┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━┳━┳━┓ ┃■ SECCON メールマガジン【Vol.26】 発行:2015.10.26(月) ┃_┃ロ┃×┃ ┣━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━┻━┻━┫ ┃…………………………………………………………………………………………┃ ┃… 各種CTF勉強会の情報や、予選告知、結果速報、Write Up などを発信 …┃ ┃…………………………………………………………………………………………┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ …………………………… [ C O N T E N T S ] ………………………………… 0x01 SECCON 2015 九州大会「Attack & Defense」(学生限定)募集開始! 0x02 Attack & Defense Web トライアルイベント at AVTOKYO2015 0x03 CTFやコンテストの「使い方」~企業の企業による企業のための使い方~ ──────────────────────────────────── 0x01 SECCON 2015 九州大会「Attack & Defense」(学生限定)募集開始! ──────────────────────────────────── 2015年11月28日(土)に攻防戦形式の競技を開催いたします。 攻防戦の競技は、 主催者が各チームに用意するシステムに接続して行います。 競技者は自チームの システムで稼働するサービスを維持しつつ、 他チームのシステムの脆弱性を突き、 攻撃と防御の技術力を競い合います。 今回の対象は学生限定とし、1チーム4名までのチーム戦とします。 登録に関して は、まずチームの代表者の方がConnpass上で行ってください。 アンケートに事 前課題がありますのでその結果を元に選抜を行います。 選抜結果は、11/1(日)に開示予定です。 選抜後に別途、メンバーリストを提出し ていただきます。 情報セキュリティに興味のある学生の皆さんのご参加をお待ちしております。 ■ SECCON 2015 九州大会「Attack & Defense」開催要項 開催日程:2015年11月28日(土) 定  員:16チーム(1チーム4名まで) 会  場:九州工業大学 飯塚キャンパス 主  催:SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA) 共  催:九州工業大学 参加資格:学生限定 募集期間:2015/10/21(水) 17:00 ~ 2015/10/31(土) 00:00 まで ※上位3チームには2016年1月末に東京電機大学(東京千住キャンパス)で開催 されるSECCON 2015 決勝大会(intercollege)の決勝進出権が与えられます。 申し込み方法:こちらよりお申込み下さい。 http://seccon2015.connpass.com/event/21734/ (SECCON実行委員会 / Attack & Defense運営スタッフより) ──────────────────────────────────── 0x02 Attack & Defense Web トライアルイベント at AVTOKYO2015 ──────────────────────────────────── CTF for ビギナーズのAttack & Defenseは過去2回、九州、奈良と開催をして いますが、今までは学生のみが参加対象となっていました。 今回は参加制限を無くし、個人対抗戦としてAVTOKYO2015の会場にてトライ アルイベントを開催いたします。 今回の競技対象は過去に開催で使用されたWebサービスのみを使用します。 1時間の競技時間の中で与えられたサーバの「他チームへの攻撃」と「自チーム の防御」を行い総合得点を競います。 競技は3ラウンド開催され、それぞれ課題となるサーバは異なります。 16:00-17:00 Round1 17:30-18:30 Round2 19:00-20:00 Round3 参加には事前登録が必要です。参加は1人1ラウンドのみとさせていただきます。 ■ Attack & Defense Web トライアル開催要項 開催日程:2015年11月14日(土)AVTOKYO2015会場内 定  員:10人x3ラウンド(個人戦) 会  場:T2 SHIBUYA 共  催:AVTOKYO2015 運  営:Attack & Defense運営スタッフ 参加資格:AVTOKYO2015の参加者 そ の 他:競技に参加される方は、無線LAN接続可能な機器をご用意ください。 募集期間:2015/11/1(日) 12:00 ~ ※AVTOKYO2015は有料イベントで、別途チケット購入が必要です。  詳細は以下をご覧ください。  http://ja.avtokyo.org/avtokyo2015/ ※参加登録アナウンスは上記Webサイト、以下のTwitterアカウントにて  アナウンスいたします。  https://twitter.com/avtokyo (AVTOKYO2015運営スタッフより) ──────────────────────────────────── 0x03 CTFやコンテストの「使い方」~企業の企業による企業のための使い方~ ──────────────────────────────────── 第三回「企業の企業による企業のための使い方」 情報セキュリティを学んで来た人たちに聞くと、多くは独学でやってきた、と言 います。