攻殻機動隊 REALIZE PROJECT × SECCON CTF for GIRLS in CODE BLUE 特別対談
●次のステップへのきっかけとして活用されるCTF
「何だかよく分からない難しそうなもの」から、「面白そう」へ、そして「面白そう」から、「やってみたらもっと面白い」へ......好奇心を刺激し、スキルを伸ばして次のステップへ進むには、何らかのきっかけが必要だ。セキュリティエンジニアの育成において、Capture The Flag(CTF)はそんなきっかけを提供する場として機能してきた。
あらためて説明するまでもないかもしれないが、CTFとは、セキュリティに関する知識や技術を競う大会の総称だ。不正アクセスの検知やマルウェア解析、ログ解析といった、セキュリティ対策の現場で求められるスキルを生かして問題に隠された「Flag」を探し出し、得点を競う。個々のスキルアップはもちろん、チーム戦を通じて、役割分担やコミュニケーション能力が培われる。競技が終わった後には、情報交換や交流を通じて、セキュリティに興味を持つものどうしのコミュニティを育む機会にもなる。
国内でも最大規模のCTF大会「SECCON」を筆頭に、セキュリティベンダーや学生らが主催するCTF大会も増えてきた。近年ではITシステムだけでなくInternet of Things(IoT)機器や車載システムなども出題範囲に含まれるようになっている。
そんな中で異彩を放っている活動が、「CTF for GIRLS」が中心になって運営する「攻殻機動隊 REALIZE PROJECT × SECCON CTF for GIRLS」(攻殻CTF)だ。
何事につけ、少数派は集団の中で気後れを感じがちだ。たとえ多数派にはそんな意識がかけらもなくとも、違う属性の集団の中に飛び込むのには勇気がいる。ITエンジニア業界、セキュリティエンジニア業界において、女性はそんな立場に置かれることが多かった。CTF for GIRLSはそんな背景を踏まえ、セキュリティ技術やCTFに興味を持つ女性が気後れを感じることなく集まり、学び、交流する場として運営されてきた。
2015年には、SF作品「攻殻機動隊」で描かれているテクノロジや世界観を現実化するために始動した「攻殻機動隊 REALIZE PROJECT」と共同で「攻殻CTF」を開催。攻殻機動隊の主人公である超ウィザード級ハッカー「草薙素子」のように、高度な技術力を生かして活躍する女性を輩出することを目指し、回を重ねてきた。攻殻機動隊の世界観からインスピレーションを得つつ、競技の進行状況をリアルタイムに可視化する攻殻CTF専用可視化エンジン「AMATERAS零」(アマテラス・ゼロ)も、会場を大いに盛り上げる存在となっている。
2017年11月10日、セキュリティカンファレンス「CODE BLUE 2017」の会場で、「攻殻機動隊 REALIZE PROJECT × SECCON CTF for GIRLS in CODE BLUE」が開催された。約30人の参加者らは半日に渡り、Webやバイナリ、暗号といった分野にまたがる問題に取り組んだ。普段はセキュリティ以外のIT業務に携わっている社会人や、「セキュリティにはあまり詳しくないけれど、興味があって......」という学生らに加え、海外からの参加者の姿もあった。
セキュリティ企業のラックに勤務しつつ、このCTF for GIRLSや攻殻CTF、CODE BLUEの運営をサポートしている二人のエンジニア、青羽真利氏と山田麻衣氏。そしてAMATERAS零のほか、SECCONには欠かせない「NIRVANA改 SECCONカスタム」の生みの親である情報通信研究機構(NICT)サイバーセキュリティ研究室長の井上大介氏、主任研究技術員の鈴木宏栄氏、さらに長年にわたってCTFをはじめセキュリティエンジニア育成に尽力してきた園田道夫氏(NICTナショナルサイバートレーニングセンター長)に裏話を聞いてみた。
●ワークショップも盛況、関心高まるCTF for GIRLS
NICTナショナルサイバートレーニングセンター長の園田道夫氏
園田:CTF for GIRLSではCTF大会だけでなく、どんな問題が出題され、どんなツールを用いてどのように解くかを解説するワークショップも実施してきましたよね。
青羽:これまでに8回実施してきました。募集枠は100人ですが、毎回、オープン後数日で満員になり、クローズしてしまうほどの人気です。CTF大会だと「ちょっと難しそう」と尻込みしてしまう方もいるんですが、ワークショップだと安心して参加してもらえるようです。
井上:一方で、第1回優勝者のDahlia*さんのように、全力で取り組んで上位を目指す人もいますよね。
園田:今回は国際大会という位置付けになりましたね。
井上:台湾、ニュージーランドと韓国......
