ハッカーマインドを持った人間が集まれば“バカみたい”なアイデアがたくさん生まれる　日本最大級のセキュリティコンテスト「SECCON」が目指すもの

オフラインのSECCON、オンラインのSECCON

ーーここからは、花田さんが実行委員長を務める「SECCON」について聞かせてください。新型コロナウイルス感染症拡大の影響で、2020年度・2021年度のSECCONはオンラインのみで開催されたと聞きました。オンライン開催をしてみて感じた、オフライン開催との違いを教えてください。

花田智洋氏（以下、花田）：オフラインのときには、秋葉原の駅前にある大きなビル「秋葉原UDX」で、CTF（※1）の国内大会と国際大会のファイナルを同時開催して、さらにCTF会場の周辺でハンズオンなどができるワークショップや、ステージを用意してライトニングトーク大会などをやっていました。また、隣のビルにも講演会場のような場所を用意して、カンファレンスやパネルディスカッション、ワークショップなどを提供していました。

今こうやってオンラインベースの世の中になって、リアルに会える大事さというか、かけがえのなさみたいなものをひしひしと感じていて。（オフラインのときに）近づけようと努力はしていますが、やはりリアルの良さを完全にオンラインに持っていくのはなかなか難しく、まだまだ程遠いなと。

SECCONに限らず、各種のイベントでキーパーソンが一堂に集まって、特に会議をするでもなく、「この間議論した件、どうなりましたっけ？」とか「今こんなおもしろいことやってんだよ」とか。いろいろなところで突発的に起きる会話、情報交換などが非常に重要というか、実はかけがいのないものだったとあらためて気づかされています。

やはりそこは、オンラインでどんなにがんばっても同じレベルは提供することは困難です。イベントの主催側も、準備のために一緒に汗流したとか、本来なら絆を深め合えるところも、ちょっと言い方は悪いですが、割り切った関係に近いようなかたちになって。定期的にオンラインでのコミュニケーションする機会をもつようにはしていますが、さすがにやはりオフライン時代には敵わないものです。

SECCONのおもしろ企画みたいものって、実は打ち合わせのあとの“お疲れさま飲み会”などで、飲みながらフランクに議論したときにアイデアが出ていました。いわゆるハッカーマインドを持った人間が集まっているので、バカみたいなアイデアがドンドン出てきて、それをいろいろ組み合わせたりすると「ああ、それおもしろくない？」みたいな。

例えば、日本は数年前に令和になりましたよね。そのちょっと前にSECCONの打ち合わせをして、その後の飲み会の中で「年号変わるよね」みたいな話しをして。「年号変わる前後でCTFをやるって世界初なんじゃない？」みたいな話で盛り上がって、飲んだ勢いですぐ企画練って。もう本当に急ピッチで「令和CTF」という企画ができあがりました。

「飲んだ勢いでおもしろいアイデアが出た、じゃあそれはもうやるしかない」みたいな、その勢いが非常に大事だったなと思います。

日本のCTFは、昔より関わりやすくなっている

ーーちなみに、日本のCTFの頻度や知名度、レベル感は、世界と比較してどのような状況なのでしょうか。

花田：今までのSECCONの問題の傾向がいいとか悪いとか、さまざまな議論がいろいいろなところで交わされていて。それもSECCONという存在自体が、注目されているからこそ起きる話かと認識しています。

SECCONのCTFは、2020年度から開催するチームメンバーを一新してやっています。日本で最もいいCTFの大会をSECCONで提供しようという気概を持った若手が主体的に取り組んでいます。今後のCTFチームが提供するSECCONのCTFは、世界に誇れるもの、日本を代表するCTFとして、確固たる地位をしっかり築いていけるんじゃないかなと期待もしています。そういうメンバーを集めて、運営してもらっているところです。

かたや、CTFプレイヤーの観点では、世界の大会で入賞したり、非常に力を持った日本人プレイヤー・チームも、もちろんいます。

世界にはたくさんの有力チームや歴史あるチームが先行してありますが、日本ではSECCONをやり始めてから、よりCTFの認知度が高まりました。今は高等専門学校でCTF大会を開催したり、大学のサークルとしてCTFをしたり。はたまた面識はないけれど、Twitterでつながっている人同士でCTFの大会に参加したり。昔に比べたら、だいぶ普及してきたと思っています。「CTFtime」というWebサイトがあり、そこで世界のCTFがいつ開催されるか登録されていますが、頻度でいうとほぼ毎週開催されていますね。

数を増やすほうがいいのか、質を追求するほうがいいのかは、たぶん好みの話だと思います。「仲間うちだけでやりたい」というニーズなども、もちろんあると思いますし。ニーズに応じて好きなように開催して、好きなように参加して。今は選択的にできる環境ができてきた感じです。

ーーCTFとえばやはりDEFCON（※2）が有名ですが、DEFCONと比べて、「SECCONはもうちょっとこうしたほうがいい」などはありますか？

花田：率直に言ってしまうと、規模も歴史もぜんぜん違います。DEFCONには“DEFCON”というブランド力があって、自分たちが日々ハックしているものの成果を“DEFCON”で見せたい。そこに出したら自分に箔がつくから、とか。

誘引力っていうんですかね、そこはその道の“頭のおかしい人間“が、自分たちから望んで集まって、集まってなにかすることがステータスだ、みたいなブランドがもう確立されています。

SECCONの運営は、実行委員会として活動している人間を中心にやっていますが、むしろ実行委員会じゃない人間が「自分のコンテンツがあるから、このSECCONのセッションの枠くれよ」みたいになるように、どんどん魅力的にしていきたいです。

いろいろな分野から来場者が来れば、突発的に発生する雑談などで、もしかしたら突拍子もない、いいアイデアが出てきたりする可能性もあるかなと思います。

ワークショップやコンテストなど、今年度も取り組みとして実行委員会ではないメンバーから公募したりもやっているところですが、当たり前のように「いいものはSECCONで披露したい」「SECCONを目標」「SECCONのCTFに出たい」みたいになるといいなと。

ワークショップする、講演する、もしくは、おもしろいセキュリティゲームを作ったなど、披露する場におもしろいものが集まれば、そこにおもしろい人が集まってくるので、そういうところでいい相乗効果出せたらいいかなと。例えばDEFCONやドイツCCCなどを参考にしつつ、いいとこ取りをしたり、むしろこちらがパクられるぐらいになりたいなと思っています。

ーー以前のCTFでは攻撃を視覚化した「NIRVANA改」が導入されていましたが、オンラインではどのように取り入れられましたか。

花田：オフラインのときの決勝は、“King of the Hill”というかたちで、出題側が用意したサーバー群に対して各チームが攻略をして、攻略したら自分たちで籠城して、ほかの人たちが来ないようするイメージの競技形式でした。

それを可視化したNIRVANA改は、海外のチームの人たちも「あれ、すごいね」って言って。「それを見るだけでも日本に来た意味がある」と。1つの大きな売りでした。

「NIRVANA改 SECCONカスタム Mk-V」 画像提供:情報通信研究機構（NICT）

でもオンラインになると同じようには提供できないのと、あとはKing of the Hillの問題を作るのが難しかったりで、そもそもCTFをやるかどうかという議論も、実は数年前にありました。

オンラインのみの形式になって、これまでオンライン予選でも提供していた“ジョパディ形式”のみしました。オンラインのCTFでは最も多い形式です。具体的にはパネルが並べられて「社会の10」「グルメの30」といったクイズのような感じの課題が、セキュリティの分野ごとに用意されていて、それを解いたらポイントが入るルールになっています。

ジョパディ形式では、問題を解いたら点数が入るランキング形式になっているので、可視化システムでは点数が入ったタイミングや、上位の順位の入れ替わりが視覚的にわかります。

SECCON 2020 CTFでは、数千人規模のプレイヤーを収容可能な、超大規模CTF可視化エンジン「AMATERAS千」を提供しました。1,000チーム規模のリアルタイム可視化システムをオンラインで提供するのは、おそらく世界初のはずです。

