実践的な研修で技術的スキルを身につける！

まず、CTFへの参加意義を同じくセキュリティビジネス担当の池田 優奈に聞きました。池田はNTTデータフィナンシャルテクノロジーからNTTグループCTFに参加する人のフォローを担当しています。過去のNTTグループCTFには自身も参加し、全社員に向けて参加報告をするなどしてCTFを社内に広めてきました。

池田：CTFの良い点は、サイバー攻撃の手法を実際に操作しながら学べる点であると考えています。セキュリティ初心者が各種攻撃を具体的に理解するには、机上の学習だけではなく、実機操作を通じて学び、より理解を深めることが重要です。セキュリティビジネス担当では、セキュリティ初心者の登竜門的な位置づけでCTFへの参加を推奨しています。各団体が主催しているCTFへの参加を促すとともに、年に1度開催されるNTTグループ内CTFに社内研修として参加する人を募集。

セキュリティ初心者は、ベテランメンバーと同じチームでいつでもフォローを受けられる体制のもとエントリーしています。解き方を相談したり、難しさを共有したりできるチームメンバーが近くにいるので学びの効果がより高まります。

セキュリティビジネス担当では担当発足の2020年から毎年CTFに参加してきました。参加報告を都度社内発信し、社内にCTFが浸透してきた結果、2024度はセキュリティビジネス担当からの参加だけでなく、全社から計29名が参加。2024年度は、セキュリティ領域での業務に専従している人だけではなく、システム開発やシステム運用などさまざまなバックグラウンドを持つ人が集まり、得意分野を活かして優秀な結果を残しました。参加者が増加していることから、全社的にCTFおよびサイバーセキュリティへの関心が高まっていることがうかがえます。

昨今のシステム開発においてセキュリティ対策は必須であり、事業部・担当の垣根を越えてセキュリティを語り合う仲間が増えていることはたいへん喜ばしいです。また、CTFの魅力として、個々の技術力を客観的に評価・確認できる機会であることが挙げられます。得点や順位といった明確な指標により、自身のスキルレベルを可視化できるため、自己研鑽やスキルの腕試しとして参加しているという社員の声も聞かれました。

2024年度のNTTグループCTFには、セキュリティビジネス担当からはCTF初心者である柏葉と長崎が参加しました。柏葉は2024年4月にキャリア採用で入社し、セキュリティ領域の業務に約3年間従事しています。NTTグループ内CTF参加に自ら手を挙げた理由をこう語ります。

柏葉：セキュリティ領域でのキャリアは短いですが、顧客の高い要望に迅速に対応することが求められており、知識・経験の不足が課題となっていたため、補える機会にはなんでも挑戦したいと思っていました。過去の参加者から話を聞いてCTFに興味を持っていましたが、難易度の高いCTFに参加した人の話から、少し敷居の高さを感じていました。

しかし、NTTグループCTFは事前解説動画や事前学習問題があると聞き、敷居が少し低く感じられたので挑戦してみようと思いました。

長崎は2024年4月に新卒採用で入社しました。大学時代は理学部専攻であり、現在はセキュリティシステムの開発工程で詳細設計に従事しつつセキュリティの専門知識の向上にも積極的に取り組んでいます。NTTグループ内CTF参加に自ら手を挙げた理由とは。

長崎：資格勉強を通して机上での学習はしていますが、実機操作を通してセキュリティの技術的な部分を学習できると思い参加を決めました。また、全社的なイベントに参加して自担当以外の人とコミュニケーションを取れることもおもしろそうだと感じましたね。

当日はまず、チームメンバー内で割り振ったカテゴリの問題にそれぞれ挑戦しました。参加してみた率直な感想を2人はこう語ります。

柏葉：まず、事前学習において複数の問題に挑戦でき、また解説もわかりやすかったので、とても有意義な学びを得ることができました。しかし、当日は事前学習問題と当日問題の傾向が異なる部分に少し戸惑いました。事前学習問題はカテゴリに特化した問題が多かったのですが、実際の問題は複数カテゴリが混在した問題となっており、多角的視点から解を考える必要があったんです。

一筋縄では解決できず苦戦を強いられましたが、チームのベテランメンバーに相談してアドバイスをもらったことも功を奏して問題を解くことができました。

また、苦戦とは少し違いますが、他のチームの人や自分のチームの人など、周りがどんどん問題を解いて得点を重ねている中で、自分が正解できない間は焦燥感を抱きましたね。

長崎：普段の業務では使わないフォレンジックツールを初めて操作し、ツールの基礎的な使い方やツールで調査・解析できる具体的な内容を理解できました。ツールの使い方を知っているか知らないかがCTFでは命運を握っており、知識不足を痛感しました。

今回は1つのカテゴリに集中して取り組みました。低得点の問題から順に解き、高得点の問題が解けた時は嬉しかったです。一方、最高得点の問題を解こうと挑んだのですが、調べても具体的な解き方がわからず、何から手をつければいいかわからなかった時は悔しさを感じました。

自担当以外の人がそれぞれ別の分野で高得点問題を解いており、社内に各種専門領域に特化した人がいることを目の当たりにできたのはおもしろかったですね。また、懇親会の場ではその人にフラットに質問したり、会話したりできて楽しい時間になりました。

最後に、柏葉と長崎がそれぞれCTFに挑戦して得たもの、そして今後挑戦したいことを語ります。

柏葉：CTFに挑戦することで、理論だけでなく実際のセキュリティインシデントの調査スキルを身につけることができました。1つの問題についてさまざまな方法で解決を試みることで、問題解決能力が向上したように思います。知識やスキルを身につけてから、別のCTFにも挑戦してみたいです。また、得た経験・知識を業務で活かすとともに、最新技術や脅威動向の理解にも努めていく所存です。

長崎：Windowsのディスクイメージなど、机上で得ていた基本的なIT知識を、実際に見て調査することで、身に定着する知識として習得できました。また、今回の挑戦を通して、自分の得意な分野や不得意な分野を知ることもできました。1つの知識が問題解決の突破口になることを痛感し、これからも知識を積み重ねていく必要があると再認識しましたね。今回メインで取り組んだカテゴリ以外にも挑戦したいと思っています。

※ 記載内容は2025年4月時点のものです