんなCTFが好き、技術が好きなんだなと感じました。言葉での壁はありましたが、技術的なトピックが共通言語になってくれて、関係性を作り上げることができたと思います」（米内さん）。プレイヤー同士はもちろんだが、チームのオーガナイザーやコーチ同士も交流を深めており、ICCが終わった後も作問者が引き続きコミュニケーションを取っているそうだ。

　この関係性作りという意味で強固だったのが、Team Europeだ。1位に輝いた瞬間、まさにオリンピックで金メダルを取ったときのようにメンバーが抱き合い、喜びをあらわにするほどチームとしての結束力が高かったという。

　「Team Asiaは純粋に実力主義でメンバーを選抜していましたが、話を聞いてみるとTeam Europeは、まず多くの候補を集め、ブートキャンプを通して選考し、チームを育てていく形で取り組んでいるそうです」（市川さん）

　まず14カ国から50〜60人の参加希望者を募り、数回にわたってオンサイトでブートキャンプを行い、ふるいにかけながらチーミングしていくという。このプロセスを経てプレイヤー同士の絆が深まっていくそうだ。

　ICCへの参加もプログラムの一環という位置付けで、競技の前後、最長1カ月にわたって米国に滞在し、さまざまなところを見学していたという。CTFの結果もさることながら、各国から集まったプレイヤー同士の交流と、そこから生まれる「何か」を重視してこのような形式になっており、ENISAが資金面も含めバックアップしているからこそ実現できているという。

　一方Team Asiaは、地理的な条件も相まって、全員が顔を合わせたのは競技直前。それまでにオンラインで、演習用CTなどで準備を進めてきたが、互いを深く知り、チームビルディングを行う機会は残念ながら少なかった。「現地に入ってから仲良くなり、チームとして一緒に取り組むための材料があればよかったなと、今回参加してみて感じました」（米内さん）

　翻って現実を見るに、国際情勢に緊張も見られる中、サイバー領域も含めた国際協調がますます求められている。JPCERTコーディネーションセンター（JPCERT/CC）のようにアジア地域でのケイパビリティビルディングに長年取り組んでいる組織もあるが、もっとできることもあるのではないだろうか。直接的なリターンがすぐに見えなくても、例えばこうしたチーム作りに公的機関や国際機関などのサポートがあれば、メンバー派遣やチームビルディングに関してより深い取り組みができるのではないかと期待しているという。

　次回のICC開催については未定だが、UAEのドバイで開催される可能性があるという。一方で、「ぜひ日本で開催してほしい」という声も寄せられているそうで、近い将来、日本がホストとして、カンファレンスも含めてICCを実施する日が来るのかもしれない。