CTF for GIRLS発起人
中島 明日香 氏
1990年生まれ。サイバーセキュリティ研究者。2014年に日本初となる女性セキュリティコミュニティ「CTF for GIRLS」を発起人として設立・運営。著書『サイバー攻撃』(講談社ブルーバックス/発行部数約2万部)。2021年には、セキュリティ分野における世界トップレベルの産業系国際会議「Black Hat USA」のREVIEW BOARD(査読者)に就任。第十五回情報セキュリティ文化賞受賞。サイバーセキュリティに関する総務大臣奨励賞 個人最年少受賞。Twitter: @AsuNa_jp
「CTF for GIRLS」とは?情報セキュリティ技術に興味がある女性を対象に、気軽に技術的な質問や何気ない悩みを話し合える場を提供することを目的に立ち上げられたコミュニティ。
コミュニティ形成の一環として女性同士で情報セキュリティ技術を教え合うCTFワークショップや、女性向けCTFイベントを開催している。
今号の巻頭特集は、いつもとは趣が異なる内容をお届けします。取り上げるのは、情報セキュリティ技術に興味がある女性を対象としたコミュニティ「CTF for GIRLS」。本誌をご覧いただいている情報システム部門の皆さまは、ご自身の情報セキュリティ技術をどのように磨いていますか?なかには情報セキュリティの勉強会やコミュニティに参加して、情報交換されている方もいらっしゃるのではないでしょうか。そのようなコミュニティの一つ「CTF for GIRLS」の特徴は、女性しか参加できないことです。
近年、教育や職業などあらゆる場面でジェンダーフリーが進み始めていますが、情報セキュリティの世界はまだまだ男性社会。SKYSEA Client Viewの開発やサービス担当者も男性が中心です。そんななか女性の情報セキュリティ技術者や、これから情報セキュリティの世界に進みたい女性をバックアップする「CTF for GIRLS」には以前から興味がありました。そこで取材を申し込んだところ、ワークショップの見学を兼ねて取材できることに。
「CTF for GIRLS」発起人の中島明日香氏に、情報セキュリティの世界で女性が当たり前に活躍できる世界を目指す活動についてお話を伺いました。女性の情報システムご担当者はもちろん、ぜひ男性の皆さまもご一読ください。
CTFは「Capture The Flag」の略で、セキュリティコンテストやハッキングコンテストと呼ばれる情報セキュリティの技術を競うイベントです。主にクイズ形式と攻防戦形式が用いられ、クイズ形式ではネットワークやWeb、電子データの法的な証拠保全のためのコンピュータフォレンジックなど、情報セキュリティに関する幅広い内容が出題されます。例えば、Webサイトに仕掛けられた脆弱性を攻略する設問では、埋め込まれた多様な脆弱性を参加者が攻撃することで答えとなるFlagを獲得します。また、悪意あるコードを用いてバッファオーバーフローなどソフトウェアの脆弱性を攻略する問題が出ることも。
クイズ形式と攻防戦形式では、大会の形式に大きな違いがあります。運営から出題された問題を解析・攻略し、答えとなるFlagを見つけて得点を得るのがクイズ形式。それに対し攻防戦は、運営から全チームに脆弱性のあるサーバが与えられます。各チームはそのサーバに対してパッチを当てながら守りつつ、攻撃コードを使って他チームのサーバに攻撃を仕掛けて得点を得るという、まさに攻防戦が繰り広げられるわけです。主に、予選ではクイズ形式、本戦では攻防戦形式が採用されます。
私は学生時代から情報セキュリティに関わってきました。当時からCTF以外にもさまざまなイベントや勉強会に参加してきましたが、参加者はいつも男性ばかりで女性は私だけだったこともあります。なぜここまで女性の参加者が少ないのかを考えるうち、次第にこの状況を生み出しているのは男性ばかりの会場に出向くことが女性にとっての心理的な障壁になっているからではないかと思うようになりました。また、情報セキュリティの世界は女性には向かないという先入観を女性自身が持っているのではないか。さらに思い切って飛び込んでみたら予想以上に目立ってしまうことに居心地の悪さを感じているのではないかと思うようになります。そのような心理的な問題を和らげ、情報セキュリティの世界で思う存分活躍してもらうために立ち上げたのが、女性限定のワークショップコミュニティ「CTF for GIRLS」です。
実際に行動に移す前からずっと、どうしたら現状を変えていけるのかを考えていました。海外の文献に「男性の世界だと思われている場所で女性が活躍するためには、女性同士で教え合うことが効果的だ」と書かれているのを見て、私もそのような場を提供したいと思い始めたとき、韓国に女性限定のCTF「Power of XX」が存在していることを知ります。そして、日本でも同様のコミュニティを立ち上げたいと考えていることを周囲の人に伝え続けたところ、SECCON運営事務局の方からお声がけいただき「CTF for GIRLS」が立ち上がりました。
