進化目覚ましいSECCON2016！（２）

SECCON実行委員長　竹迫　良範　氏

世界の強豪がしのぎを削ったオンライン予選結果

　――日本チームがCTF決勝へ進むための方法――（１）地方予選大会、（２）国内連携大会、（３）海外連携大会、（４）オンライン予選のうち、前回は３つ目までお聞きしました。世界の強豪がしのぎを削ったオンライン予選は、いかがでしたか。

　竹迫　今回、日本の多くの社会人チームにとっては、このオンライン予選が唯一とも言えるCTF決勝への道でした。日本チームは健闘しましたが、世界の壁は厚く、上位には食い込めず、「binja」１チームだけが決勝に駒を進めました。

　全世界に向けて、毎年オンライン予選（定点観測）をやってみると、それぞれの国の人たちがどのぐらいのレベルにあるのかが、よくわかります。現時点では日本のCTFチームは世界の国際大会の予選にたくさん出場しているのですが、常に上位に食い込めるチームは限られているのが現状です。日本チームの技術レベルをより一層上げていく必要があります。

東欧は伝統的にITやセキュリティのレベルは高い

　――世界の壁はたしかに厚いですね。米国、韓国、台湾は常連ですが、今回ポーランドと中国が２チーム出場しました。

　竹迫　ポーランドなど東欧諸国は伝統的に、ITやセキュリティのレベルは高いです。まだ自国、地元の産業が大きく育っていない環境で、ITやセキュリティを勉強すると海外の会社で働くチャンスも増え、賃金も高くなります。そのため、理系の若者には人気が高いのです。コンピュータ関連の多国籍企業で、ポーランドに拠点を置いている企業も複数あります。

　中国もレベルがとても高いです。韓国もそうですが、エリート教育が行き届いており、また競争というものに小さい頃から慣れています。CTF大会は、限られた時間内に得点を重ねるという点で、ある意味受験ととても似ています。

リングの外から飛び出て天空で戦っていた

　――予選の結果、決勝に24チームが駒を進め、壮絶な戦いが繰り広げられました。CTF決勝を総括していただけますか。実行委員長は「神々の戦い」と決勝戦を講評されました。どういう意味でしょうか。

　竹迫　「SECCON2016」CTF決勝戦では、KoH（King of the Hillの略で、脆弱性のあるサーバーを攻撃しそれを維持、他チームからの攻撃を防御する）形式に加え、Jeopardy（さまざまなジャンルで答えとなるflag(key)を探す問題）形式を組み合わせて出題しました。KoHが５問、Jeopardyが６問の計11問です。運営が用意した仮想サーバー６台に対して全24チームがハッキングを仕掛け、攻撃ポイントと防御ポイントの総合点で順位を競いました。囲碁のAIを攻略する問題やさまざまなアーキテクチャを題材とした問題のほか、脆弱なプログラムを連続して攻略するなど、多彩な出題をしています。

　「神々の戦い」という表現は、大変にレベルの高い戦いが行われたことを称しています。説明が難しいのですが、たとえて言うならば、運営側は出題と同時に戦いのリングを用意します。それは100点満点のリングで、従って勝敗は80点とか90点で争われるものと予想しました。ところが、実際の戦いは100満点のリングから飛び出て、その天空のリング（1,000点満点）で、800点とか900点で争われたのです。本当にすごかったです。そのなかでも優勝した韓国チーム「CyKor」は圧倒的な強さを見せつけました。

　戦いは２日間にわたりました。１日目の終了時点で持ち帰って解析を続けられる問題も一部ありました。各チームともおそらく朝まで問題の対応を行っていたと思います。２日目10時の競技開始と同時に各チームの得点が相次ぎました。

野球やサッカーと同様、母集団の拡大が必要です

　――SECCON2016の活動からはCTF決勝はほんのひとコマですが、日本チームには優勝、少なくとも３位までに入賞してほしいです。以前、実行委員長は、日本では全国の高校や大学にセキュリティ・クラブやコミュニティがまだまだ少なく、安定した技術の引継ぎが上手くできていないことを指摘されていました。

　竹迫　オリンピックと同じで、金メダルは１チームだけなので厳しいところです。日本チームは圧倒的に弱いというわけではなく、善戦しています。今回の大会でも、初日は中盤から「binja」がドンドン追い上げ２位に浮上し、CyKorに迫る勢いを見せました。初日午後７時の終了時点の順位は、第１位CyKor（韓国）、２位binja（日本）、３位eee（中国）でした。

　高校、大学のセキュリティ・クラブ等に言及しましたのは、「サイバー甲子園」のお話のときだったと思います。私が2012年にSECCONを開始した時点では、セキュリティを勉強できる学校は大学院レベルでしかありませんでした。その後、学部生が学べる大学として、長崎県立大学に情報セキュリティ学科が創設、九州大学では１、２年の教養課程でセキュリティの勉強ができるようになりました。少しずつですが、環境は改善されてきています。また、従来は器（学校、学科）ができても、そこを志望する優秀な学生は少なかったのですが、最近は若くして情報セキュリティを勉強したい学生も増えてきました。

　CTF決勝での優勝、入賞さらには日本全体のセキュリティの向上には、やはり野球やサッカーなどと同様、母集団が大きくなることが必要です。そのために、学習できる場所、実戦できる場所を増やしていきたいと考えています。ホワイトハッカーとして頑張っている若い人たちに、応援できる体制を早くつくりたいと感じています。

（つづく）
【金木　亮憲】

＜プロフィール＞
竹迫　良範（たけさこ・よしのり）
　SECCON 実行委員長。現職は大手情報サービス会社 技術フェロー。大学卒業後、独立系ITベンチャーにて大企業向けパッケージソフトを開発、主に国際化を担当する。国内大手グループウェア研究子会社にて中長期のR&Dの傍ら、エンジニア採用、産学官連携活動と日本の人材育成に関わり、2012年に「SECCON」を立ち上げ実行委員長に就任。
　08年 Microsoft MVPアワード Developer Security、13年情報処理学会 山内奨励賞、CSS2013/MWS2013 CSS×2.0一等星を受賞。著書として『ECMA-262 Edition 5.1を読む』（秀和システム）、共著として『セキュリティコンテストチャレンジブックーCTFで学ぼう！情報を守るための戦い方』（2015年 マイナビ出版）などがある。