世界に通用する実践的な情報セキュリティ人材を発掘、育成し、互いに交流できる場を作ろう——そんな目的で2012年から行われてきたのが「SECCON」だ。CTFを中心に、初心者向けの「SECCON Beginners」や女性限定の「CTF for GIRLS」、フォレンジックなどをテーマとしたワークショップなどさまざまな企画を通して、セキュリティ関連技術を学び、議論し、磨く場として機能してきた。
新型コロナウイルスの影響もあってオンライン開催となった昨年に続き、「SECCON 2021」も、2021年12月11日、12日の二日間にわたりオンラインで開催された。そして、CTFに参加したい、セキュリティ技術者を目指したいと考える人たちを対象としたオンラインイベント「SECCON 2021 電脳会議」が、翌週の12月18日、19日に開催された。
いったいどのような思い出プログラムを準備してきたのかを、SECCON実行委員会委員長の花田智洋氏、副実行委員長の寺島崇幸氏、事務局長の園田道夫氏、そしてワークショップのワーキンググループを率いる小出洋氏に、表にはあまり出てこなかった思いも含めて話を伺った。
少しずつ世代交代を図り、マンネリ化からの脱却を図る
小出:ワークショップを担当している小出です。SECCON 2021 電脳会議では、従来オフラインでやっていたワークショップをオンラインに持っていくチャレンジングな取り組みをしました。オンラインで皆が楽しみ、実際に手を動かし、創意工夫をこらして作品を作って皆に見せていきたいなと考えてきました。
寺島:副実行委員長の寺島です。繰り返しになるとどうしてもマンネリ化してしまいますから、コミュニティ活動というものは同じ人がやり続けるのはよくないと思ってます。SECCON 2021ではCTFは若者にほとんど委譲し、それ以外のいろんな下回りを担当しました。自分の仕事を減らし、いろんな人が動くよう仕向けることで、参加者だけでなく運営側もいろいろな経験を積み、満足度を上げられたらと考えています。
園田:事務局長の園田です。寺島さんと同じで、CTFというメインのコンテンツからはちょっと引いて、過去の経験を踏まえ、状況を見ながら穴埋めできるところを穴埋めするという考え方でいろんなことをやってきました。また、一昨年でいうならバイナリ駄洒落コンテストの進行役とか、そんなちょっと変わったものの担当でもあります。ちなみにあのコンテスト、セキュリティとは無関係な配信技術担当の方々に受けてて、自分的には「やった!」っていう感じでしたね。
花田:実行委員長の花田です。2018年から実行委員長を務めてきてもう4年目になりました。当時は東京電機大学でSECCON CTFの決勝大会を行っていましたが、会場を秋葉原に移し、国内と国際CTFのファイナルを同時開催したり、年に一度のお祭りをイメージし、ワークショップや講演といったいろんな企画もやってきました。SECCONに関わる人たちの高年齢化を防ぎ、またマンネリ化を避けて満足度を上げるため、数年前からワーキンググループ形式を導入して企画の意思決定などの権限をうまく委譲し、参加する側だけでなくやる側も関われて良かったなという気持ちをより高めることが近年の課題だと思っています。
猛威を振るったコロナ禍の影響はあったのでしょうか?
花田:SECCON 2020はコロナの影響でリアルに集まることが困難になり、急遽「電脳会議」という形で、CTFやイベントをオンラインで行いました。ただ、実施に向けたミーティングが不定期だったこともあり、コミュニケーションに課題があるなと感じていましたし、SECCON全体として関わりが何となく希薄になったのはよくないなという課題意識を持っていました。
そこでSECCON 2021では、課題があろうとなかろうと、二週間に一回、定例の企画会議を開催して実行委員会内のコミュニケーションの改善を図ってきました。二週間に一回の細かい「締め切りドリブン」が、緩やかにできたと思います。また、若手メンバーをプログラムコミッティーのリーダーにアサインし、権限を委譲する流れも、この数年で少しずつできつつあるかなと感じます。
寺島:SECCON 2020ではコミュニケーションにちょっとばらばら感があったように思いますので、その改善に取り組みましたね。
園田:「Slackでやればいいじゃん」という話もありますが、どうしてもいろいろ滞ってしまう面はありましたね。目に見えるレスポンスがなかったからといって進めてしまうと、後から「話を聞いていなかった」という反応があったり……おそらく、日本のいろんなコミュニティで同じような問題が起きているように思います。
ただ逆に、集まりやすいというオンラインならではの利点もあったように思いますね。オフラインで集まろうとすると日程調整だけでも大変ですが、オンラインだとけっこうカジュアルに集まれますし、頻度も上がります。その良さも出てたと思いますね。
オンラインでも手を動かす楽しさを味わう、さまざまなワークショップ企画の裏話
SECCON 2020では、全体を通してどんな新しい取り組みがあったのでしょうか?
