WEST-SEC#6 CTFを通じてセキュリティの基礎知識、技術、対策、設定を「楽しく」学ぶ
イベント内容
「8割解けるCTF」をコンセプトにしたWEST-SEC CTFの6回目を開催!
第5回目のWEST-SEC CTFのアンケート結果ですが、97.9%の方が「役に立った」(「とても役に立った」72.9%、「ある程度役に立った」25.0%)とお答えいただきました。参加いただいた皆さん、ありがとうございます。
現在は100名の枠ですが、もう少し増枠を予定しております
運営側の準備が整えば、もう少し増枠したいと思います。開催前日までに判断します。
WEST-SEC CTFの内容
WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF(Capture The Flag)といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、みんなで学ぶ「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。
まずは、以下のプロモーション動画で概要をご確認ください。
なぜCTFの形式なのか
セキュリティを学ぶには、テキストの学習や実務、資格取得など、いくつかの方法があります。
どの方法も大事な学習ですが、ゲームを使った学習方法であるゲーミフィケーションも高い評価を受けています。ゲーミフィケーションの魅力は、なんといっても「面白さ」「楽しさ」でしょう。
たとえば、単に聞くだけではなく答えるという双方向性、日常ではあまり触れることができない実機に触れる喜び、正解か不正解かというハラハラ感、スコアが出てライバルと競い合う高揚感、短期間で全体像を学習できる満足感などを味わうことができます。
WEST-SECでも、CTFというツール使うことで、皆さんが回答した答えに正解・不正解が表示されます。さらに、チームスコアも表示されます。スコアを競うことを第一にしたものではありませんが、モチベーションを高めて参加していただくためのアクセントにしてください。
出題テーマ ★テーマは前回と同様ですが、問題は全問リニューアルします。
セキュリティを広く学べるようにしており、主な出題テーマは以下です。
-企業がセキュリティ対策として知っておくべき基本用語
-暗号、認証、ディジタル署名を含むPKIの基本技術
-SQLインジェクション、ディレクトリトラバーサル、ブルートフォースなどの攻撃手法
-DNSやメールサーバなどの、セキュアな設定
-ログ解析 ※実際のログを解析してもらいます。
-バイナリ解析
-ITの基礎知識 ~パケットキャプチャ含む
-UTMの設定の確認
-クラウドセキュリティ
-インシデント対応の考え方
-脆弱性管理、ポートスキャン
-セキュリティに関する法律 など
※WEST-SECで準備した数ある問題の中から、制限時間とのバランスを見て出題する問題を選択します。1回の出題としては、これら全てが出題されるわけではありません。
従来のCTFとの違い
CTFdのツールを活用していますが、内容や難易度は従来のCTFとは異なります。
違い①難易度
SECCONなどのCTFは非常に難易度が高いです。一方、WEST-SECのCTFは、難易度がかなり低く、また、チームで相談したり、調べたりすることで、誰もが8割を正解できることを意識して作問しています。
短い時間ですが、問題の難易度を下げ、また、チームで相談できるため、問題をたくさん解いてもらうことができます。結果として、幅広いセキュリティの知識に触れることができます。
違い②内容
CTFはプログラミング技術やLinuxのコマンドを駆使したりして、フラグを見つけるものが中心です。WEST-SECのCTFでは、基本的なセキュリティ用語を学ぶため、単純な知識問題もたくさんあります。また、一部、コマンドを投入したりWiresharkを見たりすることもありますが、その場合でも高度な技術スキルが求められるわけではありません。
参加対象者
特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方 (※学生さんもOK)
・セキュリティの仕事に携わっているが、実践的な経験が少ないので少しでも経験してみたい方
・CTF(Capture The Flag)には興味があるけど、本家のCTFは敷居が高すぎて・・・という方
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方
→つまり、非エンジニアの方、セキュリティの初学者、大歓迎です!
