たくさんのお申込みありがとうございます。運営の体制を検討したうえで、定員を２倍の１００名に増やしました（12/24）

「8割解けるCTF」をコンセプトにしたWEST-SEC CTFの3回目を開催！

第1回目のWEST-SEC CTFのアンケート結果ですが、85.6%の方が「役に立った」、91.3%の方が「満足している」とお答えいただきました。参加いただいた皆さん、ありがとうございます。
3回目はクイズ大会をやろうと思ってメンバーでトライアルをしましたが、イマイチでした。CTFをやった方がいいという意見が大半だったので、次回もCTFをやります。

WEST-SEC CTFの内容

WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF（Capture The Flag）といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、みんなで学ぶ「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。

まずは、以下のプロモーション動画で概要をご確認ください。

なぜCTFの形式なのか

セキュリティを学ぶには、テキストの学習や実務、資格取得など、いくつかの方法があります。
どの方法も大事な学習ですが、ゲームを使った学習方法であるゲーミフィケーションも高い評価を受けています。ゲーミフィケーションの魅力は、なんといっても「面白さ」「楽しさ」でしょう。
たとえば、単に聞くだけではなく答えるという双方向性、日常ではあまり触れることができない実機に触れる喜び、正解か不正解かというハラハラ感、スコアが出てライバルと競い合う高揚感、短期間で全体像を学習できる満足感などを味わうことができます。
WEST-SECでも、CTFというツール使うことで、皆さんが回答した答えに正解・不正解が表示されます。さらに、チームスコアも表示されます。スコアを競うことを第一にしたものではありませんが、モチベーションを高めて参加していただくためのアクセントにしてください。

出題テーマ　　★テーマは前回と同様ですが、問題は全問リニューアルします。

セキュリティを広く学べるようにしており、主な出題テーマは以下です。
　-企業がセキュリティ対策として知っておくべき基本用語　
　-暗号、認証、ディジタル署名を含むPKIの基本技術
　-SQLインジェクション、ディレクトリトラバーサル、ブルートフォースなどの攻撃手法
　-DNSやメールサーバなどの、セキュアな設定
　-ログ解析　※実際のログを解析してもらいます。
　-ITの基礎知識　～パケットキャプチャ含む
　-UTMの設定の確認　※前回はPaloAltoにログインしていただきましたが、今回どうするかは検討中です。
　-クラウドセキュリティ
　-インシデント対応の考え方
　-脆弱性管理、ポートスキャン
　-セキュリティに関する法律　　など

※WEST-SECで準備した数ある問題の中から、制限時間とのバランスを見て出題する問題を選択します。1回の出題としては、これら全てが出題されるわけではありません。

従来のCTFとの違い

CTFdのツールを活用していますが、内容や難易度は従来のCTFとは異なります。

違い①難易度

SECCONなどのCTFは非常に難易度が高いです。一方、WEST-SECのCTFは、難易度がかなり低く、また、チームで相談したり、調べたりすることで、誰もが8割を正解できることを意識して作問しています。
　短い時間ですが、問題の難易度を下げ、また、チームで相談できるため、問題をたくさん解いてもらうことができます。結果として、幅広いセキュリティの知識に触れることができます。

違い②内容

CTFはプログラミング技術やLinuxのコマンドを駆使したりして、フラグを見つけるものが中心です。WEST-SECのCTFでは、基本的なセキュリティ用語を学ぶため、単純な知識問題もたくさんあります。また、一部、コマンドを投入したりWiresharkを見たりすることもありますが、その場合でも高度な技術スキルが求められるわけではありません。

参加対象者

特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方　（※学生さんもOK）
・セキュリティの仕事に携わっているが、実践的な経験が少ないので少しでも経験してみたい方
・CTF（Capture The Flag）には興味があるけど、本家のCTFは敷居が高すぎて・・・という方
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方

