WEST-SEC CTFの作り方

みなさんの会社やコミュニティでもWEST-SEC CTFを作ってみませんか?
作り方は、少しのITスキルが必要ですが、それほど難しくはありません。
私でよろしければ相談に乗りますので、WEST-SECにご参加いただき、ブレイクアウトセッション等でお話しましょう。

1.完璧なものを作ろうとしない

(1)CTFをやるだけで参加者は楽しい

CTFの魅力は、単に聞くだけではなく、問題(クイズ)に答えるという双方向性にあります。
これは、WEST-SECでCTFを活用している最大の理由でもあります。一方的にセキュリティの講義を聞くだけでは得られない満足感があるのです。
なので、今まで、一方的なセキュリティ勉強会や、セキュリティ啓発をされていて、マンネリ化を感じたときは、CTFを導入してみてください。
50分のセミナーの、最後の10分に、3問だけでもいいと思います。

(2)CTFdというツールにこだわる必要もない

我々はCTFdという非常に便利なツールを使っていますが、このツールにこだわる必要はありません。
スクリーンに問題を投影してのクイズ大会でも、参加者は楽しくセキュリティを学んでいただけると思います。

2.CTFのシステムに関して

(1)CTFdを使っています

WEST-SECのCTF環境は、AmazonのAWSのサーバ上にCTFdをインストールして運営しています。
AWSのLinuxサーバを起動し、そこにCTFdをインストールしています。インストール方法は、ネットに紹介されているので、ITに詳しい人に助けてもらってください。きっと、すぐにできると思います。

(2)クラウドは便利ですが、こだわる必要はありません。

社内のサーバにインストールでももちろんできます。

3.作問に関して

(1)良問を作らなくてもいい

WEST-SECの問題が良問かどうかはわかりません。意識しているのは、8割解けることだけです。
難しい問題ばかりだと嫌になるので、皆さんのレベルに合わせて、少し考えれば解ける問題にすればいいと思います。
また、単純な知識問題でもいいです。たとえば、「わが社のCISOは誰?」「マルウェア感染したときの相談窓口は?」というものもありでしょう。ようは、双方向で参加してもらうことに意義があると思います。

(2)4択よりは、答えを入力させるもの

CTFはもともと、Capture The Flagなので、答えとなる「フラグ」を見つけるゲームです。4択の問題で、4回入力すれば正解するという問題よりは、答えとなるキーワードを入力してもらう問題の方がゲーム性は高くなると思います。

(3)みんなに協力してもらう

問題は、運営者が一人で作る必要はありません。詳しい人に「1問提供してください」と10人にお願いすれば、10問完成です。参加者にお願いしてもいいでしょう。

4.運営に関して

(1)チーム戦にこだわっている

WEST-SECでは、毎回、4人程度のチームを組み、チームで戦ってもらいます。その目的は、皆さんでコミュニケーションをとり、相談したり、教え合ってほしいからです。他の人はどういうアプローチで問題に取り組んだりするかを知ることも勉強になります。また、正解した人が他の人に解き方を教えることで、教える人にも良い学びの場になります。
また、どの企業でもコミュニティでも、参加者のレベルに差がある場合があります。すると、知識や経験が少ない人は、ときに、とてもつまらないゲームになってしまいます。レベルの違いがあっても、チームで協力して実施することで、みんなが楽しめ、学習できる有意義な場になると考えています。

(2)参加者も含めてみんなで作る

WEST-SECでは、多くの場合は3人のスタッフで運営しています。ですが、ときには私一人で実施する場合もあります。数十人規模の研修を一人で回すのは大変と思われるかもしれません。でも、皆さんに協力してもらいましょう。一人で実施するときは、あまり詳しい解説をせずに、「では始めてください」とする場合があります。そうした場合でも、チームの皆さんで相談して、誰がかがサポートしてくれるものです。参加者の皆さんも、受け身で参加するより、一緒になってイベントを作り上げるというモチベーションにもつながり、有意義なイベントになると思います。

(3)バックアップだけは準備

今まで、私のイベント中にAWSのサービスがダウンしたことはありませんが、バックアップサーバだけは準備しています。