BEGIN:VCALENDAR VERSION:2.0 PRODID:-//https://techplay.jp//JP CALSCALE:GREGORIAN METHOD:PUBLISH X-WR-CALDESC:WEST-SEC#2 CTFを通じてセキュリティの基礎知識、 技術、対策、設定を「楽しく」学ぼう X-WR-CALNAME:WEST-SEC#2 CTFを通じてセキュリティの基礎知識、 技術、対策、設定を「楽しく」学ぼう X-WR-TIMEZONE:Asia/Tokyo BEGIN:VTIMEZONE TZID:Asia/Tokyo BEGIN:STANDARD DTSTART:19700101T000000 TZOFFSETFROM:+0900 TZOFFSETTO:+0900 TZNAME:JST END:STANDARD END:VTIMEZONE BEGIN:VEVENT UID:790942@techplay.jp SUMMARY:WEST-SEC#2 CTFを通じてセキュリティの基礎知識、技 術、対策、設定を「楽しく」学ぼう DTSTART;TZID=Asia/Tokyo:20201027T190000 DTEND;TZID=Asia/Tokyo:20201027T211500 DTSTAMP:20260417T003915Z CREATED:20200826T062025Z DESCRIPTION:イベント詳細はこちら\nhttps://techplay.jp/event/79094 2?utm_medium=referral&utm_source=ics&utm_campaign=ics\n\n2020/11/05(木 )に追加枠を設けました。\n申込み開始からすぐにた くさんのお申込み、ありがとうございます。追加枠を 設けました。内容は全く同じですので、どちらか一方 にのみ参加願います。\nhttps://west-sec.connpass.com/event/19001 5/\n前回(第1回)が好評だったので、第2回目を開催し ます。\n第1回目のWEST-SEC CTFのアンケート結果ですが、8 5.6%の方が「役に立った」、91.3%の方が「満足している 」とお答えいただきました。参加いただいた皆さん、 ありがとうございます。また、前回は定員オーバー( 当日の直前に繰り上げなど)で参加できなかった方は 、別枠でも申し込みいただけるようにしました。 →1 週間ほど待って申込み者がいなかったのと、追加枠を 設けたことにより、廃止しました。\nWEST-SEC CTFの内容\n WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的 に学習するためのコンテンツです。CTF(Capture The Flag) といえば、SECCONに代表される鬼のようにレベルが高い 旗取りゲームです。しかし、WEST-SECのCTFは全く別物で す。CTFのツールを活用しますが、相手と競う「競技」 というよりは、みんなで学ぶ「学習」です。セキュリ ティを守るために身に着けるべき基本知識を、一部コ マンドを打つなどの実践も踏まえて学びます。\n\nまず は、以下のプロモーション動画で概要をご確認くださ い。\n\nなぜCTFの形式なのか\nセキュリティを学ぶには 、テキストの学習や実務、資格取得など、いくつかの 方法があります。\nどの方法も大事な学習ですが、ゲ ームを使った学習方法であるゲーミフィケーションも 高い評価を受けています。ゲーミフィケーションの魅 力は、なんといっても「面白さ」「楽しさ」でしょう 。\nたとえば、単に聞くだけではなく答えるという双 方向性、日常ではあまり触れることができない実機に 触れる喜び、正解か不正解かというハラハラ感、スコ アが出てライバルと競い合う高揚感、短期間で全体像 を学習できる満足感などを味わうことができます。\nWE ST-SECでも、CTFというツール使うことで、皆さんが回答 した答えに正解・不正解が表示されます。さらに、チ ームスコアも表示されます。スコアを競うことを第一 にしたものではありませんが、モチベーションを高め て参加していただくためのアクセントにしてください 。\n出題テーマ  ★テーマは前回と同様ですが、問 題は全問リニューアルします。\nセキュリティを広く 学べるようにしており、主な出題テーマは以下です。\ n -企業がセキュリティ対策として知っておくべき基 本用語 \n -暗号、認証、ディジタル署名を含むPKIの 基本技術\n -SQLインジェクション、ディレクトリトラ バーサル、ブルートフォースなどの攻撃手法\n -DNSや メールサーバなどの、セキュアな設定\n -ログ解析  ※実際のログを解析してもらいます。