この記事を読むのに必要な時間:およそ 1 分
セキュリティのイメージは?
「情報セキュリティ」と聞くと,どんなイメージが頭に思い浮かぶでしょうか? 「会社のシステムがコンピュータウイルスに感染しないようアンチウイルスソフトを導入する」「社員がメール詐欺に引っ掛からないように教育指導する」など,どこか地味で,お堅いイメージを持っている方が多いのではないでしょうか。そもそも,情報セキュリティに関わるエンジニア=セキュリティエンジニアの仕事自体について,「何をしているんだろう?」という人が大半かもしれません。そんなセキュリティエンジニアが集い,情報セキュリティの技術を競い合う大会(コンテスト)があることをご存じでしょうか。
情報セキュリティの大会「CTF」
セキュリティコンテスト「CTF」は情報セキュリティ技術を競う競技です。CTFとはCapture The Flagの略で,日本語では「旗取り合戦」の意です。メディアなどでは「ハッキングコンテスト」と報じられることもあります。CTFは1990年代に生まれたと言われており,なかなか歴史のある競技なのです。CTFは国内外で高頻度に開催されており,日本では「SECCON CTF」,海外では「DEF CON CTF」が有名です。とくにDEF CON CTFは世界中の凄腕「ハッカー」が集まる最難関のCTFとされていますが,2011年に日本のチームが予選を勝ち抜いてはじめて決勝に進み,当時は大いに盛り上がったそうです。
ハッカー同士の熱い戦い
CTFはおもに「クイズ形式」と「攻防戦形式」に分けられます。前者は予選で,後者は決勝戦でよく採用されます。
クイズ形式のCTFでは,大会の運営側から脆弱性(簡単に言うとソフトウェアの弱点)が仕込まれたプログラムが与えられ,その脆弱性を突く攻撃コードを開発して制御を乗っ取り,問題の答え(flag)を得る,といった問題が出されます。参加者は制限時間内にできるだけ多く問題を解き,チームでその点数を競います。
攻防戦形式のCTFでは,脆弱性を持つサーバがチーム1つずつに与えられ,各チームは自チームに与えられたサーバを守りながら他のチームのサーバを攻撃し,flagを奪います。
このように,CTFは非常にアグレッシブな競技です。長いものでは数十時間に及ぶこともあり,体力も要求されます。情報セキュリティと聞いて思い浮かんだ最初のイメージは変わったのではないでしょうか。
本を片手にCTFに参加しよう
『入門セキュリティコンテスト』では過去に出題されたクイズ形式のCTFを題材に,CTFの問題の解き方,解くのに必要な情報セキュリティ技術について解説しています。問題としては初級者向けの定番問題が中心ですが,幅広い知識が要求される難問や,「画像データに隠されたflagを見つけ出す」といった謎解き要素が強い問題も収録されています。紹介する情報セキュリティ技術としては,ソフトウェアを解析して内部の設計などを調べる「リバースエンジニアリング」をはじめ,先ほど紹介した「脆弱性」の見つけ方や,「暗号」「ネットワーク」「Web」など,実際のCTFで出題される問題のおもなジャンルをカバーしています。CTF参加の手引きも収録しているので,本書を片手にぜひCTFに挑戦してみてください。
問題を解きながら情報セキュリティ技術を実践的に学べる構成にもなっているので,「CTFに参加するのはハードルが高いな」という方にもお勧めできる1冊となっています。