fbpx

脆弱性診断技術やサイバーセキュリティの最新情報を発信セキュリティブログ by イエラエセキュリティ

【DEF CON 31 出場の裏側 | 後編】チーム力と個々の力により成し遂げた世界一の栄誉

【DEF CON 31 出場の裏側 | 後編】チーム力と個々の力により成し遂げた世界一の栄誉

更新日:2024.01.24

※こちらは後編となります。前編では、参加のきっかけや当日の様子について聞いています

前回に引き続き、2023年「DEF CON」に参加したエンジニアに迫る本記事。後編では、GMOサイバーセキュリティbyイエラエ株式会社(以下、GMOイエラエ)が「Cloud Village CTF」1位、「CMD+CTRL Cyber Range CTF」2位という好成績を残せた要因や、参加しての感想をお聞きしました。

勝因は、すばらしいエンジニアたちの密なコミュニケーション

―「Cloud Village CTF」1位、「CMD+CTRL Cyber Range CTF」2位という素晴らしい成績を残されて、どんな感情を抱きましたか。

牧田:会社としては世界で一番大きい大会で優勝したことで、世界一がただの事実になった。自分たちが決めた目標をその通りに達成できたこともやっぱりすごく大きいですね。パートナー※のみんなは「自分たちができることは変わってないから何も変わらないよ」って思うかもしれないけど、僕は大きな意義があったと思います。Webの方にみんなが来てくれたのが競技時間の半分を過ぎた頃で、それでも2位、もう少しで優勝ってところまで行けたので、最初からみんなでやっていたら1位を取れたと思います。しかもWebの1位のチームは5〜6年くらい毎年参加している、アメリカでペネトレーションテストを行っている会社の連合チームでした。そういう人たちとも互角以上に戦える、つまり世界レベルで見ても自分たちの会社は力があることがわかって自信になりました。
※GMOインターネットグループでは、社員のことをパートナーと呼んでいます

渡部:同じ会場で「DEF CON」の本戦をやっていたのですが、あっちは総合力が求められるし本当に難しいんですよね。でもGMOイエラエからも何人か出場していて、自分も本戦に出れるようになりたいと強く感じるきっかけとなりました。他にももっと難しい問題が出る大会があれば、どんどん挑戦していきたいと意欲にもつながったと感じています。

安里:今回CTFへの参加は初めてでしたが、みんながDiscordで自分がどう考えてどのような攻撃をしたのかを共有してくれるので、すごく楽しめました。1位・2位を取ったことはすごいことですが、それよりも参加したこと自体での学びがとても多かったと感じています。また、普段の仕事は基本的に部署で完結していて他の部署の人と何かをすることはあまりないので、他部署の人との交流という意味でもとてもよい経験ができました。

ルスラン:GMOイエラエには素晴らしい参加メンバーがいるので、勝つこと自体は驚きではありませんでした。それよりも、自分にとって勉強になることが多くて楽しかったという感情が残っています。CTFはそんなに好きな方ではありませんでしたが、みんなで参加したことで非常に多くの学びを得られました。CTFで見た、今まで知らなかったものやそこから得られた知見を使ってお客さんにさらに貢献したり自分のスキルを高めたりすることにつながればいいなと感じています。また、GMOイエラエにはいろんな部署にいろんなエンジニアがいて、それぞれに得意分野があります。部署を飛び越えて特定の分野に得意な人を集めて案件を進めるような部門間連携にも取り組みたいですし、そのためにはこれからもCTFに参加して、いろんな部署の人が集まってひとつのことに取り組む機会を作っていければとも考えています。

DEF CON当日。代表の牧田と渡部

―このような好成績を残せた勝因は何だと考えていますか。

渡部:みんなが情報を共有したり面白いものや発見があったらそれを書き込んだりしていたことが、アイデアが広がるという意味では大きかったのではないかと思います。普段の仕事でも、1人で黙々とやっている時と誰かと情報共有しながらやっている時だと効率が全然違うんですよね。進め方に悩んでいても、誰かが見つけたものをきっかけに「これと組み合わせたらできるんじゃないか」とひらめくことがよくあります。なので、ちょっとした気づきの共有をし合えていたのは大きいのかなと感じています。

牧田:手前味噌ですが、GMOイエラエはもともと、野球でいうところの4番バッターが20人くらいいるような会社です。普通は会社に1人2人いれば十分すごいんですけどね。そして彼らの得意分野もそれぞれ少しずつ違います。そんな人たちがお互いにコミュニケーションをとって協力すれば、強くないはずがないんですよね。