\n -ITの基礎知 識 ~パケットキャプチャ含む\n -UTMの設定の確認  ※前回はFortiGateでしたが、今回はPaloAltoにログインし ていただきます。\n -クラウドセキュリティ\n -イン シデント対応の考え方\n -脆弱性管理、ポートスキャ ン\n -セキュリティに関する法律  など\n※WEST-SECで 準備した数ある問題の中から、制限時間とのバランス を見て出題する問題を選択します。1回目の出題として は、これら全てが出題されるわけではありません。\n 従来のCTFとの違い\nCTFdのツールを活用していますが、 内容や難易度は従来のCTFとは異なります。\n違い①難 易度\nSECCONなどのCTFは非常に難易度が高いです。一方 、WEST-SECのCTFは、難易度がかなり低く、また、チーム で相談したり、調べたりすることで、誰もが8割を正解 できることを意識して作問しています。\n 短い時間 ですが、問題の難易度を下げ、また、チームで相談で きるため、問題をたくさん解いてもらうことができま す。結果として、幅広いセキュリティの知識に触れる ことができます。\n違い②内容\nCTFはプログラミング技 術やLinuxのコマンドを駆使したりして、フラグを見つ けるものが中心です。WEST-SECのCTFでは、基本的なセキ ュリティ用語を学ぶため、単純な知識問題もたくさん あります。また、一部、コマンドを投入したりWireshark を見たりすることもありますが、その場合でも高度な 技術スキルが求められるわけではありません。\n参加 対象者\n特に制限はありませんが、以下の方を意識し ております。\n・情報システム部門でセキュリティ対 策の基礎を改めて再確認したい方\n・セキュリティに 興味があり、セキュリティ対策をもっと深く知りたい 方 (※学生さんもOK)\n・セキュリティの仕事に携わ っているが、実践的な経験が少ないので少しでも経験 してみたい方\n・CTF(Capture The Flag)には興味があるけ ど、本家のCTFは敷居が高すぎて・・・という方\n・こ の研修で得た知識をセキュリティ対策のみに活かし、 悪用しない方\n必要なもの\n・ブラウザ(Google Chromeな ど。IEは非推奨)が入ったインターネットに接続でき るPC。スマートフォンからの参加も可能ですが、SSH接 続やログ分析などもしていただくため、一部の競技の 参加が厳しいと思います。\n・Web会議ツール(CiscoWebEX やZOOMなど)の環境。\n・TeraTermなどのSSHに接続するツ ール(無い場合は一部の問題を解くことができません が、チーム戦なので画面共有等でお互いにフォローし ていただくという手もあります。)\n・ご自身のグロ ーバルIPアドレスを主催者へ通知\nお願い\n・CTFのサー バそのものおよび、一部のサーバへのアクセスは、送 信元IPアドレスを制限させていただきます。参加者のPC に割り当てられたグローバルIPアドレスをお聞きしま す。\n・Web会議ツール(CiscoWebEXやZOOMなど)で、開催の 説明等や簡単な解説までを行いますが、主催者および チーム内で、良好なコミュニケーションをとっていた だけるよう、よろしくお願いいたします。\n・今後の カリキュラムや運営の向上のためにアンケートをお願 いします。\n当日の流れ\n(1)タイムスケジュール( 予定)\n\n\n\n項番\n時刻\n内容\n\n\n\n\nProgram0\n18:40~ \nWeb 会議の部屋を空けます。\n\n\nProgram1\n19:00 ~ 19:20\n競技の 簡単な説明  from t_tani PaloAlto社から、PaloAltoの基本操 作の説明\n\n\nProgram2\n19:20 ~ 20:45\n・ユーザおよびチーム 作成 ※手順は(4)・送信元のグローバルIPアドレ スを主催者に通知・CTF競技開始\n\n\nProgram3\n20:45 ~ 21:15\n 簡単な解説および、質疑   from Fijiアンケート記入\n\ n\n\n■PaloAltoの操作時間\nPaloAltoに関しては、実際にポ リシーを適用したり、ログを見ていただきます。全チ ームの環境を用意できればよかったのですが、主にコ スト面から複数のチームで共同利用していただきます 。切替時間になりましたら設定が初期化されますので 、ご理解よろしくお願いします。また、時間終了後は 別チームの方が操作されますので、操作しないように お願いします。