セキュリティ研修への参加
こんにちは、リドルです。今日は1人で、私が8年くらい前ですかね、セキュリティの世界大会にチームで参加しまして、なんと5位になった時の話をしたいと思います。
ただ、この話をすると、私がめちゃくちゃセキュリティに詳しい人間なのかと思われる方がいるかもしれませんが、全くそんなことはないです。
多少は知っていましたが、世界で5番目にすごいみたいな、そんなことは一切ないので、ちょっと話を聞いてください。
もともと、私が1社目の会社、SIRですね、伊藤中テクノソリューションズにいた時に、とある経営層の方が、今年度はセキュリティをもっとやっていこうというところで、
当時、私、ただのインフラエンジニアだったんですが、セキュリティを勉強しようという感じで、研修に行くことになりました。
行った研修が、野村総合研究所さん、NRIさんが、サンズというアメリカ側の団体を誘致して行っている、サンズジャパンというところが主催の研修になるんですけれども、そこのセキュリティ研修に受けました。
セキュリティ研修、それまで参加したことがなかったんですけれども、1週間ぐらいあって、全部英語の授業なんですけれども、これがめちゃくちゃ高いんですね。
当時で80万円ぐらい。この前調べたら、今だと100万円ぐらいするらしいですね。めちゃくちゃ高いです。これに会社で行かせていただいたので、すげえ感謝しています。
どんな研修かというと、当時私が受けたのはSEC401だったかな、そういうものだったんですけれども、いわゆるセキュリティの基礎から応用までを網羅的にやる研修でして、
具体的にはサイバーセキュリティの中核となる分野、例えば検知とか応答とか防止みたいなところに基づいたセキュリティどうやって構築していけばいいんだっけみたいな話であったり、
実際に攻撃者によって攻撃された場合にどうやってチームを組織して対応していくのかみたいな、Cサートのような話であったり、
また個別具体的なテクニックでランサムウェアから身を守る方法、もしくはランサムウェアを使って標的者のハードリスクとかを暗号化する方法、
またネットワークでいろんなセキュリティの技術がありますけれども、それを使う方法、飼いくぐる方法、いろんな攻撃と防御の両面から学ぶというのを理論と実践、両方やっていくというような感じでした。
そんな授業だったので、セキュリティのベンダーの出身の方だったり、それこそ国の機関に勤められている方も多くて、
今までセキュリティを一切やってこなかった私が参加するには結構ハードルの高い授業でしたね。
CTF大会の挑戦
その授業で特に言われていて覚えているのが、我々は今から守り方をたくさん学ぶんだけれども、
守り方だけ知っても攻撃者としてどういう攻撃をしてくるかが予想つかないので、
守ることを覚えるのと一緒に攻め方も覚えようね、みたいな形のことをいろいろ言われまして、
実際にその研修の中でも在学のほかに実際に手を動かす、ハンズオンというかやってみようみたいなタイミングがあります。
何をするかというと、各々USBディスクで配られた仮想サーバーを立ち上げて、そこに対して授業で習った方法でいろいろ攻撃をしてみるという感じです。
当時はOSSのメタスプロイトという攻撃用のツールがありまして、これを使うとめちゃくちゃ簡単に攻撃ができまして、
例えばWindowsに対する攻撃をしたい場合は、Windowsの脆弱性がAというものだったりすると、
このAを使って攻撃したいです、みたいなことを送ると対象のIPに対してAで攻撃をしてくるという感じでした。
これがいろんなプラグインがあって、例えばセンドメールに対してだったりポストフィックスだったり、
もしくはFTPサーバーとかSSHとかPHPとか、そういった様々なものに対してCVEで規定されているような脆弱性をついて攻撃するというような感じでしたね。
その時になんて簡単に攻撃できるんだろうと結構恐れおどろいた記憶があります。
それからソフトウェアのバージョンアップをちゃんとやろうというのは結構思いましたね。
という感じで1週間の研修だったんですけれども、理論と実践をやって、いろいろと実際に手を動かして学ぶという研修で非常に有意義でした。
この後もセキュリティのところをもっと深めでようというところが会社でもありましたので、
この1回80万円ぐらいする研修を3回ぐらいかな、受けさせていただきました。
めっちゃ感謝ですね。
でも回を追うごとにどんどん難しくなっていくんですよね。
最終的に私が受けたのはネットワークのペネストレーションという単元のものだったんですが、
どうしてもまずインフラとかネットワークに対して最低限、最低限で言っても結構詳しいレベルまで求められた上で、
そこに対して攻撃をしたりとか流れているパケットをキャプチャーして、
そこに対してどういう問題があるのかとか、どう組み立てれば攻撃として成功するのかみたいなことを学んだりとか、
