若手社員の"面白そう"から始まった社内イベント「LACCON」がひそかに盛り上るそのワケ

セキュリティアカデミーの谷口です。

若手であっても自分の発案がどんどん採用され実現していく。そんな環境が会社にあると、仕事へのモチベーションが高まると思いませんか？
今回は、そんな仕事環境を実現する取り組み、ラックがグループ内で毎年開催しているセキュリティイベント「LACCON（らっこん）」についてご紹介します。

• 年々盛り上がりを見せるイベント「LACCON」とは？
• 作問者として学ぶLACCON
• 参加者として学ぶLACCON
• 作問者、参加者をソフトウエアで支援する
• 職場を超えた交流を提供するLACCON
• 社員の採用や教育へ役立つLACCON

年々盛り上がりを見せるイベント「LACCON」とは？

このイベントは、ラックおよびラックグループの若手社員を中心とするメンバーで運営する、CTF形式のセキュリティイベントです。新入社員限定で試験的に開催した2015年度の第0回を含めると、これまで5年連続の開催となり、回を重ねるごとに改善され特色も出始めました。

このイベントの面白いところは、作問などのイベント運営側にも、プレイヤー側にも参加できるという点です。下記の表のとおり、年々参加者数が増えるだけでなく、作問を担当する人数も増加しています。

参加者・作問者・問題数の推移

LACCONのスローガンは、「作問者にも参加者にも学びのある場にする」です。
一般的なCTFは競技性を重視していますが、LACCONは教育の側面を重視しているためで、このスローガンを実現するための工夫を紹介します。

作問者として学ぶLACCON

作問者は立候補制です。問題に関しては、一般的なCTFの作法にこだわらずに、業務で得た知識を使うなど自由に作問して良いことにしています。CTFのために勉強するというよりは、いまの自分の知識・技術をもとに問題作りに挑戦し、業務の延長線上のスキルアップに活用してほしいという思いがあります。例えば、自動車に搭載されるCAN通信に関する問題であったり、機械学習による判断を作為的に誤らせる問題であったりと、バリエーションに富んだ問題が提供されるという予想外の効果もありました。

また、学びに重点を置いているため、社外のCTF競技では出題が難しい問題も可としています。
例えば、ペネトレーションテスト業務に関わる社員が作る、WindowsやLinuxの権限昇格を前提とした問題などが挙げられます。ハッキングスキルを試せる問題なのですが、先に権限昇格した参加者が、他の参加者を妨害することができてしまうため、競技性を重視する一般的なCTF競技では出題しにくいのです。LACCONでも、ログ監視や定期的なロールバックなどの技術的な対策は実施するものの、全ての妨害行為を防ぐことはできないのは同じです。しかし参加者はグループ社員。お互いに妨害行為だけはしないというルールをお願いした上で出題するなどしています。

さらに面白いことに、LACCONでは、作問者が、問題を解く側としても参加できるルールにしています。自分で作った問題の答えはわかってしまいますが、作問者特典として許容し「問題を解く側にも回りたい」という意思も大切にしているのです。

参加者として学ぶLACCON

LACCONの開催時期は例年12月～1月ごろで、開催期間は3～4週間と長めに設定しています。参加者にはクラウド上に構築したLACCON環境にVPN経由でアクセスしてもらい、それぞれ自分のペースで解けるようにしています。個人でもチームでも参加が可能で、職場の先輩が後輩に教えながら解くチームもあれば、個人で気ままに解く人、順位を競う人など、参加スタイルはさまざまです。

作問者、参加者をソフトウエアで支援する

作問者や参加者からの要望に柔軟に応じられるように、LACCONのWebアプリケーションは自前で開発しています。
例えば、開催後のアンケートで、問題のWriteup（解説）がほしいという声が多く挙がったため、2018年度からは出題した問題すべてに解説を表示するようにしました。解説が表示されるタイミングは、チーム内で誰かが問題を解いたとき、またはLACCON終了後としています。さらに、参加者がどのように解いたかを投稿できるフォームも用意しました。

また、ラックには視覚障がいのある技術者が複数在籍しています。2019年度の改修では、目の不自由な人などがアプリケーションを使用する際に、正解済みの問題とそうではない問題の区別がつきにくいと指摘があったため、読み上げソフトに部分的に対応する改修を行いました。

職場を超えた交流を提供するLACCON

当初は新入社員限定でスタートしたこのCTF競技は、翌2016年度にLACCONと命名され、2017年度にはラックグループ全体に拡大しました。さらに同2017年度からは、"面白そう！"に共感していただいた一部の外部参加者も受け入れています。

LACCONの名前で初開催したときに驚いたのは、セキュリティ部門のチームを押しのけて、システムインテグレーション部門の複数のチームが上位入賞をしたことでした。その中でもトップ争いをしたチームにインタビューしたところ、「ハリネズミ本と呼ばれるCTF解説書を一通り読んだら解けるようになった」とのことで、度肝を抜かれた記憶があります。社内に潜んでいた凄腕エンジニアと出会うきっかけとなりました。

次に驚いたのは、外部からの参加者のモチベーションの高さです。毎年必ず上位入賞しているだけでなく、表彰式後の意見交換会にも積極的に参加されるほどです。普段接点がない技術者と会話する機会があることは、新たな発見やモチベーション向上にもつながり、ラック社内の技術者にとってとても有益だと考えています。

社員の採用や教育へ役立つLACCON

LACCONを実施する環境やLACCONの運営で得たノウハウは、ラックの採用活動や教育コンテンツに活用されているほか、他組織への環境の貸し出しも行っています。
具体的な事例として、ラック独特の技術者採用イベントがあります。これはCTFで自分の技能を社長にアピールすることができるという型破りなものです。2020年度の申し込みは既に終了しましたが、興味のある方は来年ぜひチャレンジしてみてください。