当初、身近には参加してもらえる人がいなかったためかなり苦労しました。そこで、SECCON運営事務局の方や知人から運営メンバーとして参加してくれそうな女性を紹介してもらい、実際にコンタクトを取ってみることに。すると10名ほどがぜひ協力したいと手を挙げてくれました。
まさにそのとおりです。当時のSECCON実行委員長には、全面的に応援していただきました。この方が女性が情報セキュリティの世界に進出することに賛同してくださったからこそ「CTF for GIRLS」を立ち上げることができたと思います。参加者も運営も女性限定のコミュニティですが、1回目のワークショップはさらに取材していただく記者や撮影者など外部の方も女性に限定しました。
一番大事なのは「CTF for GIRLS」の立ち上げではなく、このコミュニティの継続です。そのためには参加者に満足してもらうことが必要だと考えていました。それには1回目の参加者に、自分たちは話題作りのための見せ物にされたと感じられるようなことは絶対に避けたい思いがありました。しかし、取材する側の皆さんにも私たちの思いに共感してもらわなければ、珍しさが先行した話題作りの記事が公開されてしまう可能性もあります。そこで、イベントに関わる人すべてを女性に限定して開催しました。
情報セキュリティのワークショップに参加する心理的なハードルを下げるために、毎回参加者と同じ女性が講師を務めています。与えられた課題に対して気軽に質問できるだけでなく、自分の今後のキャリアや日ごろの業務での悩みも、同じ女性であれば気軽に相談できるのではないでしょうか。「CTF for GIRLS」は情報セキュリティを学ぶだけの場ではなく、そこに関わる女性のコミュニティとしてさらに発展させていきたいという思いがあり、今後も講師は女性に限定して開催する予定です。
ワークショップとCTFの開催です。ワークショップでは毎回1つのテーマを決めて、情報セキュリティ技術の講義と演習を行っています。2015年のCTFは日本の情報セキュリティを盛り上げるために何か特別なことをしてみたいと、女性ハッカーが主人公のSF漫画「攻殻機動隊」とのコラボレーションを実施しました。「攻殻CTF」と名付けたこの大会ではNICT(情報通信研究機構)から、今何が起こっているのかをリアルタイムで可視化するシステム「AMATERAS零(アマテラス・ゼロ)」が提供され、CTFを知らない人にも大会を楽しんでもらうことができました。「攻殻CTF」は3年連続で開催するほどの好評を博し、3年目には海外からも参加者を迎えることに。その後も世界各国の女性限定のコミュニティとコラボレーションして、情報セキュリティの国際会議の場で共同発表するなど、海外の情報セキュリティ技術者との交流が続いています。
ワークショップには、毎回100名前後の参加があります。今回(取材当日のワークショップ)は180名を超える申し込みをいただきました。初回は、完全にオフラインでしたが、途中、オンラインとの同時開催を経て、現在は新型コロナウイルス感染症の影響からオンラインのみで実施しています。オフライン開催時の参加は東京の会場に足を運べる方に限定されていましたが、オンラインでは地方にお住まいの方や子育て中の方にも参加していただけるようになり、参加者の幅が広がりました。
もちろん、自分の技術力を磨くために参加している情報セキュリティ技術者もいますが、情報セキュリティに関する情報収集や勉強目的で参加される方も多いです。参加者の業種や職種はさまざまで、異業種交流を目的に参加されている方もいらっしゃいます。
情報セキュリティに関する知識がゼロの状態で参加いただいても、まったく問題ありません。「CTF for GIRLS」は、情報系・IT系の初心者でも楽しめるように、初歩の初歩、イロハのイからご説明します。技術者以外にはなじみのない用語についても講義の中で説明しますので、例えば「16進数」をご存じなくても問題なく参加していただけますし、もちろん、質問は随時受けつけています。オフラインで実施していたときには、手が挙がった参加者の元へすぐに向かえるよう、演習中には7名くらいのスタッフが常時待機して質問に対応していました。オンラインになってからは役割を分担し、問題ごとに質問回答担当者を配置して、すべての質問に回答できる体制を整えています。私たちは「CTF for GIRLS」を技術者のためのコミュニティとしてだけでなく、情報セキュリティに関わる女性を増やすための場だと考えていますので、今後も初心者の方に寄り添っていく姿勢が変わることはありません。