寺島:ほぼ毎月くらいの勢いでいろいろなイベントを開催し、イベントドリブンでSECCONをアピールしていく流れを作ったことが特徴かなと思います。
では、そのイベントドリブンを盛り上げるワークショップについて聞かせてください。
小出:SECCON 2021のワークショップのテーマとしては、マルウェアにも使われる「シェルコード」の解析入門や、攻撃の証拠集めを行うデジタルフォレンジック技術など行いました。それから、デジタル機器を自分の手で作ろうということで、ハンダ付けのワークショップにもチャレンジしました。
オンラインでハンダ付けって、なかなか新しいですね。
小出:ワークショップでは、LED2つと小さな回路を組み合わせたくらいの、小さなものを作るところまでを教えて「こう流し込んで、こうやるんだよ……」というコツを伝授していきました。その後、各自の創意工夫でオリジナル作品を作ってもらい、12月19日のSECCON電脳会議でその作品を自慢するLT大会を開催しました。
園田:「自分が作ったものを自慢する」って、SECCONに共通するポリシーですよね。「よろず」も、DEFCONやBlackHatでやっているブースも、自分が開発したツールの自慢大会ですしね。
小出:職場の同僚だけだと、いくら自慢してもその面白さが伝わり、分かってくれる人がなかなかいないので……SECCONという場でそういう機会を設けたいと思っています。
園田:「光るLANケーブル」を作るってのもいいかもしれませんね。
小出:面白いですし、プログラムで挙動をいろいろ変えられるんですが、難易度はけっこう高いんですよね。あと、消費電力もすごいんですよ。でも、来年あたりはオンラインでできたらいいかもしれません。
園田:野望としては、CTF会場のネットワークを光るLANケーブルでできたら面白いなって思います。攻撃が目に見えるので。電力がいくら必要になるかは分かりませんが(苦笑)
他に力を入れてきた内容はどんなものがありましたか?
小出:プログラミングに関するワークショップを行いました。以前、オフラインで実施して好評だったものをベースに、初心者向けに、親子で参加できるような内容です。日本語プログラミングで、初めてプログラムに触れる小学生にも参加できるようにしました。
園田:「なでしこ」を使いましたね。プログラミング教育うんぬんと言われていることもあって、子どもさんはもちろん、その親御さんにも、プログラミングってどんなものかを知り、体験者を増やせるといいなという思いもあって企画してきたもので、過去、秋葉原で実施した時にはけっこう好評でしたね。なでしこならば日本語で記述するので、考え方も分かりやすいですし。
小出:小学生ではまだ英語を学んでいないので、英語がベースのプログラミング言語だと難しいかもしれませんが、日本語でトライできるのは考え方を理解するのにいいと思います。ただ、秋葉原で開催していたときには、通りすがりの親子連れにふらっと参加してもらう、といったことが期待できたんですが、オンラインだとそこがちょっとチャレンジになりましたね。
総額100万の賞金を設定し、いよいよ日本を代表するCTF大会に
CTF本戦はどんなフォーマットで行われましたか?
花田:12月11日、12日の2日間で、オンラインのみで一発勝負を行いました。
今回の大会の特徴は何でしたか?
花田:初の賞金付きSECCON CTFだったことが大きな違いですね。ずばり、総額100万の賞金を用意しました。
寺島:海外のCTFを見ている若いCTF運営メンバーから、「賞金を出してしかるべきだ」という意見がありまして……話が出たのは2020年のことでしたが、直前すぎていろいろな手続きが間に合わなかったんですね。SECCON 2021ではしっかり一年掛けて、法的な部分も含め準備を進め、こぎ着けました。
園田:国内大会で、日本人だけが対象となるとかなり参加者が限定できるのですが、インターナショナルな大会を開催すると、どんな国の人が参加してくるか分かりません。相手の素性をどう確かめるかにはじまり、税金の話をどうするのかといったいろんな観点を考えないといけないので、簡単にぽんっと出せるわけでもないんですよね。
でも、参加する側からするとモチベーションアップにつながりますね。
園田:世界のCTFの趨勢として、やはり大きな大会では賞金が出る場合が増えています。それに引き換え、長年開催してきて、規模もまずまず大きいSECCONで賞金が出ないのは、逆におかしいんじゃないか、なんていう話になりまして。
寺島:その辺りの手続きが大変なので避けていた面もあったんですが、そうしたチャレンジングな課題を検討して、取り組んでくれるグループができたのは頼もしかったですね。
花田:賞金で参加者のモチベーションが上がるだけでなく、運営する側も、きちんと賞金が付く、日本を代表するCTF大会を運営するんだという誇りのようなものを持って取り組んできました。「自分たちが新たなSECCON CTFを運営するんだ」という気概を持つメンバーを集めて、準備を進め、大会を終えることができました。
