セキュリティの初心者から上級者までの全ての層をカバーする。約800名が自主的に参加した社内CTF（第

#プロジェクトの裏側 #セキュリティ #社内CTF

サイバー攻撃によるシステム破壊や個人情報の流出。度々流れてくるこのようなニュースを目にするたび、胸を痛めるセキュリティ技術者も少なくないのではないだろうか。

最近では、テレワーク等の場所や時間に捉われない働き方を狙った攻撃も増えており、技術者だけではなく、全社員がセキュリティを身近に感じて意識を高めることが、より一層重要になっている。しかし、全社員へ効率的にセキュリティアウェアネス(注1)の向上を図っている企業は多いわけではない。

(注1)人がITシステムを利用する際にセキュリティリスクを理解し問題発生時の正しい対処が意識できること

そのような中、日本電気株式会社（以下、NEC）は、2015年からグループ全社員を対象に Capture the Flag（以下、CTF）を実施している。CTFとは、セキュリティ技術を競うオンラインコンテスト。ゲーム感覚で効果的に技術や知識の習得が可能だ。同社で実施されているCTFは「NECセキュリティスキルチャレンジ(以下、NSSC）」と呼ばれ、セキュリティ関連の仕事をする社員から普段馴染みがあまりない部署の社員まで、幅広い職種の人々が参加している。2022年11月には8回目を実施する等、文化としても根付きつつある。

社員が自主的に参加する形式をとっている社内向けのCTF（以下、社内CTF）は、どのように運営されているのか。NSSCの運営メンバーである、NEC サイバーセキュリティ戦略統括部の榊龍太郎、中島春香、水田辰也、中川紗菜美の4名に話を聞いた。

「NECセキュリティスキルチャレンジ 2022」運営メンバー

(中島、水田、榊、中川）

『CTF』とは、情報セキュリティの専門知識やテクニックを使い、隠された“フラグ”と呼ばれる答えを探し点数を競うコンテスト。技術者が自分のスキルを競い合うことを目的としていて、世界中で大会やカンファレンスが開催されている。

これをセキュリティ人材の育成と発掘に活用しているのが「社内CTF」だ。セキュリティ対策の基本を理解せずに重要書類や機密情報を扱っている社員に対しては、会社の資産を守るためにもセキュリティ意識を底上げする必要がある。そこで出てくるのが、「社内CTF」という選択肢だ。

社内CTFと一般的なCTFとの違いについて、中島はこう話す。

「一般的なCTFは、いかに自分の技術が高いかを競い合うゲームです。一方で社内CTFの目的は、参加者がゲームという形で楽しみながらも、セキュリティに関する技術や知識を効率的に習得し、セキュリティアウェアネスを向上することにあります。セキュリティ関連の仕事に就く社員にはスキルアップの場として、それ以外の社員には新しくセキュリティについて学ぶ場として活用してもらえるのが理想的ですね」

NEC サイバーセキュリティ戦略統括部　中島春香

NECの社内CTFは、セキュリティ初心者から上級者までが学びを得られるように、難易度別の問題が用意されている。またセキュリティに関する9つのカテゴリ（クラウド、Webアプリ、事故調査など）から問題が出題されるため、幅広いジャンルの知識や技術に触れることができるのも特徴だ。さらに、問題の正解数をデータで見られるため、誰がどのジャンルに強いのかを把握できて人材発掘にも役立っている。

きっかけは東京2020オリンピック・パラリンピック競技大会

NEC は2015年に第1回目の社内CTFを実施している。始めたきっかけについて、榊はこう振り返る。

「NSSCは、東京2020オリンピック・パラリンピック競技大会に向けた施策の一環でした。国際的に注目度が高いイベントであることから、これまでサイバー攻撃のターゲットになってきました。そこで、大会までに社内のセキュリティ人材を増員しようという気運が高まったんです」

実際、2021年に開催された東京2020オリンピック・パラリンピック競技大会ではサイバー攻撃が検知されている。（注2）しかし大会運営に影響を与えるものではなかった。過去には、ロンドン大会の開会式直前にオリンピックスタジアム電力系への攻撃が確認され、平昌大会でも開会式当日に数百台のコンピューターがウイルス感染している。