そういったことをいろいろやっていたので、
インフラとかアプリの勉強をベースとしてやっておかないと、
そもそも研修の中でやるセキュリティの話についていけないということで、結構大変だった記憶があります。
そんな中でですね、最初に申し上げた通り、守るためには攻撃することを覚えようという、
そういうことを大事にしているので、その一環でサンズという会社はネットウォーズと呼ばれる大会を開いています。
これは何かというと、研修に参加したメンバーだったりだとか、
あと外部から招待とかで来たメンバーを全員並べて、
今から3時間かな、4時間かな、ちょっと時間を忘れちゃったんですけど、
仮想マシンをそれぞれ配りますと。
その仮想マシンに様々な方法で攻撃をしてみて、主催者側が隠したフラグを探してください。
旗ですね。キャプチャー・ザ・フラッグってよく言いますね。
CTFと略して呼ばれます。このCTFをやってみようというところで、
当時右も左も分からなかったのですが、参加しました。
これどういうことをやるかというと、例えば暗号化されたファイルを頑張って複号化してみたりだとか、
起動しているサーバーの脆弱性をついて、そのサーバーに侵入してファイルを見つけるとか、
そういった様々なジャンルの問題が出されるんですけれども、
それが難易度によってポイントが変わってきます。
簡単なものだったら10ポイント、難しいものだと100ポイントみたいな感じですね。
制限時間以内により多くの問題を解いて、ポイントが高い人が優勝というシンプルなルールです。
当時私はですね、なんとかその中で50名ぐらいの中で4位になることができました。
特にセキュリティに詳しかったというわけではないんですけれども、
研修の内容を復習していたということと、当時リアル脱出ゲームというものにめちゃくちゃハマってまして、
大体年に100回ぐらい行くような感じだったんですけれども、
その中で得た謎解きのスキルみたいなところが結構このCTFには転用できた記憶がありまして、
なんとやらこんなことやりたいんだろうなーみたいなことが勘どころとしてわかったりすると、
ああこういうことするんだろうみたいなのでテコテコテコってやって意外と点数が取れたりとか、
ヒントがあったりするので、ヒントをいい感じに見ていくと意外にポイントも加算できていくみたいなところだったので、
戦略性がマッチしてようになれたという感じです。
世界大会への招待
でですね、そんな感じで2、3ヶ月過ぎた後に急にメールが飛んでくるんですね、SANSから。
何かというと、ワシントンの方で世界大会を開きますと、あなたを招待しますという感じでした。
どうやらSANSはそのネットウォーズという大会をですね、世界中でやっていたみたいで、
各地域のチャンピオンというか5位まで入った人をアメリカに招待して、
ワールドチャンピオンシップみたいなものをやりますよみたいな感じだったんですね。
それで私もそれに選ばれたので、会社の上司にこれ選ばれたんだけどみたいな説明をしまして、
予算は多分取ってなかったと思うんですけど、面白そうだからという理由で承認していただいて、
一人で単身アメリカに行って戦いに行くことになりました。
実際にワシントンに一人で行ってホテルに入ったんですけれども、
そのホテルの地下ですかね、レセプションルームみたいなところが会場になっています。
ついて当日、いきなり大会という感じだったんですけれども、
大体夕方かな、夕方にホールに集まって最初に説明を受けるんですけれども、
見渡す限り海外の人なんですよね、それはそうですけど、
基本的には英語圏の方がほとんどみたいな感じです。
主催者の方が最初にパーカーくれたりとか、
そこにあるフードとか好きに食べていいよみたいな感じで、
最初はザックバランにみたいな感じなんですけど、
途中からですね、急にじゃあ皆さん自由に会話してくださいみたいなシーンになると、
みんなペチャクチャペチャクチャ喋るんですよね。
ただですね、残念ながら私は別に英語が達者なわけじゃないので、
そんないきなりネイティブの中でめちゃくちゃ早い英語が飛び交ってる中で話すのはちょっときついので、
どうしようかなーって思ったら、
なんとですね、日本人が3,4人いることに気づいたんですね。
たまたま他の大会か、自分が一緒に出てた大会だか忘れちゃったんですけど、
いろんな会社から来てる方がいらっしゃいまして、
大会の準備と雰囲気
なんとかその人たちと合流することに成功しました。
どうやら話を聞いていくと、その人たちもソロで来たっていう感じですね。
その後、主催者から今から5人組を作ってください、
5人でのチーム戦になりますみたいなことを急に言われるんですよ。
あれ?なんか日本の大会はソロだったのに急にチームになるかと思ったんですけど、
幸い日本から来た人がたくさんいたので、
その5人とチームを組んで、チーム忍者だったかな?
