HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2013年 ≫ 2013年8月 ≫ セキュリティ・キャンプ中央大会2013 レポートその4 - 2013-08-20

セキュリティ・キャンプ中央大会2013 レポートその4 - 2013-08-20

事業推進本部の村上です。

前回は、愛甲からソフトウェア・セキュリティ・クラスの講義及びアセンブラ短歌についてレポートしましたが今回はセキュリティ・キャンプ内で実施されるCTF及び最終日のグループ発表についてレポートします。昨年度の記事も併せてご覧頂くとよりイメージを掴むことができると思います。

今年のCTFは、基本的には昨年度のシステムを踏襲しており、クイズ形式の問題をグループで解くチーム戦となります。

各チームは、「ソフトウェア・セキュリティ・クラス」、「Web・セキュリティ・クラス」、「ネットワーク・セキュリティ・クラス」、「セキュアなシステムを作ろうクラス」から1名ずつの計4名で構成されています。

問題も各クラスの講師がクラス毎に作成しているため基本的には、チーム内の各自が所属するクラスの問題を解いていきチームとしての獲得点数を最大化するのが基本的な戦略となります。

一方で、現行のルールでは各自が自分で問題を解くことに専念するためチームとしての「チームプレー」が生まれ難いという性質も垣間見えます。

これについてはクラスの専門性を跨いだ複合問題や、ルール・システムを改良することで更なる進化の余地があるのでは、と考えています。

また、問題を作成する立場から見ると点数の設定も難しいポイントです。問題の獲得点数は難易度に応じて概ね100～500点の間で設定されています。

この難易度の尺度が講師間、クラス間で異なるため「一票の格差」のように同じ100点問題でも難易度が異なる、逆に同程度の難易度でも点数が異なる、と言うケースもあることは否めません（「100点問題は、～程度」と言う定性的な尺度は存在しますが）。

この場合、必ずしも上記の戦略が正しいとは限らず、寧ろ「難易度の割に配点が高い問題に集中して解いていく」という戦略が生まれます。

個人的には、これらは究極的にはなんらかの仕組みで「ある程度の幅」に平準化されることが望ましいのですが、一方でこの現実世界につきものの理不尽さがCTFと言う競技の複雑さ、奥深さを形成しているように思います。

CTFスコアサーバの様子

セキュリティ・キャンプでは、クラス別の専門講義、CTF、BoFの他にグループワークと言うアクティビティがあります。

これは、初日に同じグループになった4名（CTFのチームと同じメンバーです）で、グループ毎に現実のセキュリティ上の問題をテーマに議論し、その解決策を発表すると言うものです。具体的には、「CTFに参加していない見学者がよりCTFの状況を把握できるようにするためにはどうすれば良いか？」、「様々なWebサービスの登場によりデータが分散していく中でそれをどのように管理すれば良いか？」、「セキュリティパッチを即座に適用できない環境でどのようにセキュリティ対策を実施していけば良いか？」と言った答えのない問題解決型のテーマになります。

最終日である今日は、このグループワークの発表、またクラス毎の成果発表等が行われ、5日間の総決算となります。

各発表の内容については、ここでは触れませんが参加者が5日間の中で得た経験が濃縮されておりシンプルに面白い発表ばかりです。

もしこの記事を読んでいる人の中にキャンプに興味のある人がいれば来年度、参加してみることを強くお勧めします（但し、学生限りです）。

人生で一度しかない貴重な体験になることは間違いありません。

最後に過去に作成していたセキュリティ・キャンプTシャツが今年は復活しました。

実は、このTシャツのデザインは昨年度の参加者が行っています。

こうした参加年度を超えたつながりも開催10年目を迎えるセキュリティ・キャンプの偉大な資産に間違いありません。

セキュリティ・キャンプTシャツ