なぜそうなるのかというと、そもそも学校などに学ぶ場がなかなか無い からでしょう。平成23年のIPAの調査によれば情報セキュリティを専門に学ぶ学 生は毎年130人程度しか輩出されていなくて、広げても1000人程度であるとか。 全員が何らかの形でセキュリティに関わる仕事に就くとも限りませんし、近年 輩出力は増強されつつありますが不足しているといわれる数万の穴を埋めるには 相当時間がかかりそうです。 となると、早急に人材を揃えたい企業とすれば旧人の教育や発掘に力を入れる必 要があります。外部の人材を招き入れることももちろん可能ですが、情報セキュ リティの人材は「品薄」状態で市場になかなか出てきませんし、出てきても高額 になってしまっています。獲得を諦めないまでも、内部の人材でまかなうことの 方が現実的ではないでしょうか。 とはいえ、教育にはお金がかかります。経営として技術者の技術を磨くのにどれ だけのお金を投入することが許容範囲なのか。それはもちろん各企業異なると思 いますが、そんな企業側の思惑に関係無く、市場に出ている情報セキュリティの 技術教育プログラムはけっこう高額です。教育プログラムを色々調べてみました が、一日当たりになおすと7万~15万というところでした。これを高額と思いま すか?ちなみに一番お高いものは大日本印刷さんご提供のプラットフォームのお 値段で、ライセンス料が年間2億円!、しかもコンサル別!でした。とんでもな く高いように思えてしまいますが、本当に高いものでしょうか? ついでに社員教育にどのくらいお金をかけているのか、という調査結果がありま したので引いてみます(https://career.nikkei.co.jp/contents/hataranking/03/)。 一番お金をかけているのが三井物産で、年間407160円です。これならセキュリ ティ技術教育(だいたい2日~3日程度です)を年2回余裕で受けられますね。 三井物産は平均年収が高いので年収の3%程度ですが、金額2位の武田薬品工業は 平均年収の4%まで教育に投資しているようです。 世界を見ると3%というのは平均的な数字だそうですが、日本のトップが世界の 平均にしか過ぎないのには理由があります。日本では長い年月をかけてのOJT (On the Job Training)が主流なので、明示的な教育投資として顕れてこない ために金額が少なめになっているのです。だからこそ、セキュリティの技術教育 は難しいとも言えるわけです。 セキュリティのOJTが難しいことはおわかりでしょう。事件・事故への対応訓練 のためには、事件・事故を再現しなくてはなりませんが、再現性の高い訓練環境 を作ることがなかなか難易度が高いのです。部分的に検証したりする環境を作る ことはそれほど難しくないのですが、シナリオに基づき、狙ったタイミングや影 響度でセキュリティ的事象を発生させられる環境、となると大変です。非常時に 備えなければならないのに、非常時を再現して訓練することが難しいのです。 このあたりをご理解いただけるなら、CTFやコンテストがいかにコストパフォー マンスの良い訓練になるのかもおわかりいただけるでしょう。なんとも太っ腹な ことに多くのCTFやコンテストは参加無料、実費のみだったりします。あまりに も手前味噌になりすぎるのでこの辺にしておきますが、モチベーションにもとて も良い影響があり、仲間やコミュニティとも繋がれて、コスパも良いとなると、 世界で大流行するのも当然だと思います。 もう一つ、問題を作る側、環境を作る側、企画する側になって得られるものも大 きいと思います。実際、世界で最も古く有名なCTFであるDEF CON CTFはオー ガナイザーが軍関係の学生だったこともありますが、これもその効果を軍が認め ているからでしょう。副産物的に攻撃の良いデータも採れますし、オーガナイザー 側に入るのも技術的なチャレンジとしては良いことだと思います。 実際そのあたりに気づかれた企業、例えば富士通さんはCTFを社内の人員発掘や 訓練に積極的に採用されていますし、LACさんも早くからそうした試みを続けて おられます。そのうちセキュリティ技術を必要とする企業では、社内でCTFを開 催するのは当たり前になってくるかもしれませんね。 こんな良い仕組みを定常的に世の中にご提供できているのも、SECCONをサポー トしてくれているスポンサー企業さんのおかげです。 本当にありがとうございます。 ここまでのまとめ: (1)CTFやコンテストは、投資対効果の良い教育プログラムである (2)CTFのオーガナイザーになると、良い教育的効果を得られる (SECCON実行委員会/サイバー大学/IPA 園田 道夫 より) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ SECCON実行委員会は、多くの皆様からの無償のご支援と、スポンサー企業様   からの協賛金・寄付金によって運営されています。 ……………………………………………………………………………………………… ▼ メルマガの配信停止はこちらよりお手続き下さい。 http://2014.seccon.jp/optout.html ……………………………………………………………………………………………… Copyright (C) 2015 SECCON 実行委員会 All rights reserved. 掲載内容の無断転載を禁じることはありませんのでご安心下さい