必要なもの

・ブラウザ（Google Chromeなど。IEは非推奨）が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。
・Web会議ツール（CiscoWebEXやZOOMなど）の環境。
・TeraTermなどのSSHに接続するツール（無い場合は一部の問題を解くことができませんが、チーム戦なので画面共有等でお互いにフォローしていただくという手もあります。）
・ご自身のグローバルIPアドレスを主催者へ通知

お願い

・CTFのサーバそのものおよび、一部のサーバへのアクセスは、送信元IPアドレスを制限させていただきます。参加者のPCに割り当てられたグローバルIPアドレスをお聞きします。
・Web会議ツール（CiscoWebEXやZOOMなど）で、開催の説明等や簡単な解説までを行いますが、主催者およびチーム内で、良好なコミュニケーションをとっていただけるよう、よろしくお願いいたします。
・今後のカリキュラムや運営の向上のためにアンケートをお願いします。

当日の流れ

（１）タイムスケジュール（予定）

（２）Program0について

・自分のグローバルIPアドレスの調査をお願いします。→競技開始後、チーム単位で報告をしてもらいます。
・踏み台サーバへの接続テストをお願いします。

（３）Program1について

以下の点を説明します。

①冒頭あいさつ、趣旨の説明

このconnpassのサイトに書いてあるような、競技の主旨を簡単に説明します。→「楽しく」やりましょう！

②競技の簡単な説明　

・競技用のサーバ群の接続先、アカウント情報を説明
　→画面にて、競技用のサイト、FortiGate、踏み台サーバからAPサーバへのログインを実演します。
　※注意点：FortiGateや踏み台のWebサーバは、複数の人が同時に入るとキャパシティの関係で接続できない可能性があります。その場合、グループで1人のログインをお願いしたり、IPアドレスで制限させてもらう場合があります。
・CTFのサイトをオープンします。
　競技開始後、みなさんには、このあとの（４）の手順に従い、ユーザアカウントを作成し、チームを作ってください。
・Flagの入れ方は、flag{abc} とはせずに、答をズバリ入れてください。（「フラグ入力のテスト」問題で実演します）

③競技開始後の説明

・1チーム4名によるチーム戦ですので、ブレークアウト機能でチームの部屋に分かれてもらいます。
・チーム内で軽く自己紹介などのコミュニケーションを取ってください。（チームで協力して進めていただくよう、お願いします。）
・ユーザ登録をして、チームに参加してください。（手順はこのあとの（４））
・ログインできた方から、CTFの競技を開始してください。
・並行して、チーム内でグローバルIPアドレスをまとめ、チーム名とともに報告してください。（途中から送信元IPアドレス制限をかけます）

④スコアを競うことを第一義としていません！

冒頭にも記載しておりますが、WEST-SECの目的は、「相手と競う「競技」というよりは、みんなで学ぶ「学習」」です。チーム内の誰かが解いた問題であっても、皆さん全員が自分で考え、解いていただくことを期待しています。
チームで問題を解いた方は、解けていない方へのフォローやアドバイスをお願いします。

⑤アンケートのお願い

提示するアンケートURLにて、アンケートのご協力をお願いします。

（４）ユーザおよびチームの登録

①主催者から案内するCTFのURL（当日に案内します）にアクセスしてください。
②右上のRegisterボタンでユーザ登録をしてください。
　※メールアドレスはダミーをお願いします。
③Registerからユーザ登録します。
④ユーザ登録後、Join Team でチームに参加してください。
チーム名は、team1、team2、・・・となっています。チーム番号は、ブレイクアウトループの部屋番号と同じで、パスワードは指示されたものを使ってください。

主催メンバー

・粕淵 卓（特技はUTMと情報処理技術者試験）
・谷口 貴之（OWASP Nagoya所属、CISSP）
・藤田 政博（セキュアプログラミングの作問担当）
※セキュリティに長年携わるメンバーです。

後援

・OWASP Nagoya Chapter
　　Webアプリケーションのセキュリティを学びたい方には、OWASP top 10をオススメします。
　　OWASP top 10
・Palo Alto Networks
・エムオーテックス株式会社 （MOTEX Inc.）
※順不同