こんにちは。ミイダスTech Officeです。この度、パーソルホールディングス主催でセキュリティCTFが開催され、ミイダスから参加したエンジニアが優勝しました。今回本イベントを企画・運営されたパーソルホールディングスの宮下さんと、優勝したミイダスの酒井さんに話を聞きました。
セキュリティのスキル・知識を競う大会「セキュリティCTF-パーソル杯」についてぜひご覧ください。

宮下：2017年に新卒採用1期生としてパーソルホールディングス（旧テンプホールディングス）に入社し、パーソルグループの各種セキュリティサービスの企画導入から運用保守に携わってきました。また、セキュリティインシデントが発生した際のハンドリングも行っています。現在は、主にユーザ用プロキシのリプレースプロジェクトと、次世代アーキテクチャ構想の技術検証を進めており、方針決定の支援などを行っています。

酒井：ミイダスのインフラチームの酒井です。前職では5年間、主に開発部でJavaを用いたバックエンド開発を行い、時々スマホアプリ開発なども担当していました。また、情報システム部では社内ネットワークの管理も担当していました。その後ミイダスに移籍し、5年ほど在籍しております。
自社サービスである「ミイダス」のインフラ基盤を担当しており、特にAWS周りの設計・運用に注力しています。また、SRE領域においても調査改善活動を行っており、過去の開発経験が役立っていると感じています。また、情報システムに関する業務にも積極的に関与しています。

セキュリティCTF（Capture The Flag）とは

宮下：CTF（Capture The Flag）は、旗取りゲームの略称で、情報セキュリティの分野では専門知識や技術を駆使して隠されたFlag（答え）を見つけ出し、時間内に獲得した合計点数を競うハッキングコンテストを指します。クイズ形式の問題を解くことや、ネットワーク内で疑似的な攻防戦を行うこともあります。今回のCTFでは、難易度に応じた配点が設定されており、参加者はどの問題から解いていくかという戦略性も求められました。また、高得点の問題を解くことで点数を稼ぐことができますが、それによって時間がかかる場合は、簡単な問題を解いていく方が良いこともあります。
CTFは参加者の技術や知識を試すゲーム性があり、今回もその点を意識して準備を行いました。

ー ー これまでにCTFに参加したことはありますか？

宮下：私自身は日本国内の大規模なセキュリティコンテストにはまだ参加したことはないものの、ベンダー主催のCTFには何度か参加しており、ウェブ上に常設されたCTFサイトで問題を解いたり技術を学んだりしています。

酒井：これまでCTFに興味があったものの、今まで経験がなかったので今回が初めてでした。

ー ー 今回のCTFに興味を持ったり参加しようと思った背景について教えてください

酒井：学生の頃からネットワークやWebセキュリティに非常に興味を持っており、2009年にセキュリティ＆プログラミングキャンプに参加し、継続して脆弱性報告なども行っていました。長い間、一度CTF形式のものに挑戦してみたいという思いがありましたが、競技プログラミングのような競争要素が強いものは苦手で、なかなか参加することができませんでした。

今回、セキュリティCTFが広く募集されており、ゲーム性もあることから参加しやすいと感じました。特に、今回のCTFがセキュリティに特化して開催されていることに、自分にはぴったりだと強く感じました。これを機に、CTFへの初めの一歩として、気軽に挑戦してみたいと思い参加を決意しました。ネットワークやセキュリティへの関心が強いという点も、参加する決心を後押しする要因となりました。

パーソルホールディングス主催 セキュリティCTF

ーー 開催背景や運営体制について教えてください

宮下：もともと、私自身も過去に参加したことがあるのですが、現パーソルクロステクノロジーズ（PXT）である旧パーソルテクノロジースタッフ株式会社がCTFイベントを主催していました。しかし、コロナ禍によってCTFイベントは一度凍結されていました。コロナが落ち着いてきたこともあり、PXTメンバーと再びイベントを開催したいという話になり、グループ内のTech（セキュリティ・IT等）人材の交流やスキル向上、新卒・中途採用の促進を目的に、グループ全体で開催することになりました。それをきっかけに、パーソルホールディングス（PHD）が主導で企画を開始しました。

運営体制は、PHD2名とPXT2名の計4名で事務局メンバーが構成されていました。PXTは実際の競技サーバの開発を担当し、PHDは主にグループ各社との調整や各種コミュニケーションを担当しました。出題する問題は事務局側で協力しながら用意していきました。
運営では当初100名くらいが参加してくれたらいいね、と話していたのですが本当に100名の方に参加いただいたのでとても嬉しかったです。

