今日は江戸前セキュリティ勉強会に参加してきました。
いつも気が付くと募集が終わっていて見送るばかりだったのですが、今回は募集開始後の早い段階で気づくことができたので何とか間に合いました。
セッション6つにお菓子休憩・懇親会と充実した半日でした。
発表者の方々に感謝を込めて、例のごとく感想を書きます。
「下手の横好き」三村聡志さん
概要
- CTFからの学び
- バグ(脆弱性)ハントにおいて持つべき心構え
- CTFの教育効果
感想
社会人になり現在のお仕事に就かれたからこその気付き、という部分が特に面白かったです。
「バグ(脆弱性)ハントが社会的な意義を持つためには、そこをただつっつくだけでは弱く、次に取るべき行動・ストーリーを提示する必要がある」というのは、まさにご苦労を踏まえての話で説得力がありました。
またCTFの教育効果については賛否あるということは理解していますが、
個人的にはWrite upという文化が裾野を広げることに大きく貢献していると思っています。
私自身、CTFにハマらなければもっと普通に弁護士していたと思いますし。
CTFが(コアなファンを維持しつつ)このまま市民権を得て行って欲しいなと思います。
ところで今回の答えはこれで合ってますか?
落語「寝床」とは…
日ごろは温厚で物分かりのよい、大店(おおだな)の旦那。唯一の欠点は、下手の横好きの「義太夫(ぎだゆう)」。自分では気づいていないが、実はとても聴いていられる代物ではない。今日も義太夫の会を催そうと、もてなしの酒、肴(さかな)、菓子を準備して、店の者に命じて長屋の連中を呼びにやらせるが、皆用事があって来られないと聞かされる。それでは、店の者に聴かせようと言うと、店の者も仮病を使って聴きたがらない。
「Trendmicro CTF(仮)」トレンドマイクロ岩田さん
概要
- TMCTFの舞台裏
- TMCTFのこだわり
感想
1週間前は私もTMCTF2016をやっていたので、お話いただいた内容もある程度イメージしながら聞けました。
こたわりポイントとして挙がっていた
- 問題のリアリティ
- ビジュアル
- インフラ
のうち、1点目については「他のCTFではなく、なぜTMCTFなのか」ということを訴求していく意味で非常に大事な所なのだろうなと思いました。今日ちょうど日経の記事を読んでいたこともあり、アクティブな業界背景もあってのことなのかなと妄想していました。
全体を通して、具体的な話が聞けて面白い講演でした。
「Seccon GO」園田道夫さん
概要
- SECCONができるまで
- SECCONの今後
- CTFが教育において果たす役割
感想
とりあえずパワポ1ページ目時点での会場の盛り上がりが、今まで見た全ての講演の中でダントツでした。
内容としては、冒頭で三村さんが述べられていた教育に関する部分について、理論的根拠を示しながら丁寧に説明していただききました。園田先生の講演は、(子供のセキュリティ教育的な内容で)来月も聞きに行くので非常に楽しみです。
QRコードのくだりは懇親会時でも度々ネタになっており、運営は大変なんだなと思いました。
「世界的に活躍しているチームは運営を経験している場合が多い」とのお話もあり、今後もっと野良CTF的取り組みが増えればいいなと思います。
「NECTF」NEC園田健太郎さん
概要
- 社内CTFの取組紹介
- 社内CTFを実施する意義
感想
社内向けに行うCTFの運営という、なかなか聞けない内容だったので面白かったです。
会社の金・人・物を使ってCTFを行う以上、それが経営的にどういう意味があるのかをきちんと説明する必要があり、人材育成・スキルマップ・社内ネゴ等々、参考になる話をたくさん聞けました。
実際の所、ISMS等の取り組について面倒くさいだけと感じるのは普通の感覚だと思います。
社内の情報リテラシー向上はどこの企業も課題なのだと思いますが、こういった工夫は有効なのだろうなと思いました。交渉に際して「技術の会社なのだから」といってくすぐるのも上手いですよね。
「CTF for GILRS」鈴木悠さん
概要
- CTF for GILRSの取組紹介
感想
女性特有の配慮として、
- 入り口のハードルを下げる
- 質問しやすい環境を作る
との対応をとられているとのこと。
紹介いただいたハードルを下げるための取り組みも非常に丁寧だと感じました。
「失敗して覚えた知識こそ本物」という側面は確かにあるのでしょうが、自分自身の経験としてもよくわからんまま相談もできず、解決できないまま放置してしまった経験は多々あるので、入り口を広げるためにはとてもよいと思います。
「LAC CTF」まっちゃだいふくさん
概要
- LACにおける、教育機関に対するCTFサービスの取組紹介
感想
先ほどのCTF for GILRSに続き、裾野を広げるための取り組みのひとつとして各種教育機関へのCTFサービスについてご紹介いただきました。
トップクラスのエンジニアを育てていくことも重要なのだと思いますが、セキュリティという観点からは底上げこそ急務なのだと思います。CTFに興味を持ってもらうためにも、そこへの繋ぎとしてボタン連打やQRパズルみたいな設問も重要なのかなと思いました。
今回はじめての江戸前セキュリティ勉強会だったのですが、とても楽しめました。
「技術的な話が薄くて物足りない」とおっしゃっていた参加者の方もおられましたが、個人的には運営側の方々の実体験が聞けてとても面白かったです。
運営の皆さん発表者の皆さんありがとうございました。