株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2019年10月30日 | ラックピープル

CTFをどう活用する?学校での情報セキュリティ教育につなげるために

こんにちは。サイバー・グリッド研究所の渡邊聡です。

ラックはこの夏、福岡と大阪の専門学校が合同で開催したイベントで、情報セキュリティの技術をゲーム形式で競う「CTF(Capture The Flag、旗取りゲームの意)」を実施し、手を動かしながら情報セキュリティを学習する機会を専門学校生の皆さんに提供しました。

CTFは大変な盛り上がりとなりましたが、ただ楽しいだけの体験で終わらせず、参加者がそれぞれ学びを得てその後の授業や進路選択につなげられるようにすることが私たちの目指すゴールです。そのために私たちが準備段階から意識し工夫していることを、当日の様子とともにご紹介します。

学校側の悩みは実習の場がないこと

今回、ラックがCTFを実施したのは、麻生情報ビジネス専門学校(福岡)とECCコンピュータ専門学校(大阪)が合同で開催した「麻生・ECCセキュリティイベント」です。
麻生情報ビジネス専門学校の福岡校を会場として、お盆明けの8月19日に行われ、両校の学生、あわせて約40名が参加しました。

このイベントにラックが関わったきっかけは、採用活動などで以前からラックの人事部門と交流があった麻生情報ビジネス専門学校の先生からの相談です。それによると、情報セキュリティに関して興味を持つ学生は年々増えているものの、通常の授業でセキュリティを教えるとなると座学だけになりがちで、習得した知識や技術を使って学ぶ実習の場がないのが悩みとのことでした。

そこで、同様の悩みを抱えるECCコンピュータ専門学校と合同のCTFを実施してもらえないかと持ち掛けられ、学校向けCTFを多く手掛けているサイバー・グリッド研究所で引き受けることになりました。当日の講師はチーフリサーチャー(当時、現サイバー・グリッド研究所長)の谷口隼祐が務め、私は補助講師を担当しました。

セキュリティ競技のCTFと学校向けCTFとの違い

学校でCTFを実施するに当たっては、考慮しなければならないことがあります。
一般的にCTFと言えば、セキュリティだけでなくネットワークやプログラミング、暗号解読など、幅広い知識と技術力が問われるセキュリティ競技を指し、非常に難しい問題が出題されます。

一方、セキュリティ初学者が大半の学校でCTFを実施する場合は、進め方こそ競技CTFを踏襲するものの、出題する内容は参加者の知識レベルに合ったものへと大幅に調整する必要があります。

今回、学校側へ事前に問題を送り、「これくらいの難易度で大丈夫ですか?」と確認したところ、「学生には難しすぎるためもっと難易度を下げてほしい」とのことでした。

そうしたやり取りを通じて、どのような難易度・種類の問題が参加者に合うかを考え、「SQLインジェクション」を実際に試すようなものや、パケット通信の中身を見て少し工夫するだけで解けるようなものなど、難しすぎず、実践的に学べるような問題を用意しました。

お昼休みもそっちのけで問題解きに熱中!

CTFの問題に集中して取り組む学生たち
CTFの問題に集中して取り組む学生たち

CTFは、幅広いジャンルの問題について、参加者が解答(フラグ)を入力することで得点を獲得するクイズ形式で行います。当日の参加者のうちCTFの経験者は3名だけで、ほとんどの人は初めてでした。2人1組でチームになり、協力し合いながら問題を解いてもらいました。

いざCTFがスタートすると、大半の参加者はお昼休憩の時間も惜しんで集中して問題を解き続けていました。授業で学んだ問題はスラスラ解けている様子でしたが、分からない問題はインターネットで検索するなどして、その場で新たな知識を身につけながら取り組んでいました。

難しい問題は解けているのに簡単な問題を残したままの参加者がいたため「これは解かなかったの?」と質問したところ、「(難しい問題を解くのに)夢中になっていて忘れていました」と返ってきたことも印象的でした。

終了後には授賞式を行い、上位3チームに、ラックのセキュリティオンライン講座受講券を贈呈しました。また希望者には、ラックのインターン優先参加登録券をお渡ししました。

CTF終了後上位3チームは計6名の学生が受賞されました
CTF終了後上位3チームは計6名の学生が受賞されました

懇親会では、CTFに参加してみた感想として「難しかったけどとても楽しかった」との声が多く聞かれました。他にも、詳しくないジャンルに挑戦する際に、これまで使ったことがないツールやプログラミング言語を実際に利用して学ぶ良い経験となった、という言葉もいただきました。

学校でのCTFを有意義な場とするには先生方の協力が不可欠

今回、CTFを学生の皆さんに楽しんで取り組んでいただけたのは、事前に学校側と問題の内容について十分に話し合い、参加者に合ったものを提供できたからです。

CTFは、ITや情報セキュリティにゲーム感覚で触れられるきっかけとなります。
その機会を学びにつなげられるようにするためには、CTFをどのような位置づけにするかをあらかじめ学校側で検討していただく必要があります。

例えば、「座学で学んだものを実践形式で試して理解を深める場とすること」や、「情報セキュリティに興味はあるけれど自分に向いているか確かめてみたいという学生に体験の場を設けること」というように、どのような位置づけにするかによって私たちが提供する問題の内容は大きく異なってきます。

ラックが協力できるのは、ITや情報セキュリティに触れるきっかけの「場」づくりのみで、そこを有意義な場とするにはどうしても学校側の協力が欠かせません。

今後、同様の取り組みを学校で実施してみようとお考えの先生方には、学生への教育・進路指導方針を踏まえたうえで、CTFをどのような位置づけにしたいかを先生の視点から明確にされることをお勧めします。

そして、それをすべての関係者が事前に共有することで、より有意義なCTFにすることができると私たちは考えています。

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top