【レポ】セキュリティコンテスト「SECCON Beginners CTF 2021」に挑戦!
今回はセキュリティについてのレポートです。情報セキュリティ部で主に社内のコーポレートITやセキュリティマネジメントの業務を担当している高橋研介がお伝えします。
MICINの情報セキュリティ部のご紹介
私が所属する情報セキュリティ部では、「医療業界のセキュリティの良好事例として同業他社にベンチマークされ、セキュリティや信頼が決め手でMICINのサービスが選ばれる」という部門ビジョンを掲げ、社内のセキュリティマネジメントや、セキュアなネットワークの構築、イベントでの講演など、情報システムの整備だけでなく、セキュリティを軸に幅広い取り組みを実施しています。
私はこの4月に入社したばかりですが、前職はセキュリティベンダに所属し、お客さん企業のPCがウイルスに感染した場合などに、どういう経路でウイルスが感染したのか、情報漏えいはあったのかなどを詳しく調査する「デジタルフォレンジック」という業務に携わっていました。
最近のセキュリティ管理のトレンドとして、セキュリティ事故のリスクは完全にゼロにはできないので、企業はセキュリティ事故が起こりうることを前提に、事故が起きた時に状況の確認、被害の拡大防止、復旧、再発防止策の策定といったことをしっかり実施することが求められています。私はこのMICINのインシデント対応力強化を推進していくことをミッションとしています。
情報セキュリティ部は2021年に入り、私だけでなく、インターン生も多数ジョインしており、組織としても体制の強化が進んでいます。
「CTF」とは&「SECCON Beginners CTF 2021」とは
まず、CTFについてですが、「Capture The Flag」の略で、ファイルやサーバに隠された解答(Flag)を見つけ出す、いわゆる「ハッカー」系のセキュリティ技術を競うコンテストのことです。
私たちが今回参加した「SECCON Beginners CTF 2021」は、5月22日〜23日にかけて開催されたもので、日本最大級のCTF大会「SECCON CTF」における初心者~中級者向けのオンラインCTF大会です。なお、CTFの大会は日本だけでなく、世界中のいろいろな所で開催されています。
私個人、このCTF大会に過去に参加したこともあり、MICINでもみんなで参加することによりチームの結束力やスキルアップへのモチベーションが高くなり、チャレンジを通した技術力の確認ができると考えました。そこで気軽に部内で参加者を募ったところ、7名ものメンバーが集まり、チーム「MiSTERZ」としてCTF大会に挑むことになりました。チーム名の「MiSTERZ」は、MICIN + MONSTERS + IS(情報セキュリティ部の略称)を掛け合わあせたものです。
大会当日の様子
競技開始時間である14時にMICIN本社オフィスに集合し、ソーシャルディスタンスに配慮しながら問題に取り組み始めました。今回のCTFではそれぞれのバックグラウンドに合わせて担当分野を決めて問題を解きました。1時間に1回はみんなで集まり、お互いの進捗と問題のアプローチについて議論を交わしました。
参加メンバーはそれぞれ社給デバイスに加えて個人デバイスを持参し、担当ジャンルの問題を解いていました。メンバーの中にはMac2台とWindows1台の合わせて3台のPCに加え、厚みが5cmくらいあるツールの技術書やパケットキャプチャの教科書も持参してきていたので、リュックがとんでもない重さになっている人もいました。
こちらの写真は15:00時点(開始約1時間経過)の様子です。それぞれお気に入りのオフィスの場所やPC環境で問題を解いていました。
こちらの写真は終電間際にみんなでRSA暗号の問題を考えていたときの写真です。CTF初心者が多かったことからRSA暗号は基礎的な部分から勉強しアプローチしたのですが、かなりの苦戦を強いられていたようです。
解散後も競技終了時間まで自宅で問題に取り組む(残業!?)メンバーもおり、最終的に28問中14問を解くことができました。
結果は!?
最終順位は943チーム中118位と、そこそこの成績を残すことができました。様々なジャンルの問題に取り組んだことで各々足りない部分の知識を実感し、現状のレベル感を把握をすることができたのではないかと思います。
参加したメンバーからは、
・力を合わせて解けた問題もあり、チームとして結束が高まった
・問題は解けなかったけどとても勉強になった
・セキュリティの魅力が再認識できた、また次回も参加したい
などの好意的な声を多数いただきました。
これからもこのようなイベントなども通じて、セキュリティ技術の研鑽に励んでいきます!
CTFには挑戦した問題の解説を「Writeup」としてブログなどで公開する文化があり、今回、私たちも「MICIN Developers」ブログに掲載していますので、ぜひこちらもあわせてご覧ください!