座学で得た知識を、実習で再確認-都立産業技術高専編-

3月22日に、都立産業技術高専にて情報セキュリティ教育のお手伝いをしてきました。
本ブログは「都立産業技術高専に行ってきました！（前編）」の後編にあたります。

サイバーセキュリティ月間のNISCコラムにも投稿した本活動も今回で4回目となりました。これで高校、大学、専門、高専とそれぞれ1回ずつ実施したことになります。

今回は、2015年度入社の社員が作成した問題を取り入れました。3月14日に新人CTFと題して開催した社内イベント用に作られた問題ですが、面白く学べる問題がいくつかあったので活用させていただきました。若手とのコラボに関しては、その後の発展もありそうなので引き続き取り組んでいきたいと思っています。

上記は「白い正方形のキャンバスに絵を描いた」という問題です。
この画像にもフラグ（答え）が隠れています。
興味のある方は、まず、ZIPファイルをダウンロードし、フラグを探してみてください。
sample.zip

参加形態について

都立産業技術高専の話しに戻します。
今回は先生の要望もあり、個人戦で実施しました。先生問題は30点、他は100点～300点の問題を2時間半で解いてもらいました。

これまでの3校と比べるとサクサクと解く生徒の割合が多かったですが、何をすればわからず戸惑う生徒も一定数いました。個人戦としていましたが、戸惑う生徒は複数人で相談し合う形にしたり、個別に解説を交えたヒントを与えて正答までフォローしたりしました。

先生問題について

都立産業技術高専の佐藤先生に10問作成いただきました。Raspberry Piで問題用サーバまで用意されて、先生側も楽しんでいる印象を受けました。一向に解かれない問題があり、焦る先生を横目で見ているのがとても楽しかった記憶があります（同行していた先輩社員から、背後から高速でツッコミをいれられたのはそのタイミングだったかもしれません）。

アフターフォローについて

今回は問題解説に1時間ほどかけています。SQLインジェクションやPDFの黒塗り問題など、実際の企業でも情報漏えいの原因になった事象をCTF問題に含めています。セキュリティの要素を学んでもらうためには解説の授業が重要だと考えています。

なお、先生から復習したいという要望がありましたので、使用した得点サーバや問題のデータをお渡ししました。手元にRaspberry Piがあれば、データのコピーまたはSDカードを渡すだけで環境を再現できるのは便利ですね。

ちなみに、今回も「ラックを知っている人？」と手を挙げてもらったところ、ほとんどの生徒の手が挙がりました。これまでは0～2人だったので大進歩です。高専生はラックがお好きみたいです。

ご案内
ラックの新しい採用の取り組みとしてスタートした特別技能選考会『即！西本面接』では、セキュリティ競技の一種である「CTF（Capture The Flag）」を活用しています。
情報セキュリティ技術を習得し、CTFなどの競技大会に参加したりマルウェアの解析の経験がある方や、その技術を使って世の中のセキュリティレベルの向上に貢献したい2018年3月卒業予定の学生の皆様は、ぜひ『即！西本面接』にご参加ください！