ぜひお待ちしています。初心者向けの問題は、ツールを動かせば答えが出てきますし、講義で使う資料は後からの復習にも役立ちます。ワークショップは年に数回行っていまして、昨年は3回実施しました。参加者からは「説明が丁寧でわかりやすかった」「資料がわかりやすい」「問題が面白かった」と好評です。また、女性同士だからこその安心感があるという話も伺いますし、情報システム部門の皆さんのご参加をお待ちしています。
実は、そういったお声も耳に入っていまして、これから活躍する若手のメンバーにもっと前面に出てもらう企画を進めていきたいと考えているところです。本業が忙しくなかなか進んでいませんが、多くの方が参加しやすくなるよう運営スタッフとともに広報活動にも力を入れていきます。
女性のIT技術者はWebデザインの分野には多いのですが、情報セキュリティの分野はまだまだ男性社会です。そして、大学で情報セキュリティを学べる研究室が少なく、そこに所属できる人数が限られてしまうことも女性の情報セキュリティ技術者が少ない要因だと思います。そして、理系科目の教師には男性が多く女性が教えるイメージがない、そもそも女性は理系が得意ではないと思っている方も多いのではないでしょうか。米国のコロラド大学とカールトン・カレッジの共同研究によると、この現象は幼少期に与えられる玩具に理由があるともいわれています。多くの場合、男の子にはコンピューターゲームや積み木、パズルなど組み立て式の玩具、女の子には人形やままごとセットなど、コミュニケーション能力を養う玩具を与える傾向にありますが、これは世界的にも共通です。今、理系に進む女性を増やすために就学前の女の子に理系の玩具を与えようとする動きもあって、何年か後には情報セキュリティの世界を目指す女子学生が増えてくれたらと思います。
私たちよりも1世代前の情報セキュリティ業界は、女性は本当に一握りで、さらに、その女性がものすごく強くならなければ生き残ることができませんでした。しかし、それは間違っていると思います。本来、普通に入って普通に働き普通に過ごせることが当たり前になるべきです。私たちが最終的に目指しているのは、女性・男性を意識することのない世界を作り、女性が当たり前に情報セキュリティの世界で活躍すること。そして、「CTF for GIRLS」が必要なくなった世界です。
いろいろありますが、一番は大きなやりがいを感じられるところでしょうか。私たちのようにソフトウェアのセキュリティ的に弱い部分を見つける存在がいなければ、サイバー攻撃の被害は今よりもっと増えているはずです。実際に皆さんが使っている有名なソフトウェアの脆弱性を発見して修正した際には「世界中の何百万人に使われているソフトウェアの安全を守ることに貢献できた」と誇りに思えました。もちろん、技術的な面白さもあって、脆弱性の攻略の場合、パズルや謎解きゲームのような感覚で取り組めます。また、情報セキュリティはネットワークやソフトウェアなどITに関するあらゆる分野を学ぶ必要があり、知識が増えていくことに喜びを感じられるところも魅力です。
短期的には、コミュニティの幅をさらに広げていきたいと考えています。具体的には、ワーキングマザーや地方にお住まいの方の参加をさらに増やしたり、海外で展開されているコミュニティとのさらなる協力体制の強化です。長期的には、運営から私や現在の中心メンバーが外れても、問題なく機能する持続可能な組織へ成長させていきたいと思っています。すでに今日のワークショップの準備も、私がこの取材を受けている間、ほかのメンバーに安心して任せられるようになっていますので、そろそろ私がいなくても大丈夫かもしれないと思うようになってきました。
さらにもう一つ、とても重要なのがロールモデルの輩出です。私だけが目立つのではなく、「CTF for GIRLS」の多くのメンバーがどんどん表に出てその活躍に注目が集まることが、情報セキュリティの世界で次の世代の女性たちが当たり前に活躍するためには必要だと考えています。先ほども言いましたが、究極の目標は私たちのような存在が要らなくなる時代が来ることです。
何か新しいことを始めようとするとき、「ハードルが高そう」とか「興味はあるけれど自分には無理かも」「周りの目が気になる」と感じるのは女性に限らず男性も同じです。私はいつもそのようにためらっている方には「人生は一度きりだから、目の前にあるチャンスをつかみましょう」とお伝えしています。「CTF for GIRLS」の立ち上げも、夜中の11時に突然「今、女性限定のSECCONについて話しているんだけど来ない?」と飲み会の場に誘われ、電車とタクシーを乗り継いで駆けつけた勢いそのままに「やりたいです!」と伝えたところから実現しました。やりたいことがあるなら、まずは飛び込んでみてください。「迷っているならやるしかない」これが私から皆さまへのメッセージです。
(「SKYSEA Client View NEWS vol.87」 2022年11月掲載 / 2022年9月オンライン取材)
テレビCM
SKYSEA Client Viewコラム