ルスラン:そうですよね。みんながそもそもすごいので、前提知識やスキルがたくさんあります。そのみんなの能力のおかげで勝てたのだと思います。

牧田:本当にみんなすごいよね。

ルスラン:そもそもセキュリティアセスメントだけやっている会社はアメリカには多いですが、日本には何社かあるくらいですしね。そのため所属しているエンジニアも多くないので、GMOイエラエのように会社全体で参加するのは難しいのではないかと思います。

自由に、楽しく、レベルを上げていく

―CTFに関連して、今後の目標は何かありますか。

牧田:これからもレベルを上げていくことです。でもまずはみんなに楽しんでほしいと思っています。そして社長だけど僕も楽しんでいきたいですね。CTFに出て問題を解くのはやっぱり楽しいですし、発見や学びも多いです。CTFは先進的な技術が使われる場でもあるので、CTFでやったことが数年後に案件で出てきたケースも過去に何回かあります。このようにビジネス的な意味でも有益なので、会社としてはこれから力を入れていきたいです。お金もかけていくし、もちろん成果を出せばきちんと評価もして、いろんな形でCTFへの挑戦を応援していきたいと考えています。

安里:牧田さんからもあったように、CTFで出た問題やその場で調べて検証した過程で学んだことが実際の業務で出てくることもあるし、逆に業務で学んだことがCTFに活きることもあるなと今回の出場で感じました。自分のスキルアップだけでなく顧客貢献にもつながるので、ぜひこれからも挑戦したいです。そしてこれまで参加する機会がなかったGMOイエラエのパートナーにも参加してもらえたらと思います。

牧田:安里くんという良いロールモデルもできたしね。やるまでは心理的ハードルがあるけどやってみたら楽しいですよね。

安里:正直に言うと強い参加メンバーがいる中に素人が入っていくのはすごくハードルが高かったですけど、今回は少し勇気を出して参加しました。その結果多くのものを得られたのでほかの方も興味があれば勇気を持って参加していただきたいですね。

渡部:GMOイエラエとして大会に出る活動自体は今年が初めてでしたが、こうしてみんなで話し合って出場するCTFを決めて、その大会で上位を狙っていくことは来年も再来年もやっていくことになるでしょうし、やっていきたいと思っています。個人的には先ほどもお話ししたように、「DEF CON」の本戦にも挑戦したいです。でもそのためにはもっと頑張らないといけません。ほかのCTFでも予選があって本戦があることが多くて、本戦は参加できる人数が決まっていることも多いです。そのような限られた人しか行けない場でもきちんと活躍できるようになりたいです。そのためにも、もっといろいろと学びたいです。

ルスラン:1位を取ることももちろん大事ですが、会社としてはいい成績を取るだけでなくて「積極的にこういうイベントに参加しています」とアピールしていく必要性も感じています。別に毎回1位を取れなくてもみんなの勉強になるので、社内外にCTFへの参加をアピールしつつ、これからもみんなで取り組んでいければと思います。

牧田:とはいえ、これを義務化はしたくないんですよね。実際に参加するための条件もなければ逆に強制もしていませんが、義務感からではなくて純粋に楽しいから取り組んでもらいたいと思っています。今年はコロナ禍の影響で2019年から実績が更新されていなかったこともあったので、世界一獲りに行くという目標を立てて達成してもらいましたが、みんなが自主的にやったところが素晴らしいですよね。

渡部:今回も、たとえば2日あるとして1日しか出られない人や数時間しか出られない人も参加していたし、これからもそんな風に参加したい人が参加できるタイミングで自由に参加する形でやっていけたらいいですよね。

ルスラン:会社としてではなく各々で参加することにも反対していないですし、むしろ個人での参加もサポートしているので、自由に参加してもらえるとうれしいですね。僕自身も、「自分が守りたいお客さんに良いサービスをすること」をミッションとしていて、CTFや日々の勉強などを通じてまだまだスキルを磨かなくてはいけないと考えているので、これからも挑戦していきたいです。

― 楽しみながら、上を目指す。とても素敵すね。みなさん、ありがとうございました!

前編/後編の2回に分けて、「DEF CON」参加の裏側をお伝えしてきました。今回好成績を残すことができましたが、ここで満足せず、さらに上を目指していきます!

前編:【DEF CON 31 出場の裏側 | 前編】みんなの力を合わせて取り組んだ3日間

セキュリティ診断のことなら
お気軽にご相談ください
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

関連記事

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか