NECは、グループ全社員向けに毎年開催しているCTF(Capture the Flag)形式でのオンラインコンテスト「NECセキュリティスキルチャレンジ2023」の表彰式を2024年3月5日に実施しました。本コンテストは、セキュリティ人材の発掘・育成を目的に、2015年から毎年開催しており、9回目となる今回で、参加者は累計8,100名を超えました。
※CTFとは:手を動かしながらフラグと呼ばれる“答え”を見つけ出し得点を競い合うセキュリティコンテスト。ゲーム感覚で効果的にセキュリティ技術の学習が可能。
[画像1: https://prcdn.freetls.fastly.net/release_image/78149/494/78149-494-7e381ec4f71cc96a796b50356bcc5957-3900×2925.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
NECグループでは、お客様に提供する製品・システム・サービスの企画・設計から運用までの各フェーズにおいて、適切なセキュリティ提案・実装を実践できる人材の育成に取り組んでいます。その取り組みの一つとして、本コンテストを通して実践力を向上するために、今回、従来の脆弱性診断・ペネトレーションテストによるリスク評価やインシデントレスポンスを対応している社員に加えて、脆弱性管理や開発業務でセキュリティに携わる社員など約50名が自主的に作問に参加し、多様な観点での問題を作成しました。具体的には、脆弱性管理グループ社員が作成した脆弱性対応の優先度付けに役立つ「脆弱性情報から自組織への影響度を調査する方法」の問題など、セキュリティ提案・実装のための実践的な知識習得が可能な問題を拡充しています。
また、参加者のすそ野を広げるためのリファラル制度(紹介した社員を表彰)を導入し、社員の自主的な活動による参加者拡大や組織間コミュニケーションの活性化を行いました。
NECは、今後もNECグループ社員のセキュリティアウェアネス向上と人材育成に注力することで、セキュリティ対応力を高め、お客様のリスク低減に貢献していきます。
開催報告
【競技期間】2023/11/1~2023/11/28
【表彰式】 2024/3/5
【競技形式】オンライン、個人戦
【参加者数】NECグループ社員:873名(自主参加)
・一般(セキュリティ業務に携わっていない社員):630名
・エキスパート(セキュリティ業務に従事もしくはCTF競技経験者):243名
【出題内容】
・出題数 :全54問(基礎・初級・中級・上級)
・出題ジャンル:「クラウド」「防御・コンテナ」「ペンテスト」「事故調査」「Webアプリ」「暗号」「バイナリ/Pwn」「ネットワーク」「OSINT/MISC」
◆問題作成優秀賞(参加者による投票で選定)
– CVSS SCORE(OSINT/MISC)
問題内容: Apache Log4jの脆弱性(CVE-2021-44228)に対して、「現時点での脆弱性の特徴」「自組織のシステムの特徴」の情報をもとにCVSSv3環境値を算出する。
選定理由:CVEの調査に加えて、CVSSスコアの計算に実際に触れることができ、CVSS環境値についての知識が深まる問題であったため。
作問者:NEC サイバーセキュリティ戦略統括部 脆弱性管理グループ 宇井 哲也
[画像2: https://prcdn.freetls.fastly.net/release_image/78149/494/78149-494-05791e50e43104ef65be5f0d2a098863-1370×728.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
[画像3: https://prcdn.freetls.fastly.net/release_image/78149/494/78149-494-a5f3c32d7711f02161f65caaa352c9f4-1370×732.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
– ‘Watch’ the review (OSINT/MISC)
問題内容:SNS上に投稿された一連の投稿文、およびアップロードされた写真をもとに、撮影された写真の位置情報や投稿者の行動履歴を入手する。
選定理由:投稿と写真の情報を調査することにより、インターネット上の投稿内容から、どこまで追跡できるのか、リスクを知ることができる問題であったため。
作問者:NEC サイバーセキュリティ戦略統括部 実装技術グループ 杉本 元輝
◆総合成績優秀賞 第1位 表彰者コメント
– 一般部門
主にセキュリティ業務以外に従事している参加者でスコアトップ(全問正解)
NEC OMCS・通信キャリアソリューション事業部門 通信業統括部 山下 修
「定年までに一回優勝できればなあと思っていたのでとても嬉しく思います。セキュリティ業務に従事していない私が毎年参加している理由は、大変勉強になり、やっていて楽しいからです。様々な教育コンテンツがある中で、これ程面白くてためになるものはないと思います。もっと多くの方に知ってもらいたいです」
– エキスパート部門
セキュリティ業務に従事もしくはCTF競技経験者でスコアトップ(全問正解)
NEC プラットフォーム・テクノロジーサービス事業部門 セキュリティ事業統括部 柴田 毅
「自社製品の開発や保守、技術支援をしていた時のトラブル対応やバグ探し等の経験がいきたのかと思います。今年は、参加者間でコミュニケーションできる場を用意して頂いたので、競技後に問題に対して技術的な意見交換ができたことで、より理解が深められました」
[画像4: https://prcdn.freetls.fastly.net/release_image/78149/494/78149-494-3a2f9f32ef5a73311614f4492a716fdf-2705×2033.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
<左から エキスパート部門1位 柴田 毅、一般部門1位 山下 修>
<関連記事>
– NEC、「SECCON 2023 電脳会議」にて学生向けCTF(12/23)を開催https://prtimes.jp/main/html/rd/p/000000466.000078149.html
NEC Security Skills Challenge for Students 2023開催報告https://jpn.nec.com/cybersecurity/blog/231004/index.html
– セキュリティの初心者から上級者までの全ての層をカバーする。約800名が自主的に参加した社内CTF(第8回)実施の裏側https://jpn.nec.com/cybersecurity/journal/2023/PR001_nssc2022.html
– セキュリティスペシャリスト一覧https://jpn.nec.com/cybersecurity/advantage/specialist/index.html