園田:それに飛び入りでアメリカからも。
青羽:多彩ですよね。以前、SECCONで優勝者にDEFCON CTFのシード権が与えられることになったとき、草野球のつもりで申し込んでいたら、いきなり隣でイチローが素振りを始めてびっくりした......なんていう印象を持った参加者もいたそうです。今回の攻殻CTFは、はじめからそういうものだ、世界の人と戦う場だと感じて参加している人もいるようですね。私の所属するアナリシスグループからも、「無理、無理」といいながらも3人、後輩が参加しています。
株式会社ラックの青羽真利氏、山田麻衣氏
山田:私は、CODE BLUEのネットワークインフラを支える「CBNOC」として動くことになり、今回は不参加です。
井上:CBNOCって、CODE BLUE会場の無線LANを運用したり、映像中継を行うチームですよね?
山田:はい。私はCBNOCの広報として、Twitterで「こんな活動をしているんだよ」と世の中に発信していく役割です。来場者の皆さんはあまり意識せずに会場の無線LANを利用していると思いますが、その裏側ではこんなことをしているんだよ、と知ってもらいたいと考えています。とはいえ、私はあまりネットワークに詳しくないので、周りの方に教えてもらって勉強しながら広報もする、という感じです。
●ちょっとしたつながりを機に社外へ広がる活動
園田:普段は違うお仕事なんですか?
山田:Webアプリケーションの脆弱性を調べる仕事をしています。Webアプリの診断についてはある程度知識が身に付いたと思うんですが、ネットワークはまったく未知の世界。あらためて、一口にセキュリティといっても幅広い分野にまたがるんだということを感じました。
園田:ではなぜわざわざCBNOCに?
山田:社外の人とのつながりが欲しくて......セキュリティをやっている社外の人たちとどんどん知り合いになって、情報交換や交流ができたらなと思って参加しました。
園田:社外の人脈って大事ですよね。青羽さんがCTF for GIRLS運営に加わったのもそんな感じで?
青羽:そうですね。入社して半年も経っていなかった頃、診断担当の山崎(圭吾)さん経由で話を頂き、面白そうだからやってみようと思って参加しました。第一回の攻殻CTFの時には、2~3週間かけてずっと攻殻機動隊のDVDを見たんですよ。せっかくやるからにはきちんと物語を理解して、分かる人には分かるようなひらめきにつながる問題を作りたかったので......。
園田:熱心ですね!
青羽:最初はワークショップでの講義や問題作成から始まり、そこでの活動がきっかけになって韓国で行われている女性限定のCTF「Power of XX」に参加したり、JNSAのパネルディスカッションに登壇させて頂いたり、さらにHardening Projectに参加させて頂くことになったりと、さまざまなチャンスが広がったし、自身の成長につながっていると感じています。
園田:青羽さんの普段のお仕事は?
青羽:普段はJSOCでアナリストの仕事をしています。ちなみに、ラックでも徐々に女性のセキュリティエンジニアが増えていて、特に診断の部署では多いですよね。
山田:そうですね。今年も新人女性が1人入ってきました。約30人いる中で5、6人が女性です。
園田:だいたいこの業界では多くて10分の1くらいですから、それに比べると5分の1って多いですよね。ちなみにNICTは?
井上:それを聞くんですか(笑)? うちの研究室は総勢40人くらいですが、先日初めて、国際関係担当として女性の方が加わりました。彼女は元々ホテル勤務で、外国の方とのコミュニケーションに長けている方です。NICTが国際連携を広げる中で適任だと思っています。「これからITも勉強します」と熱心に学んでいて、好奇心の強い人は適応力も高いなと感じますね。そういえば山田さんや青羽さんは社会人になってからセキュリティ技術を学んだんですか?
山田:私は、セキュリティについて学んだのは入社後です。学生時代は主に、プログラミングや開発をやっていましたが、セキュリティのことを学びたくてラックに入りました。いろいろな報道を見聞きする中で「これからはセキュリティ人材が必要な時代が来る」と思い、今後成長する業界に入って技術を身に付け、活躍したいなと思ったのがきっかけです。
青羽:実は私は学生時代は文系でした。最初に就職した企業が、フォレンジックやe-ディスカバリー業務を行う会社で......
井上:文系からフォレンジックってすごいですね。
青羽:就活中に「(日本では珍しい)国際訴訟支援をしている会社がある」と教えてもらい、その会社について調べている時に「なるほど、パソコンを調査するフォレンジックというものがあるんだ、面白いな」と思ったことがきっかけです。その後、ラックがSOCのアナリストを一から育てるという採用枠の存在を知り、応募して今に至ります。
鈴木:本当に一から教えてくれたんですか?