ー ー 今回のCTFの出題で工夫した点について教えてください

宮下：今回のCTFは、初心者の方にも積極的に参加していただきたいという想いから、特別なツールをダウンロードする必要がない問題を用意しました。そのため、WEB上で完結するような問題がメインとなっており、特殊なツールが必要なものは極力排除しています。他のCTFと同様に、わからないことがあれば検索を活用しながら問題に取り組んでいただく形となっています。

問題の正解数に応じてポイントが入り、順位が決まります。また、問題にはヒントを用意しており、所持ポイントから一定のポイントを払うことでヒントを参照できるようになっています。パーソルのセキュリティに関する知識を活用して答えに辿り着くような問題も多く用意しており、全く解けないということがないように工夫しています。

当初は、ツールを使用する問題も検討していましたが、業務で使用しているグループ標準PCではセキュリティの観点からツールのインストールが難しいことや、別途端末の用意が必要になることから、WEB上で完結する問題に焦点を当てました。また、今回のCTFでは、パーソルのセキュリティについて知ってもらうという目的も兼ねています。参加者が多少なりとも解けたり、解けなかったとしても悔しさを感じてさらに挑戦したいと思ってもらえるような問題を意識して用意しました。これにより、参加者にとって学びのきっかけとなることを期待しています。

ー ー イベント当日の主催者側の様子を教えてください

宮下：イベント当日は、100人規模の参加者が集まり、サーバ負荷が想定以上に高まるという不測の事態が発生しました。そのため、参加者が問題をなかなか参照できない状況が生じ、かなりドタバタしていました。競技自体には反省点も多くありましたが、参加者からは「楽しかった」「次も参加したい」といった温かい言葉が寄せられ、励ましていただきました。

また、最後に実施したアンケートでは、半分以上の参加者が初心者であり、初めてCTFイベントに参加したという方が多かったことがわかりました。トラブルはあったものの、参加者からの楽しかったという感想や次回も参加したいという言葉が多く寄せられました。

難易度に関しては、今回のイベントは他のCTFに比べてやや易しいとされていましたが、今後は上級者向けのアドバンスドな競技も取り入れ、実際のツールを使うような内容も提供できるように考えています。

ー ー 参加してみた感想や、楽しかったところ、苦戦した問題などあれば教えて下さい

酒井：今回初めてCTFに参加してみて、出題や回答の形式を学びながら進めるのが楽しかったです。

最初は会社貸与のMacBookを使っていましたが、サーバ負荷回避のため、WindowsのPCで使い慣れたローカルのデバッグ用プロキシFiddler Classicを使ってCTFサーバへのリクエストを減らしてできる限りキャッシュを使うようにしました。
こうして配点の高い問題を選んで回答したことが功を奏し、優勝に繋がったのかもしれません。自分の知識を活用して楽しく取り組むことができました。

CTF自体が初めてだったので、学びながら探り探り進めるのが楽しかったです。問題は簡単なものから難しいものまで幅広く、基本的にはその場で調べて回答を見つけられるようなものが多かったです。しかし、与えられたファイルを調べる必要がある難しい問題は、競技期間中には解けなかったものもありました。後になってから解法に気付いて、もっと得点が伸ばせたかもしれないと悔しさも感じましたが、全体的には楽しい経験でした。

今後のCTFについて

ー ー CTFに参加していく予定などはありますか？

酒井：今後もこういったイベントに積極的に参加したいと考えています。もし開催があれば、運営にも協力できる範囲で関わりたいです。また、社外で開催される誰でも参加可能なCTFや競技プログラミング、「ISUCON」と呼ばれるチューニングコンテストなどのイベントにも興味がありますので、そういった機会があればぜひ参加したいと思います。

ー ー 今後の開催予定について教えてください

宮下：はい、今後もこういったイベントを開催する予定があります。今回のCTF開催は初めてで至らない点も多々ありましたが、次回は参加者がより楽しめるよう改善を図りたいと考えています。現時点では具体的な日程はまだ検討中ですが、2023年度中に開催できることを目指しており、遅くても下期の1月下旬頃には実現できるよう計画を進めています。

また、次回の開催時にも多くの方に参加いただきたいと思っております。私自身はエンジニアではない立場で仕事をしているため、エンジニア同士の交流を促進するような企画も取り入れたいと考えています。GITやGDXなどを活用して、みなさんの意見や想いを拾ってイベントの企画ができると良いと個人的に思っています。

関連記事も合わせてご覧ください。
https://note.com/persolhd____tech/n/n8d0a3ff529a6
https://techtekt.persol-career.co.jp/entry/culture/230310_01

ミイダス Techについて

ミイダスでは、様々な技術イベントを開催しています。connpassやYouTubeチャンネルでミイダスグループのメンバーになった方には、最新の開催情報やアーカイブの公開情報が届きますのでぜひご登録をお願いいたします。

イベントページ：https://miidas-tech.connpass.com/
Twitter：https://twitter.com/miidas_tech