プレスリリース

世界トップ大学が加盟するサイバーセキュリティ分野の産学連携組織「InterNational Cyber Security Center of Excellence（INCS-CoE）」が主催する国際イベント「Country to Country CTF 2023 （以下、C2C CTF 2023）」が、8月1日から4日間にわたり開催された。CTF（Capture The Flag）とは、実際に手を動かしながらセキュリティ技術を駆使してフラグと呼ばれる答えを探し出し得点を競い合うもの。2020年から毎年、加盟大学が持ち回りオンラインで開催してきたが、2023年度は、慶應義塾大学がホスト校を務め、初めてオフラインでの開催となった。9カ国、33大学から総勢78名の大学生が参加し、日本に集結した。

C2C CTFでは、開催当初よりサイドチャレンジ枠（民間企業が実践的な問題を提供する枠）が設けられていたが、今回NECが大会史上初めて社内CTFの基盤を活用して問題を提供した。サイドチャレンジに基盤を提供した経緯やイベント当日の様子について、運営に携わったNEC サイバーセキュリティ戦略統括部のリスクハンティンググループの榊 龍太郎、中島 春香、セキュリティ実装技術グループの中川 紗菜美の3名に話を聞いた。

（左から、C2C CTF 2023のサイドチャレンジ運営メンバーを務めた中川、榊、中島）

早いうちから実践力を養ってほしい。NECが学生に社内CTFの基盤を提供する理由。

サイバー攻撃による脅威の多様化、高度化が進む現在、高度な専門技術を持つセキュリティ人材の需要が高まっている。また、DX化が進むことで、デジタル技術を活用する上でセキュリティを組み込むことができる人材の育成も求められている状況だ。

NECでは、早くからお客様に提供する製品・システム・サービスへのセキュリティ実装を徹底するための体制を構築し、Security By Designを実践できるセキュリティ人材の育成に注力している。その一環として、社内CTFの開催やCISSP保有者を拡大する取り組みなど、さまざまな施策を講じてきた。

セキュリティ人材の育成は、政府も後押ししており、全国各地の教育機関と企業による地域に根差した産官学連携の取組みへの注目度も増している。NECでも、国立高等専門学校機構と連携して、社内の人材育成で磨き上げた教材や演習環境を高専生に提供したり、女性エンジニアが高専女子学生との交流イベントをサポートするなど、技術習得だけでなくキャリア形成の支援もしている。最前線で取り組んでいるNECだからこそ伝えられることがある、自分たちの人材育成の環境がきっかけで、学生たちがより高い目標を目指してほしいという想いで活動を行っている。

C2C CTF 2023へ社内CTFの基盤を提供したことも、これからのセキュリティ人材である大学生に早いうちから実践力を養ってほしいという思いから決断した。

社内CTFの基盤提供で感じた「多様性を考慮した問題選び」の難しさ

日本を含む9カ国、総勢78名の大学生が参加したC2C CTF 2023。個人の技術力を競い合うだけでなく、国や大学、スキルレベルが異なるインターナショナルなチームで対応できる力を育てることも目的としている。そこに、NECは毎年開催している社内CTFの問題から15問を提供。問題を選ぶ上で重視したポイントが2つあると榊はいう。

「1つは、問題の難易度を参加する学生のレベルにあわせることを意識しました。初学者が置いてきぼりにならず、プロフェッショナルが飽きない塩梅を見極めるのは時間がかかりました。もう1つは、英語に訳して違和感がない問題であることです。社内CTFの問題は基本的に日本語で作っているため、英語にしたときに微妙なニュアンスの違いがでるものは避けました。」

（イベント当日の様子。榊はサイドチャレンジの司会進行も務めた）

（黙々と画面に向かい問題に取り組むだけでなく、チームで相談する姿も）

サイドチャレンジは2日間にわたり実施された。1日目の学生の反応を見ると、予想以上にすらすらと問題を解いていたこともあり、運営メンバーで話し合い2日目の問題を1問変更することに決めた。そのときの様子を中川が振り返る。