（注2）参考：内閣サイバーセキュリティセンター（NISC）より

NEC サイバーセキュリティ戦略統括部　榊龍太郎

2013年に東京2020オリンピック・パラリンピック競技大会の開催が決まったことを受けて、NECは社内のセキュリティ人材を増やすことを決めた。以前からNEC社内で、セキュリティ人材を育成する構想はあったが、この機会にCTFという形を取り入れて実際に人材育成を行うアイディアが生まれた。そんなきっかけから、NECの社内CTF「NSSC」が立ち上がり、2022年には第8回の開催に至っている。

NSSCの立ち上げにはさまざまな壁があった。立ち上げ当時、世間のCTFはもちろん社内でCTFを実施することの認知度は今よりも低い。そうなると、一番難しいのは教育効果がどれほどあるかを社内に示すことだった。加えて、CTFを社内で実施するにはどんな形態が最適か、何を目標に置いてスタートするのかなど考えることは山積みである。それらを、当時の社内CTF立ち上げコアメンバー3名で一つずつこなしていった。

NSSCは回を重ねるごとに社内の認知度が高まり、累計の参加者は7200名を超える。立ち上げメンバーが国内のCTF大会で良い成績を残したことも背中を押し、社内CTFの効果が少しずつ認められてきている。

参加のハードルを下げたい　第8回開催で意識したこと

2022年11月に開催した第8回目では、参加のハードルを下げることを意識した。というのも、第7回の実施後に回収したアンケートで「問題が難しそうで参加しにくい」「参加したが難しくて回答できなかった」といった意見が寄せられたからだ。

第7回までは、NSSCの認知度を高める活動に力を注いできた。それによりセキュリティ技術者だけでなく、他の職種の社員も参加してくれるようになった。しかし、普段からセキュリティ業務に携わっていない社員にとっては、取っ掛かりにくい印象があったのだ。

そもそも社内CTFの目的は、セキュリティ人材の育成と発掘である。そのためには、普段セキュリティに関係ない職種の社員にこそ参加してもらい、学びを提供するべきではないか。そんな思いから、第8回は初心者から上級者まで誰もが楽しめる問題作りに注力することにした。

初心者向けの問題作りについて、中川はこう話す。

「初心者でもセキュリティに興味を持ってもらえるように、問題に時事ネタを取り入れるようにしました。例えばニュースでよく見る『パスワードの使い回し』や『クラウドに機密情報をアップしてしまった』などによるトラブルを題材に、攻撃者はどう攻撃してくるのか、また攻撃されないようにどんな対処をすればよいのかを考えてもらう問題を作りました。こうした身近なテーマの問題を出すことで、初心者の方でもシチュエーションを想像しやすくなったり、自分ごと化しやすくなったりするんじゃないかな、と」

NEC サイバーセキュリティ戦略統括部　中川紗菜美

ほかにも、コロナ禍で急速に浸透したテレワーク環境を狙うサイバー攻撃や、DX化で導入したITツールを狙うサイバー攻撃など、時代の流れに合わせたセキュリティの問題を作成している。こうした問題を解いてもらうことで、これまでセキュリティに興味関心がなかった人にも“セキュリティ対策は他人事ではない”という意識を持ってもらうことができる。

だが初心者向けの問題を作ったとはいえ、一度難しいと感じてしまった人の印象を変えるのは簡単なことではない。そこでもう一つ初心者の参加ハードルを下げる工夫として、各カテゴリに基礎問題を設置した。基礎問題とは、問題の解き方を解説するチュートリアルのような問題のこと。出題方法はほかの問題と変わらないが、ヒントを全て開くと誰でも手順に沿って解くことができる。ヒントを開けば知識がなくても問題を解けることを理解してもらい、なるべく多くの問題に取り組んでもらえるようにした。

基礎問題例

第8回の開催アナウンス時には、こうした初心者向けの工夫をしている点を公表することで、誰もが気軽に参加できる空気感を作った。その結果、セキュリティ技術者だけでなく、営業や品質管理などのサービスを扱う部門、総務や人事などのバックオフィス部門など、幅広い職種の社員が参加してくれた。結果として、参加人数は約800名となった。

