「8割解けるCTF」をコンセプトにしたWEST-SEC CTFの7回目を開催！

第5回目のWEST-SEC CTFのアンケート結果ですが、97.9%の方が「役に立った」（「とても役に立った」72.9%、「ある程度役に立った」25.0%）とお答えいただきました。参加いただいた皆さん、ありがとうございます。

「参加後にSNSで感想を発信してくれる人枠」として20人枠を作りました

WEST-SEC参加後に、ブログやTwitterなどで、感想を発信していただける方の枠を作りました。
先着20名です。「楽しかった」「つまらなかった」という素直な感想から、具体的にどこがよかった、悪かった、など たくさん書いていただける方を期待しています。
ただし、CTF問題の答えの掲載はご遠慮願います（勝手を言って申し訳ございません。

Splunkの実機操作を予定

今回は従来のようなWiresharkやWebアプリケーションの問題に加え、Splunkの実機操作を予定しております。だから何？という話ですが、ネットでSplunkの操作について、軽く見ていただくと、当日はスムーズかもしれません。（もちろん、準備無しで参加してもらってOKです）

WEST-SEC CTFの内容

WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF（Capture The Flag）といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、みんなで学ぶ「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。

まずは、以下のプロモーション動画で概要をご確認ください。

なぜCTFの形式なのか

セキュリティを学ぶには、テキストの学習や実務、資格取得など、いくつかの方法があります。
どの方法も大事な学習ですが、ゲームを使った学習方法であるゲーミフィケーションも高い評価を受けています。ゲーミフィケーションの魅力は、なんといっても「面白さ」「楽しさ」でしょう。
たとえば、単に聞くだけではなく答えるという双方向性、日常ではあまり触れることができない実機に触れる喜び、正解か不正解かというハラハラ感、スコアが出てライバルと競い合う高揚感、短期間で全体像を学習できる満足感などを味わうことができます。
WEST-SECでも、CTFというツール使うことで、皆さんが回答した答えに正解・不正解が表示されます。さらに、チームスコアも表示されます。スコアを競うことを第一にしたものではありませんが、モチベーションを高めて参加していただくためのアクセントにしてください。

出題テーマ　　★テーマは前回と同様ですが、問題は全問リニューアルします。

セキュリティを広く学べるようにしており、主な出題テーマは以下です。
　-企業がセキュリティ対策として知っておくべき基本用語　
　-暗号、認証、ディジタル署名を含むPKIの基本技術
　-SQLインジェクション、ディレクトリトラバーサル、ブルートフォースなどの攻撃手法
　-DNSやメールサーバなどの、セキュアな設定
　-ログ解析　※実際のログを解析してもらいます。
　-バイナリ解析
　-ITの基礎知識　～パケットキャプチャ含む
　-UTMの設定の確認　
　-クラウドセキュリティ
　-インシデント対応の考え方
　-脆弱性管理、ポートスキャン
　-セキュリティに関する法律　　など

※WEST-SECで準備した数ある問題の中から、制限時間とのバランスを見て出題する問題を選択します。1回の出題としては、これら全てが出題されるわけではありません。

従来のCTFとの違い

CTFdのツールを活用していますが、内容や難易度は従来のCTFとは異なります。

違い①難易度

SECCONなどのCTFは非常に難易度が高いです。一方、WEST-SECのCTFは、難易度がかなり低く、また、チームで相談したり、調べたりすることで、誰もが8割を正解できることを意識して作問しています。
　短い時間ですが、問題の難易度を下げ、また、チームで相談できるため、問題をたくさん解いてもらうことができます。結果として、幅広いセキュリティの知識に触れることができます。

違い②内容

CTFはプログラミング技術やLinuxのコマンドを駆使したりして、フラグを見つけるものが中心です。WEST-SECのCTFでは、基本的なセキュリティ用語を学ぶため、単純な知識問題もたくさんあります。また、一部、コマンドを投入したりWiresharkを見たりすることもありますが、その場合でも高度な技術スキルが求められるわけではありません。

参加対象者

特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方　（※学生さんもOK）
・セキュリティの仕事に携わっているが、実践的な経験が少ないので少しでも経験してみたい方
・CTF（Capture The Flag）には興味があるけど、本家のCTFは敷居が高すぎて・・・という方
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方
→つまり、非エンジニアの方、セキュリティの初学者、大歓迎です！

必要なもの

・ブラウザ（Google Chromeなど。IEやEdgeは非推奨）が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。
・Web会議ツール（CiscoWebEXやZOOMなど）の環境。
・TeraTermなどのSSHに接続するツール（無い場合は一部の問題を解くことができませんが、チーム戦なので画面共有等でお互いにフォローしていただくという手もあります。）
・パケットキャプチャのソフトであるWireshark（　〃　）
・ご自身のグローバルIPアドレスを主催者へ通知