「当日、入れ替える問題をどれにするか榊さんと中島さんと話し合い、30分ほどで決めました。社内CTFの過去の回答数や回答者の反応をデータ化して、難易度の順位づけをしていたので、それを見て『この問題がいいよね』と素早く決定することができました」

（16チーム中、上位10チームのスコアが公開され、リアルタイムに確認可能な状況）

過去8年間の社内CTFで蓄積されたデータをしっかり管理していたからこそ、問題の調整に素早く対応する ことができた。当日の運営で一番気がかりだったのは、運営メンバー3名で、78名の学生をまとめ上げなければいけない点だ。パソコンやインターネット回線を使用するためトラブルは付き物。しかし、これも事前に準備をしていたことですぐに乗り越えられたと中島はいう。

「当日は、一部の学生から『ログインできない』『サーバーにアクセスできない』などの質問がありました。また、個人のパソコンに問題が生じることもあります。そうしたトラブルを想定して、対処法をあらかじめ慶應義塾大学のスタッフと話し合っていたので、そのおかげでスムーズに対処できました」

（当日に見られた中島の様子。イベント中に学生と交流するシーンも多くみられた）

目の前で喜ぶ姿に感動。初のオフライン開催で感じたこと

今回は初めてのオフライン開催。参加する学生が一つの場所に集まり、その場で技術を競い合うため、これまで見えなかった部分が見えるようになった。オフライン開催で特に印象深かったことについて、中島はこう話す。

「問題が解けたときに喜び合う姿とか、ギリギリまでチームで議論している姿を見ることができました。オンライン開催だと、回答率や点数などの結果しか見られないので、その裏側を見られたというのが貴重な経験でした。最後の数十秒になっても諦めずに取り組んでくれて、そんな熱中してもらえるコンテンツを自分たちの手で作れたのだと思うと、すごくうれしかったです」

中川は、過去に社内で開催した学生向けCTFと比べて、発見があったという。

「年に1回、当社で学生向けのイベントを開催していて、オフラインでCTFをやったこともあったのですが、そのときは個人戦だったので、黙々と取り組む姿しか見られなかったんです。今回のようにチーム戦という形式にすることで、喜びあったり、議論しあったり、新しいCTFの魅力が生まれるのだなと感じました。1つの問題をメンバーで分担して解いているチームもいて、難易度が高く社内で回答率が低い問題もチームで協力することで、答えにかなり近づいているものもあり、驚きましたね」

C2C CTF 2023の最後に表彰式が執り行われ、メインチャレンジ、サイドチャレンジ、副賞のチームが発表された。チーム名が呼ばれると、学生は仲間と握手をしながら喜びの表情を見せた。

表彰式の様子について、榊はこう振り返る。

「上級者レベルの問題も時間はかかっていましたが涼しい顔で解いていたので、余裕だったのかなと思っていたんです。でも表彰式で握手やハイタッチをする姿を見て、難問に対して諦めずにがんばって解いたんだなとあらためて感じました。参加者がエキサイトする瞬間を見ることができたのは新鮮でした」

（表彰式で問題解説を行う榊。熱心にメモを取る学生もいた）

参加者アンケートを振り返って

イベント終了後、参加者にアンケートを実施した。サイドチャレンジは初めての取り組みだったため、学生がどんな感想を抱いたのかは気になるところだ。アンケート結果にはどんなことが書いてあったのか、榊に聞いてみた。

「CTF初参加の人から常連の人まで、さまざまなレベルの学生が集まっていましたが、全員から『勉強になった/とても勉強になった』という回答をいただき、我々が提供するCTFの教育効果をあらためて感じました。今回のイベントは競技の側面が強くありましたが、それでも問題を通して勉強になったという意見を多くいただけたのはうれしかったです」

「難易度のバランスが取れており多くを学ぶことができた」、「新しいツールを学ぶことができた」、「楽しめた、もっと学びたいという動機付けになった」と学びに対するコメントは多い。