実施後のアンケートでは、「パスワードって簡単に見破られるんだと気がついた」「あのニュースの裏側でこんなトラブルが起こっていたのだと勉強になった」など、初心者から前向きなコメントが寄せられた。さらに、普段セキュリティの仕事をしている社員からも「こんなクラウドの問題があるなら見直さないと」「今ちょうど学んでいた分野なので、これからも自分で勉強してみます」といったのコメントが届き、上級者の仕事に対するモチベーションや学習意欲の向上にもつながった。

社内CTFの問題を作ることも人材育成の一つ

NSSCを通して学びを得ているのは参加者だけではない。問題を作る側も、作問の過程でさまざまな気づきや知識を得ている。これまで作成した問題は、600問以上蓄積されている。

第8回のNSSCでは、全50問が出題された。問題はNSSC運営メンバーの4名と、サイバーセキュリティ戦略統括部のメンバーやそのほか有志の社員を含めた30名で作成している。有志の社員に参加してもらう理由は、大きく分けて2つある。

1つは、セキュリティ初心者の目線で問題を見てもらうこと。サイバーセキュリティ戦略統括部のメンバーは普段からセキュリティに関する仕事をしているため、初心者がどんな点で躓いてしまうのかを把握しにくい。普段セキュリティ関連の仕事をしていない社員の目を通すことで、客観的に問題の良し悪しを判断できるのだ。

もう1つは、現場のセキュリティ課題を問題に反映できること。あらゆる部署の社員に協力してもらうことで、「うちの部署ではこういう課題があるんです」といった現場の状況を聞き出すことができる。その課題を問題に落とし込むことで、参加者にとってより身近で役に立つ問題を作れるのである。

良い問題を作った社員には、賞を授与する取り組みもしている。賞は、ユーザーアンケートの回答で一番評判がよかった問題を作った人に贈る「ユーザー選定賞」と、セキュリティ有識者と運営メンバーがもっともよいと判断した問題を作った人に贈る「審査員特別賞」の2つが用意されている。

2023年2月8日、表彰式が開催された。受賞した二人に、作問時の思い出や感想を聞いてみた。

問題作成優秀賞の受賞者（左から3番目　笠井さん、右から2番目　川北さん）

「サイバーセキュリティは難しいと言われますが、この分野の楽しさを知ってほしく、ゲーミフィケーションによって楽しく学べること、忙しい業務の合間のスキマ時間に遊べることを意識して作問しました。多くの方に取り組んでいただけて嬉しいです。」（ユーザー選定賞受賞、NEC サイバーセキュリティ戦略統括部　川北将さん）

「長年作問者として参加していますが、今回はIoTに関する問題を作りました。IoTは、多くのセキュリティエンジニアにとって馴染みの少ない分野ですが、今後、興味をもつきっかけになればと思い作成しました。自分自身もIoTの知識は乏しく、手探りでしたが、このような賞を頂き大変喜ばしく思います。」（審査員特別賞受賞、NECネクサソリューションズ技術開発事業部　笠井靖記さん）

NSSCでは、問題を解くだけでなく、問題を作ることも学びの機会になっている。これは作問から運営まで社内で完結しているからこそであり、社内CTFの醍醐味ともいえるだろう。

楽しみながらセキュリティを学べることを第一に

東京2020オリンピック・パラリンピック競技大会をきっかけに始まったNSSCであるが、今ではNECで定期的に開催されるイベントとして社内に浸透している。参加者数も見込めるようになり、初心者向けの間口も広げた。

NSSCはこれからどうなっていくのか。今後の展望について水田が語ってくれた。

「これまでCTFはエンジニアのお祭りとして開催されていて、楽しみながら技術を競い合うものでした。この“楽しみながら”というのが一番重要で。社内CTFでも、まずは楽しんで学んでもらうことに重きを置いて取り組んでいきたいですね。また、すでに取り組んでいることですが、NSSCで使用している問題の一部を利用して学生向けのCTFも開催しています。NSSCの活動が、いずれは社会全体のセキュリティ人材の育成・発掘につながることを期待しています」