お願い

・CTFに始めて参加される方は、以下のサイトをサラリとご確認ください。当日は超簡単な説明にとどめさせてもらいます。
https://west-sec.com/entry
・CTFのサーバそのものおよび、一部のサーバへのアクセスは、送信元IPアドレスを制限させていただきます。参加者のPCに割り当てられたグローバルIPアドレスをお聞きします。
・Web会議ツール（CiscoWebEXやZOOMなど）で、開催の説明等や簡単な解説までを行いますが、主催者およびチーム内で、良好なコミュニケーションをとっていただけるよう、よろしくお願いいたします。
・今後のカリキュラムや運営の向上のためにアンケートをお願いします。
・当日の感想をブログやfacebook、TwitterなどのSNSに投稿願います。投稿してもらえると、とてもうれしいです。※答えは書かないで欲しいです（お願いします）

当日の流れ

（１）タイムスケジュール（予定）

（２）Program0について

・自分のグローバルIPアドレスの調査をお願いします。→競技開始後、チーム単位で報告をしてもらいます。
・踏み台サーバへの接続テストをお願いします。

（３）Program1について

以下の点を説明します。

①冒頭あいさつ、趣旨の説明

このconnpassのサイトに書いてあるような、競技の主旨を簡単に説明します。→「楽しく」やりましょう！

②競技の簡単な説明　

・競技用のサーバ群の接続先、アカウント情報を説明
　→画面にて、競技用のサイト、FortiGate、踏み台サーバからAPサーバへのログインを実演します。
　※注意点：FortiGateや踏み台のWebサーバは、複数の人が同時に入るとキャパシティの関係で接続できない可能性があります。その場合、グループで1人のログインをお願いしたり、IPアドレスで制限させてもらう場合があります。
・CTFのサイトをオープンします。
　競技開始後、みなさんには、このあとの（４）の手順に従い、ユーザアカウントを作成し、チームを作ってください。
・Flagの入れ方は、flag{abc} とはせずに、答をズバリ入れてください。（「フラグ入力のテスト」問題で実演します）

③競技開始後の説明

・1チーム4名によるチーム戦ですので、ブレークアウト機能でチームの部屋に分かれてもらいます。
・チーム内で軽く自己紹介などのコミュニケーションを取ってください。（チームで協力して進めていただくよう、お願いします。）
・ユーザ登録をして、チームに参加してください。（手順はこのあとの（４））
・ログインできた方から、CTFの競技を開始してください。
・（必要に応じて、）チーム内でグローバルIPアドレスをまとめ、チーム名とともに報告してください。（途中から送信元IPアドレス制限をかけます）

④スコアを競うことを第一義としていません！

冒頭にも記載しておりますが、WEST-SECの目的は、「相手と競う「競技」というよりは、みんなで学ぶ「学習」」です。チーム内の誰かが解いた問題であっても、皆さん全員が自分で考え、解いていただくことを期待しています。
チームで問題を解いた方は、解けていない方へのフォローやアドバイスをお願いします。

⑤アンケートのお願い

提示するアンケートURLにて、アンケートのご協力をお願いします。

（４）ユーザおよびチームの登録

https://west-sec.com/entry　のページも参考にしてください。
①主催者から案内するCTFのURL（当日に案内します）にアクセスしてください。
②右上のRegisterボタンでユーザ登録をしてください。
　※メールアドレスはダミーをお願いします。
③Registerからユーザ登録します。
④ユーザ登録後、Join Team でチームに参加してください。
チーム名は、team1、team2、・・・となっています。チーム番号は、ブレイクアウトループの部屋番号と同じで、パスワードは指示されたものを使ってください。

申し込みに関して

・チームで参加をされたいとしても、全員のお申し込みが必要です。（代表者1人だけではありません）
・同じチームになりたい場合は、共通の3文字を付けてWeb会議システムに参加してください。たとえば、abc_Suzuki、abc_Sato、abc_Katoといった感じです。それを見て、同じチームに振り分けます。

過去のWEST-SEC開催履歴

主催メンバー

・粕淵 卓（特技はUTMと情報処理技術者試験）
・谷口 貴之（OWASP Nagoya所属、CISSP）
・藤田 政博（セキュアプログラミングの作問担当）
※セキュリティに長年携わるメンバーです。

協力メンバー

・宮本 久仁男（アドバイザー，作問協力）
・T.Suzuki（作問協力）
・DustInDark（作問協力）

後援

・OWASP Nagoya Chapter
　　Webアプリケーションのセキュリティを学びたい方には、OWASP top 10をオススメします。
　　OWASP top 10
・Palo Alto Networks
・エムオーテックス株式会社 （MOTEX Inc.）
※順不同