必要なもの
・ブラウザ(Google Chromeなど。IEやEdgeは非推奨)が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。
・Web会議ツール(CiscoWebEXやZOOMなど)の環境。
・TeraTermなどのSSHに接続するツール(無い場合は一部の問題を解くことができませんが、チーム戦なので画面共有等でお互いにフォローしていただくという手もあります。)
・ご自身のグローバルIPアドレスを主催者へ通知
お願い
・CTFに始めて参加される方は、以下のサイトをサラリとご確認ください。当日は超簡単な説明にとどめさせてもらいます。
https://west-sec.com/entry
・CTFのサーバそのものおよび、一部のサーバへのアクセスは、送信元IPアドレスを制限させていただきます。参加者のPCに割り当てられたグローバルIPアドレスをお聞きします。
・Web会議ツール(CiscoWebEXやZOOMなど)で、開催の説明等や簡単な解説までを行いますが、主催者およびチーム内で、良好なコミュニケーションをとっていただけるよう、よろしくお願いいたします。
・今後のカリキュラムや運営の向上のためにアンケートをお願いします。
当日の流れ
(1)タイムスケジュール(予定)
項番 | 時刻 | 内容 |
---|---|---|
Program0 | 18:40~ | Web会議の部屋を空けます。 |
Program1 | 19:00 ~ 19:20 | 競技の簡単な説明 from t_tani |
Program2 | 19:20 ~ 20:45 | ・ユーザおよびチーム登録 ※手順は(4) ・送信元のグローバルIPアドレスを主催者に通知 ・CTF競技開始 |
Program3 | 20:45 ~ 21:15 | 簡単な解説および、質疑 from Fiji アンケート記入 |
(2)Program0について
・自分のグローバルIPアドレスの調査をお願いします。→競技開始後、チーム単位で報告をしてもらいます。
・踏み台サーバへの接続テストをお願いします。
(3)Program1について
以下の点を説明します。
①冒頭あいさつ、趣旨の説明
このconnpassのサイトに書いてあるような、競技の主旨を簡単に説明します。→「楽しく」やりましょう!
②競技の簡単な説明
・競技用のサーバ群の接続先、アカウント情報を説明
→画面にて、競技用のサイト、FortiGate、踏み台サーバからAPサーバへのログインを実演します。
※注意点:FortiGateや踏み台のWebサーバは、複数の人が同時に入るとキャパシティの関係で接続できない可能性があります。その場合、グループで1人のログインをお願いしたり、IPアドレスで制限させてもらう場合があります。
・CTFのサイトをオープンします。
競技開始後、みなさんには、このあとの(4)の手順に従い、ユーザアカウントを作成し、チームを作ってください。
・Flagの入れ方は、flag{abc} とはせずに、答をズバリ入れてください。(「フラグ入力のテスト」問題で実演します)
③競技開始後の説明
・1チーム4名によるチーム戦ですので、ブレークアウト機能でチームの部屋に分かれてもらいます。
・チーム内で軽く自己紹介などのコミュニケーションを取ってください。(チームで協力して進めていただくよう、お願いします。)
・ユーザ登録をして、チームに参加してください。(手順はこのあとの(4))
・ログインできた方から、CTFの競技を開始してください。
・並行して、チーム内でグローバルIPアドレスをまとめ、チーム名とともに報告してください。(途中から送信元IPアドレス制限をかけます)
④スコアを競うことを第一義としていません!