\n\n\n\nチーム名:利用環境\n利用可能時 刻\n\n\n\n\nteam1:Palo1 team2:Palo2team3:Palo3team4:Palo4\n19:30 ~19:50\n\n\n(システムリセット中なので利用不可)\n19:50 ~19:55\n\n\nteam5:Palo1 team6:Palo2team7:Palo3team8:Palo4\n19:55~ 20:15\n\n\n(システムリセット中なので利用不可)\n20:15~ 20:20\n\n\nteam9:Palo1 team10:Palo2team11:Palo3team12:Palo4\n20:2 0~20:40\n\n\n\n※後援をいただいているPaloAltoのSEさんが、 冒頭に基本操作の説明をしていただけます。\n競技が 始まった後も、少しの時間はサポートいただけますの で、PaloAltoの操作に関する説明があれば、ご質問くだ さい。\n(2)Program0について\n・自分のグローバルIP アドレスの調査をお願いします。→競技開始後、チー ム単位で報告をしてもらいます。\n・踏み台サーバへ の接続テストをお願いします。\n(3)Program1について \n以下の点を説明します。\n①冒頭あいさつ、趣旨の説 明\nこのconnpassのサイトに書いてあるような、競技の主 旨を簡単に説明します。→「楽しく」やりましょう!\ n②競技の簡単な説明 \n・競技用のサーバ群の接続先 、アカウント情報を説明\n →画面にて、競技用のサ イト、FortiGate、踏み台サーバからAPサーバへのログイ ンを実演します。\n ※注意点:FortiGateや踏み台のWeb サーバは、複数の人が同時に入るとキャパシティの関 係で接続できない可能性があります。その場合、グル ープで1人のログインをお願いしたり、IPアドレスで制 限させてもらう場合があります。\n・CTFのサイトをオ ープンします。\n 競技開始後、みなさんには、この あとの(4)の手順に従い、ユーザアカウントを作成 し、チームを作ってください。\n・Flagの入れ方は、flag {abc} とはせずに、答をズバリ入れてください。(「フ ラグ入力のテスト」問題で実演します)\n③競技開始 後の説明\n・1チーム4名によるチーム戦ですので、ブレ ークアウト機能でチームの部屋に分かれてもらいます 。\n・チーム内で軽く自己紹介などのコミュニケーシ ョンを取ってください。(チームで協力して進めてい ただくよう、お願いします。)\n・ユーザ登録をして 、チームに参加してください。(手順はこのあとの( 4))\n・ログインできた方から、CTFの競技を開始し てください。\n・並行して、チーム内でグローバルIPア ドレスをまとめ、チーム名とともに報告してください 。(途中から送信元IPアドレス制限をかけます)\n④ス コアを競うことを第一義としていません!\n冒頭にも 記載しておりますが、WEST-SECの目的は、「相手と競う 「競技」というよりは、みんなで学ぶ「学習」」です 。チーム内の誰かが解いた問題であっても、皆さん全 員が自分で考え、解いていただくことを期待していま す。\nチームで問題を解いた方は、解けていない方へ のフォローやアドバイスをお願いします。\n⑤アンケ ートのお願い\n提示するアンケートURLにて、アンケー トのご協力をお願いします。\n(4)ユーザおよびチ ームの登録\n①主催者から案内するCTFのURL(当日に案 内します)にアクセスしてください。\n②右上のRegister ボタンでユーザ登録をしてください。\n ※メールア ドレスはダミーをお願いします。\n③Registerからユーザ 登録します。\n④ユーザ登録後、Join Team でチームに参 加してください。\nチーム名は、team1、team2、・・・と なっています。チーム番号は、ブレイクアウトループ の部屋番号と同じで、パスワードは指示されたものを 使ってください。\n主催メンバー\n・粕淵 卓(特技はUT Mと情報処理技術者試験)\n・谷口 貴之(OWASP Nagoya所属 、CISSP)\n・藤田 政博(セキュアプログラミングの作 問担当)\n※セキュリティに長年携わるメンバーです 。\n後援\n・OWASP Nagoya Chapter\n  Webアプリケーション のセキュリティを学びたい方には、OWASP top 10をオスス メします。\n  OWASP top 10\n・Palo Alto Networks\n・エムオ ーテックス株式会社 (MOTEX Inc.)\n※順不同 LOCATION:オンライン オンライン URL:https://techplay.jp/event/790942?utm_medium=referral&utm_source=ics&utm _campaign=ics END:VEVENT END:VCALENDAR