なんか和風の名前にしようというところで、そんなチームを結成しました。
で、その後早速大会なんですけれども、大会会場はですね、めちゃくちゃ広くて、どのくらいなんだろうな。
でも200人ぐらいがチーム組んでパソコンとか置いて机並べても全然埋まらないぐらいの広さでしたね。
で、会場がですね、普通そういう大会やるときって明るい部屋だと思うんですけど、
雰囲気出しなのか、赤いカラーセロファンをライトに当てたときのような赤いライトしかない状態で、部屋中赤みたいな。
で、後ろの方にはナチョスが置いてあるっていう、なんかねちょっと異国来たんだなみたいな感じでしたね。
ナチョスとコーラは取り放題みたいな感じです。
ナチョスとコーラを飲みながらハッキングするみたいな謎の大会でした。
大会は2日制になってまして、初日が夕方から夜の5時間ぐらいやった後に、
翌日の朝から夕方までですかね。
2日制になってます。
1日目に問題解いたら、2日目の朝までは睡眠時間に当ててもよし、
問題は持ち帰れないんですけれども、頭の中に入れることができるので、
頭の中に入れて答えておこうかなみたいなことをチームで話したりする方もいらっしゃいました。
そんな感じで始まるんですけれども、正直内容はちょっと昔過ぎてあんまり覚えてないんですが、
自分は問題解いてたら急に上から物が降ってくるタイプの音ゲーが始まったので、
その音ゲーを解いたりしてました。
これだけ聞くと意味わかんないと思うんですけど、
なぜかそういうゲームみたいなものを盛り込むみたいなことが多かったみたいで、
暗号化を解いて出てきた実行ファイルを実行したらコマンドライン上で音ゲーが始まり、
その音ゲーをクリアしないとフラグがゲットできないみたいな謎の感じでした。
ただフラグの平均得点が30とか10とかそれぐらいの時に、
その音ゲーをクリアしてゲットしたフラグが200点だったので、
だいぶ音ゲーに時間は取られましたけども、最終的には結構寄与することができましたね。
そんな感じで1日目終わり、最低限の打ち合わせというか作戦会議して、
こういう問題出て解けなかったんだけどみたいな共有をした後に2日目を迎え、
2日目も同じ感じでひたすら問題を解きまくった結果、
なんとチームで世界5位に組み込むことができました。
結構他の方の努力の方が比重高めだったんで、
自分はおこぼれに預かったみたいな感じではあったんですけれども、
結果だけ見れば一応チームで世界5位っていう感じには慣れたので、
もしかしたら4位だったかも、ちょっとごめんなさい詳細は覚えてないんですけど、
それぐらいの順位でした。
ただですね、これ実力が伴っての結果じゃないので、
あんまりリリアクションとかには欠けないんですよね。
世界5位の実力があるセキュリティアンドみたいな感じになると、
やっぱりそれなりのセキュリティのポジションを推薦される可能性もあるじゃないですか。
なのでこの話はなるべく封印しているんですけど、
ポッドキャストという場であれば、ある程度コンテキストを含めた上で紹介できるので、
ちょっと引っ張り出してきたという感じです。
セキュリティの大会実際出てみて、異国の文化というか、
セキュリティ界隈でいろいろ頑張っている人たちの考えというか、
振る舞いみたいなものも学べましたし、
なかなかこういう大会に出て何か成果を残すということも珍しいと思うので、
成果と学び
めっちゃいい経験だったなと思っています。
またですね、個人で本当に100万とかする研修に何回も参加するっていうのは、
相当熱意がないと無理だと思っていて、
当時の自分はそんな熱意、
今でもこの研修に自腹で100万出せって言われたらちょっと出せないんですけども、
あの、とっても感謝してますね。
でも同じチームで本当に自腹で来てた人もいたので、
そう考えると密度の濃い研修ではあったので、
刺さる人にはすごい刺さるんだろうなーって思いましたね。
すごい。ただただ。
いやー、それはあまりできないなー。
という感じでですね、当時環境に恵まれて、
セキュリティの大会に運良く参加することができまして、
結果的には世界で何位みたいな感じの結果になりましたが、
その時得た知識はですね、今ほとんど残っていないので、
なんとなくセキュリティの素養があって、
こういうこと気にしないといけないんだろうなーみたいなのは、
コーディングの際に残ってはいるんですけれども、
細かい知識とかはちょっと忘れてしまったという感じです。
なのでセキュリティの勉強はですね、結構役に立つことはありますし、
細かい技術を忘れてしまったとしてもですね、
何かしらこう実装とか設計とか構築するタイミングで、
より少々こういうことあったから気をつけないといけないなーっていう
特化解りになることも多いのでですね、
最初難しいとは思うんですけれども、
インフラとアプリ必要なんで、
ぜひですね、資格なり勉強なりしてみてください。
はい、ありがとうございました。