提供した15問の中でも、特に学生から好評だったのが、2日目の当日に急遽入れ替えた問題だった。中島は学生から直接感想をもらっていたという。

「当日に入れ替えた問題に対して、学生さんから『あの問題は現実味があっておもしろかった』と声をかけてもらいました。私たちは身近なネタや、業務で得られた現実的な脆弱性などを題材にして問題をつくっています。それにより技術的なおもしろさに気づいてもらうことが、このCTFの目的の1つだったので、それが達成できたのだとわかり、うれしく思うと同時にこれからに向けてのモチベーションも高まりました」

そのほか、学生同士がやり取りしているチャットツールでも感想が寄せられており、「あの問題はクールだったね」とお気に入りの問題について話し合っていた。

他にも、「ここはどうやって解いたの？」と、ある学生が質問を投げかけると、その問題を解けた学生が解説する場面もあった。イベントが終わったあとも、学生たちのコミュニケーションが活発に行われているのを見て、中川はあることに気がついた。

「コミュニケーションの学習効果を再認識しました。これまで社内で実施していたCTFは、オンラインかつ個人戦のため、個々でスキルアップすることを目的にして施策を打ってきました。ただ今回の様子を見て、コミュニケーションを通じてそれぞれのスキルを高め合うこともできると気がつけたのは、大きな収穫でした」

得た学びを社内CTFにも活かし、社内外の人材育成に貢献していきたい

C2C CTF 2023に社内CTFの基盤を提供したことで、さまざまな学びがあった。特にコミュニケーションの学習効果については、社内CTFにも取り入れられそうだ。

これまでの社内CTFは個人で黙々と1カ月かけて問題を解いていく形式だった。それぞれが日常業務もある中で参加するためチーム戦にするのは難しいが、終わったあとに参加者が交流できる場があれば、今回の学生向けCTFのように盛り上がるかもしれないし、問題を作る側のモチベーションも高まるかもしれない。そうしたコミュニケーションの場づくりにも、今後力を入れていきたいと3人は語る。

（実際に問題を解く中でも学生同士がコミュニケーションをとる姿が多くみられた）

社内CTFの基盤を活用する動きは、今後も続けていく予定だ。直近では、9月12日から19日に学生向けのオンラインコンテスト「NEC Security Skills Challenge for Students 2023 」を開催した 。過去にも開催してきたイベントであるが、今回は学生だけでなくNECグループの社員も一緒に参加し、技術を競い合った。加えて、秋冬ごろにも社外に向けたイベントを開催予定である。

社内CTFの基盤を活用する取り組みを続ける中で、中島には実現したいことがあったという。最後に、その構想と想いを話してくれた。

「過去に学生向けイベントを行ったときに、『CTFの問題を作ってみたい』と学生から声をかけられたことがあります。もしそう思ってくれる学生が多ければ、一緒にCTFを運営していくこともできるのかなと考えていました。運営側に立つことで学べることもあるので、いろんな側面からCTFの楽しさを知っていただき、一緒にCTFの輪を広げていきたいです」

このように、学生向けに社内CTFの基盤を提供してきたNECには、お客様からも「CTFを通じて社員のセキュリティスキルを向上したい」と相談を受けることも増えている。そうした要望を受けて、NECではお客様向けサービスも展開している。

NECは、これからも自社の人材育成で得たノウハウを、お客様や未来を担うセキュリティ人材のために提供していく予定だ。今回のC2C CTF 2023を運営する中で得た新たな気づきを取り入れ、その質と量をともに向上していくだろう。NECのセキュリティ人材の育成に関する取り組みから目が離せない。

関連情報

・InterNational Cyber Security Center of Excellence（INCS-CoE）

https://incs-coe.org/

・プレスリリース(2019年7月24日)

https://www.keio.ac.jp/ja/press-releases/files/2019/7/24/190724-2.pdf

・NECサイバーセキュリティ競技場演習（CTF）

https://jpn.nec.com/cybersecurity/professionalservice/education/contest/