冒頭にも記載しておりますが、WEST-SECの目的は、「相手と競う「競技」というよりは、みんなで学ぶ「学習」」です。チーム内の誰かが解いた問題であっても、皆さん全員が自分で考え、解いていただくことを期待しています。
チームで問題を解いた方は、解けていない方へのフォローやアドバイスをお願いします。
⑤アンケートのお願い
提示するアンケートURLにて、アンケートのご協力をお願いします。
(4)ユーザおよびチームの登録
https://west-sec.com/entry のページも参考にしてください。
①主催者から案内するCTFのURL(当日に案内します)にアクセスしてください。
②右上のRegisterボタンでユーザ登録をしてください。
※メールアドレスはダミーをお願いします。
③Registerからユーザ登録します。
④ユーザ登録後、Join Team でチームに参加してください。
チーム名は、team1、team2、・・・となっています。チーム番号は、ブレイクアウトループの部屋番号と同じで、パスワードは指示されたものを使ってください。
「問題提供者枠」に関して
・問題を提供してくれる人は、何名か先着順で参加できます。
・過去の問題を参考に、8割の人が解けるレベルの難易度でお願いします。
・自分が勉強したい内容を作問してもらうと、ちょうどいい問題ができると思います。
・問題は著作権に違反しない、オリジナルな問題でお願いします。著作権は作った方にありますが、その問題の使用する権利を我々にいただけると幸いです。
・完璧な完成度を求めていませんので、少しでもアイディアがある方は、気楽に「問題提供者枠」でお申込みください。作問内容はConnpassのメッセージ機能で送信願います。
過去のWEST-SEC開催履歴
項番 | 時 | イベント | 補足 |
---|---|---|---|
1 | 2020/8/16 | WEST-SEC#1 | WEST-SECの記念すべき1回目 |
2 | 2020/9/16 | 某大学様向けCTF | セキュリティに興味をもつ学生と社会人向け |
3 | 2020/10/27 2020/11/5 |
WEST-SEC#2 | 参加者多数のため2回に分けて実施 |
4 | 2020/10/29 | 愛知総合工科高等学校様の学生向けにCTF授業#1 | 特別授業として講義させていただきました |
5 | 2020/11/10 | 某企業のセキュリティエンジニア向け勉強会 | |
6 | 2020/11/21 | enPiT-Pro@九州大学 | 主に社会人の現役エンジニアのための 大学院レベルの教育プログラム |
7 | 2020/11/27 | 大阪府立大学様の教職員様向けCTFによるセキュリティの基礎勉強会 | セキュリティに明るくない利用者であっても楽しめる問題に調整。セキュリティ啓発目的 |
8 | 2020/12/11 | 某企業のCSIRT向けCTF | |
9 | 2021/1/17 | SECKUN | 九州大学サイバーセキュリティセンターが受託した厚生労働省教育訓練プログラム開発事業 |
10 | 2021/1/19 | WEST-SEC#3 | |
11 | 2021/2/9 | WEST-SEC for Student | セキュリティに興味がある学生様向け |
12 | 2021/2/16 | 某企業でのグローバルイベント | 某企業の世界中のセキュリティエンジニア向け |
13 | 2021/2/19 | SecurityDay2021春 Tokyo | 株式会社ナノオプト・メディアが主催する国内最大級のセキュリティイベント |
14 | 2021/3/3 | 愛知総合工科高等学校様の学生様向けにCTF授業#2 | 高校生向けに問題をアレンジ |
15 | 2021/3/23 | WEST-SEC#4 | フォレンジック解析に関する出題あり |
16 | 2021/6/15 | WEST-SEC#5 | MicrosoftのADに関する出題あり |
17 | 2021/8/31 | WEST-SEC#6 | ADのログ分析問題、WiresharkとWebの連携問題含 |
18 | 2021/9/22 | 大阪府立大学様 CTF2021 | 教職員様向けセキュリティ啓発目的 |
19 | 2021/10/7(予) | 某高専の学生様向けにCTF授業#3 | |
20 | 2021/11/6(予) | enpit-pro | |
21 | 2021/11/(予) | WEST-SEC#7 | |
22 | 2021/12/上旬(予) | 某企業向けセキュリティ研修 | |
23 | 2021/12/中旬(予) | 一般社団法人開催のイベントでのCTF |
主催メンバー
・粕淵 卓(特技はUTMと情報処理技術者試験)
・谷口 貴之(OWASP Nagoya所属、CISSP)
・藤田 政博(セキュアプログラミングの作問担当)
※セキュリティに長年携わるメンバーです。
協力メンバー
・T.Suzuki(作問協力)
・DustInDark(作問協力)
後援
・OWASP Nagoya Chapter
Webアプリケーションのセキュリティを学びたい方には、OWASP top 10をオススメします。
OWASP top 10
・Palo Alto Networks
・エムオーテックス株式会社 (MOTEX Inc.)
※順不同
注意事項
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。