青羽:SOCアナリスト的な「一から」です。転職の際にCCNAの資格は取得していましたが、入社後にあらためてどこが分かって、どこが分からないのかという一覧を作りました。それに沿ってさまざまなプロトコルと攻撃の検証をしたり、各種攻撃やアナリストとしての分析手法についてきちんと教えてもらいました。基礎中の基礎については、渡された参考書籍や資格の勉強で補填しました。
園田:スキルセットのようなものを定義しているんですね。
鈴木:こうしたシステムが成り立っていないと、個人がどれだけ取り組んでも評価されませんよね。そうしたシステムがあり、間口が広いのはとてもいいことだと思います。
●人材を育てるにはまず裾野から、裾野のハードルを下げる仕組みから
NICTサイバーセキュリティ研究室長の井上大介氏、主任研究技術員の鈴木宏栄氏
園田:女性もそうですが、そもそも教育機関の人材輩出力も急に上がるものではありませんし、教える側もまだ少ないですよね。人材育成に関しては、「何万人足りない」と数字だけが取り上げられがちですけれど、セキュリティの専門家が何万人も足りないというわけではありません。その何倍もいるITシステムの構築や運用、サービス提供に携わる人たちの中で、セキュリティをきちんと実装できる人が少ないことが課題だと言われています。
ただ、だからといって専門家が少なくていいわけではありません。企画力や開発力のある専門家が1人いて、優れたシステムを1つ作ってくれれば、足りないといわれる何万人かを半分にできるかもしれない、そんな期待を持ちつつも、そういう人材が本当に少ないことに問題意識を抱いています。
井上:「トップ人材を育てよう」という話もありますが、そんなに簡単にできるものでもありません。それよりも、新たにセキュリティ業界に加わった人が数カ月くらいで一人前としてセキュリティオペレーションができたり、エンジニアリングできるような、そんな自動化の仕組みを開発していくと、裾野が広がりやすいし、ハードルも下がるのではないでしょうか。
園田:本来ならば機械がやるべきところを、システムがないから人間がやっている......人間が機械やシステムの奴隷になって、出てくる材料をあっぷあっぷしながら咀嚼している感があるんですが、それではつまらないですよね。
井上:機械が自動的に吐いているログを人間が一生懸命見るって、本末転倒な感じがありますよね。
園田:そういう部分を自動的に何とかして、人間に分かりやすい形で提示してくれるシステムが必要だし、そういうシステムを作れる人がいるといいなって思います。AMATERAS零やNIRVANA改 SECCONカスタムもそんなシステムの一つかなと。
井上:実は可視化技術って、長くセキュリティに携わってきて「目grep」のように優れたスキルを持っている人からはあまり評判がよくありません。それもそうで、できる人はその人なりのやり方で行えばいいと思うんです。可視化技術は、セキュリティの世界に入ってきたばかりの人たちが、ぱっと見ただけで「あ、ここはちょっとまずそうだな」と気付けるようにするためのもの。裾野を広げ、底上げをするための技術開発の1つだと考えています。 攻殻CTFもそうですが、競技がスタートして1時間もすれば、数百、数千といったログが生成されます。それだけ見ていても、今何が起こっているのかを把握するのは難しいですよね。AMATERAS零はそうしたログをリアルタイムに可視化することで、今会場に来たばかりの人たちが、何の説明がなくても「誰が一位か」「どの問題が解かれたか」を直感的に読み解けます。それが可視化のもたらすメリットです。CTFに限らず、人間が直感的に分かるようにサポートするという意味で、可視化ツールには使い道があると思っています。
園田:どんな風に開発しているんですか?
井上:僕がデザインを書いて、鈴木がそれを全てコーディングし、OpenGLを用いて現実化しています。日本のOpenGL使いとしては四天王に入るんじゃないでしょうか。あとの三人が誰かは分かりませんが(笑)
鈴木:ラフを渡して、それで井上は出張に行ってしまうものですから、最初のうちは苦労しました。今は動画データを共有して動きを確認するようにしていますが、過去にはどうしてもスケジュールが合わなくて、海外出張から帰ってきた当日に喫茶店で細かな部分を詰めたこともあります。でも、こうした開発では本当にプロトタイピングが大事です。プロトタイプを作らないと見えないことがいっぱいあるんですよ。一個プロトタイプができると次のアイデアがどんどん湧いてくることを実感しています。
井上:今回はタイムアタックリングがぼやっと光る「グロー効果」を新たに実装したんですが、これもよかったですよね。
園田:鈴木さんがセキュリティ業界に来たきっかけは?