「AMATERAS千」　画像提供:情報通信研究機構（NICT）

セキュリティ人材は意外と身近にいる

ーーこれまでのお話をうかがって、ハッカーやセキュリティに関わるエンジニアの存在が、意外と身近にあるように感じてきました。キャリア的にどうしたらそのポジションにつけるのか、わかりづらい印象をもっていたのですが。

花田：もしかしたら、職場で隣の方がCTFのチームに入っているかもしれません。1人で趣味でコツコツ解くのが好きな人もいれば、チームで一緒にディスカッションしながら解くのが好きな人もいます。

SECCONを始める前は、CTFの開催頻度は今ほどではありませんでした。また、日本語の情報リソースという意味で、今はブログなどでCTFに参加したときの問題の解き方を公表している記事（writeup）も、昔はぜんぜん見た記憶がありませんでしたが、今はだいぶ増えています。人によってはTwitterに問題を書いて、それに対して別の人が解法を書くとか、YouTubeに解説動画を作って投稿している方もいたり。

参加のハードルという意味だと、若者たちも日本語で公開されたブログ記事なども見られる。企業が用意する研修・演習だと、何万円、何十万円するのが、YouTubeで無料で公開されていたり、海外のコンテンツを無料で公開している方もいる。やる気さえあれば、それに応えられるコンテンツがいろいろ揃っている、いい世の中だなと日々感じます。

セキュリティ対策・認知拡大のために、これからも汗をかいていく

ーーセキュリティは、エンジニアやITに関わりがある方なら関心はいきやすいものの、IT全般的に興味がない方、「ITは難しい」という印象を持っている方がセキュリティの意識をあげるのはハードルが高いように思います。それに対してセキュリティに少しでも携わっている人間ができることって、なにかあるんでしょうか。

花田：今はオンライン時代になってしまっているので難しいですが、例えば道行く人がSECCONを知らずにたまたま横を通って、「なんかおもしろそうなことをやってんな」「ちょっと覗いてみよう」みたいに、ゲームセンターの外に置いてあるようなゲームのような。導入段階でのハードルを下げたけども知的好奇心を刺激しておもしろく、夢中になってしまうような取り組みができないかとは、個人の課題というか、やってみたいことでもあります。

ただ、人の興味のツボを押すのはなかなか難しいと思います。なので、“〇〇とセキュリティ”のように、身近なものと絡めると、網に引っかかるものをうまく用意できる可能性があるかなと思います。

丁寧な説明というよりは、その人が「なんかおもしろそうなのをやっているな」と、うっかり覗きたくなっちゃうようなおもしろいこと。ハードルの低さと得られる実利の部分をうまく組み合わせたものを提供できたりすると、広まっていきそうな気がします。

具体例として、僕が関わっているSecHack365（※3）の修了生の作品にあったのが、体操の中にセキュリティ要素を入れて意識を高める「セキュリティ体操」だったり、セキュリティのクイズに正解できるとインターネットでアクセスできる範囲を増やしていく、家庭内Webフィルタリングシステムを作ったり。

自然と生活の中に組み込めるゲーム要素と、やらねばみたいな危機感と、当たり前の習慣化の組み合わせで、「セキュリティは誰かだけが知っていればいいんですよ」ではなくて、「私たちにもあなたたちにも必要な当たり前のものなんですよ」というのが、うまく普及していったらいいかなと思います。

それこそ自分の両親が住む実家と現在住んでいる住居が離れていて、「実家のセキュリティ対策大丈夫かな？」と心配に思う人も多いと思うので、安全安心な社会を作るのに、日々僕らも汗かかないといけないなと感じている次第です。今はコンピューターがないと、世の中が回らない時代になっている。世の中でセキュリティが関わらないところはほぼないと思っているので、無限大に描けるおもしろい未来のために、みんなで知恵を出し合っていきたいなと思います。

※1　Capture The Flagのこと

※2　DEFCON

※3　SecHack365: 目指せ！セキュリティイノベーター！