ビジネスにおけるCTF技術の活かしどころ

私は診断事業に携わって20年のマネージャです。最近では自身で新しく尖った技術をどんどん身に付ける、といったことは少なくなりましたが、ラックの若手技術者は新しく尖った技術をどんどん習得しています。

私はその手助けになれれば、という思いでいるのですが、ある時からCTFがセキュリティ技術習得の手段として見られるようになってきました。ラックでも、取り組むメンバーが多く、CTFの大会で好成績を挙げるメンバーもいます。そしてそのような技術者がいることが会社のステータスの一部にもなっています。

しかし、お客様のなかにはCTFとは何？という方もいれば、知ってはいるけれどそれがサービスにどう関係あるの？と思われている方もいらっしゃるのではないでしょうか。

今回の記事では、CTFについて簡単にご説明し、CTFの技術がどうラックのビジネスに活かされているのか、といったお話をいたします。

CTFとは

CTFとは、Capture The Flagの略称です。本来は陣地の旗を奪い合うゲームのことですが、セキュリティ分野では技術力を競う競技のことを指します。その形式は主に2つに分けられます。

Jeopardy	複数のカテゴリー（例：Web、逆アセンブリ、暗号等）に分かれた課題を運営から提供され、それらを解くことで得点できます。
Attack & Defense	各チームが自分たちのサーバやサービスを防御しながら、他のチームのサーバやサービスを攻撃します。その結果によって、得点が決まります。

昔は、勉強会やイベントなどで脆弱性の存在するWebサイトに侵入を試みるといったことを体験学習のように実施されているくらいで、今のように体系化されていませんでした。あるWeb系の勉強会イベントでは、参加者が公園に集まり、無線経由で運営が用意した脆弱性の存在するWebサイトに接続し、SQLインジェクションを使って侵入してみよう！みたいなことをやっていたりしたものです。

また、ラックでは社内イベントとして、LACCONというCTFイベントを毎年開催しています。このイベントを通じてCTFイベントを開催する経験を得る社員もいれば、仲間と参加してCTFを楽しんでいる社員もいます。

CTFに参加するメリット

CTFに参加する主なメリットを生成AIに聞いてみたところ以下のように返ってきました。

スキル向上	実践的なセキュリティ技術を学び、最新の攻撃手法や防御策を習得できる
問題解決能力の向上	複雑なセキュリティ課題を解決することで、論理的思考力と創造力が養われる
ネットワーキング	他のセキュリティ専門家やエンジニアと交流し、人脈を広げられる
キャリアの向上	CTFの成果は履歴書に記載でき、セキュリティ業界での認知度や評価が向上する
セキュリティ意識の向上	攻撃者の視点を理解し、より効果的な防御策を講じる能力が高まる
楽しみと挑戦	ゲーム形式で楽しみながら学べ、達成感やモチベーションの向上につながる

スキル面については、直接業務に直結するものもありますが、どちらかというと各分野の基礎技術要素を身に付けていく印象です。例えば、空手で型を学ぶようにCTFで基礎技術を習得し、いざ実戦ということで案件の際にその基礎技術を基に戦うといった印象でしょうか。

先ほどイベントのお話を紹介しましたが、休みの日に集まってまでやるくらいですから、技術習得が楽しいのもありますし、同じことに興味を持つ人との交流も楽しいものでした。

そして、今まさにCTFをやっている若手メンバーにも話を聞いてみたところ、きっかけは様々でしたが、やはり技術習得に役立つ、問題を解くことによる達成感、そしてみんなとわいわいしながら参加するのが楽しいということで、そこは変わっていないのだなと感じています。

CTFの技術がどうビジネスに活かされているか

ラックのようにセキュリティを専業としている企業は、各サービスが成熟してきているので配属後の教育プログラムも用意されていますし、人に依存しないよう自動化や手順化が行われています。そのため、CTF等で技術を磨かなくても業務は実施できるようになります。

ただ、CTFに参加したことで、上述したCTFに参加するメリットが以下のように活きると私は考えています。

スキル向上	攻撃コードを読み解き、攻撃手法を学ぶことで最新の攻撃手法を既存の手順に追加
問題解決能力の向上	手順化が難しい複雑な攻撃パターンに対応
ネットワーキング	最新情報の収集、交換
キャリアの向上	高度な技術者がいることによる会社の信頼度の向上
セキュリティ意識の向上	実際の診断案件等に挑む際の心構えを養う
楽しみと挑戦	社員満足度の向上や新サービス開発への挑戦

実際にCTFに参加したメンバーから手順や項目の追加提案が行われることも少なくありません。また、CTFの好成績を会社としても紹介することもあります。そして、ラックでは、CTF採用も行っており、新卒の方にCTFの技術とともに文章力や表現力をアピールしていただき、我々の採用に役立たせていただいております。

CTFをビジネスに活かすことの課題

その結果、CTF等の個人目標と案件対応のバランスをとることが難しくなることがあります。また、元々は技術的な興味で取り組んでいたものが、業務になったとたん、その技術者が興味を失うこともあります。また、興味はないが目標として取り組む人にとっては、負担にしかならないこともあるでしょう。これらの課題に向き合いながら、技術者の育成を検討していく必要があると考えています。

もう一つ課題に感じているのが、この技術者が身に付けたCTFの技術をビジネスに活かしきれていないことです。

例えば、CTFの技術を活かすのにペネトレーションテストサービスが適切なのであれば、その技術を活かした提案をしたいところですが、その提案が難しいことです。CTFによって身に付けた技術があることで、〇〇なことができます、という〇〇をどのように説明するか。この価値のある技術を言語化し、お客様にご理解いただくには、その技術を理解しお客様にわかりやすく伝える技術が必要なのですが、残念ながらCTFにそのジャンルはありません。

もし、技術者の次のキャリアを考えるのであれば、こういった提案をできるポジションを目指す人が出てきても良いのではないかと思います。

さいごに

CTFが技術習得の一要素として一般的になってきましたが、課題は存在している状況です。もちろん、CTF以外にも技術習得の方法はあるので、それらも考慮してラックとしては技術者育成をしっかりと行っていきたいと思います。そして、その技術を活用し、サービス開発やサービス品質の改善を行う。それをお客様に知っていただき、安心してサービスをご利用いただけるように努力していきたいと思います。そのためには、技術を身に付けることも大切ですが、それを伝える努力をし続けたいと思います。

さいごに、最近読んだ記事で、あるCTFレジェンドの方が言われていた言葉が非常に印象に残っています。内容を私なりに簡約すると「自分が何のためにCTFをやるのかを考えたら、もちろん楽しいもあるが、CTFで身につけた能力を世の中のために役に立てなければ何の意味もない」でした。非常に共感できる言葉でしたので、私もこのような思いで今後もお客様にサービスを提供していきたいと思います。ただ、まだ若く、技術をどんどん身に付けたいという人は、とらわれることなく技術を極めて欲しいと思います。