鈴木:プログラミングの職を見つけたら、そこがたまたまセキュリティでした。それ以前は、比較的大規模なシステム開発に携わっていました。設計手法やレビューといった面で、そのときの経験が今も役立っています。それから開発のときは、自分が画面の前に立っていると想像しながら、「こう見えると分かりやすいんじゃないか」と一般の人にも分かるように意識して作っています。分かりやすさ重視です。
井上:ぱっと見ただけで何が起こっているかが分かるような、説明不要なものを作りたいんですよね。
園田:井上さんとは時々、プレイヤーのすごさを表せたらいいよね、という話をしていますよね。CTFは、短い時間の中でいかにたくさんの問題を解くかを競うものなので点数がそのまますごさでもあるのですが、それだけでなく、参加者の個人技のすごさを表すところまで持っていけたらいいなと思います。「この人の目grep力って何なの、すごい」みたいにね(笑)。ただCTFの場合は、あまりに多くのものを可視化してしまうと、チームの戦略に影響を与えることもあるので、使い方は難しいですね。
井上:SECCONで初めて競技状況を可視化したのは、確か2013年だったと思います。最初はみんな問題を解くのに必死で、全然画面を見ていなかったんですが、2年目、3年目ともなると、得点経過や問題の解かれ方を見て戦術を変えるチームが現れ始めましたね。まぁ、究極的には全員がゴーグルをかぶってVRでやるCTFなんか、面白いんじゃないかなと。あとは、鈴木の弟子を作ることも課題の一つですね。今は職人芸で一人で実装しているので......。
青羽:技術を人に伝えたり、継承していくことって大変ですよね。
鈴木:専門性が高まれば高まるほど、それを伝えるのって難しくなると思います。
園田:そこはやっぱり、すごい人がやってきたことを一から全部やるのではなく、20%くらいはシステムにしないと、人材はスケールしないでしょうね。言語化できるもの、システム化できるものはどんどんシステム化したり自動化したりして、その上で活躍する人がたくさん出てきてくれるとうれしいなと思います。
井上:面白い話があってですね。日本ではトップ人材を作れ作れ、と言われますよね。一方韓国では、トップ人材を育てる「BoB(Best of Best)」という教育プログラムがあって、海外のCTFでもいい成績を収めるなどすごく成功しています。先日、このBoBをやっている先生と話をしたときに、「ちょっと相談がある」と言われたんです。何かと尋ねたら「裾野を広げるにはどうしたらいいんだ」って言うんですよ。
園田:サッカー選手の育成と似ていますね。韓国はトップの選手を選抜して徹底的に育てる一方で、日本では裾野を広げよう、グラウンドを造ろうというところから始まっています。国のカルチャーかもしれませんね。
井上:裾野という意味では、どれだけ芝生のグラウンドがあるかにかかってきますよね。
園田:体験できる「場」がたくさん必要なんですよね。セキュリティに関しては、異常な体験をすることが学習につながります。だから、外部に影響のないようなサイバーレンジのような演習環境を買うか、あるいは自前で用意できるようなところじゃないと、人材を鍛えられないのが難しいところです。そういう意味では、NICTには「StarBED」があるのでやりやすいんですよね。
井上:合法的に暴れさせやすいですね。
園田:今進めている「SecHack365」はちょっと違って、技術開発力を上げたいというのが大きな動機です。プログラミング能力だけでなく、「こんなものを作ったら面白いんじゃないか」という発想力、アイデア力を持ち合わせた人を発掘し、育てたいと考えています。だから他のイベントとは違って、一年間という長い時間をかけて、じっくり関わりながら育てています。半分折り返し地点を過ぎましたが、何人か、それぞれ違う面白さを持った奴が出てきていますよ。
青羽:こうした場だけでなく、企業でも人材を育成できる環境はあると思います。例えばラックの場合、「ラックセキュリティアカデミー」という形で教育を行っています。サービスとして提供しているSOCのオペレーションや診断など、さまざまなコースが用意されており、裾野からトップ人材までカバーできていると思います。
山田:社員にもけっこう機会はあります。資格取得に向けた勉強会や支援がありますし、他にも勉強会やマルウェア対策研究人材ワークショップ、情報セキュリティワークショップin越後湯沢、それにもちろんCODE BLUEなど、さまざまな場に積極的に参加させてくれる環境です。ラックセキュリティアカデミーには社員枠もあって、マルウェア解析など、普段の業務とはまったく違うジャンルのコースを受けてみると、また新たな興味が湧いてきます。
青羽:仕事ではできない経験や横のつながりができますね。2016年には社内で「ラック女子部」というコミュニティを立ち上げました。部署の紹介に始まり、資格取得や結婚・出産も含めた女性のキャリアなどさまざまなテーマでライトニングトークをしています。部署やチームの壁を超えた横のつながりを作り、それぞれにモチベーションを高めていければと思っています。何より、別の分野であれ、同じ分野であれ、頑張っている人を見て私も頑張ろうというモチベーションになりますし、それが自分の仕事にも生きています。