「8割解けるCTF」をコンセプトにしたWEST-SEC CTFを久しぶりに開催！

誰でも参加できるWEST-SECを久しぶりに開催します。問題は、過去に出した問題や類似問題も出題されます。
ある程度のセキュリティの知識があれば、8割を正解できることを意識して作問しています。セキュリティ初学者でも楽しめるような作問を意識しますが、完全なセキュリティ初心者だと解けても4割くらいだと思います。
今回は個人戦とし、チーム戦ではありません。

WEST-SEC CTFの内容

WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF（Capture The Flag）といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。

出題テーマ

セキュリティを広く学べるようにしており、主な出題テーマは以下です。
　-企業がセキュリティ対策として知っておくべき基本用語　
　-暗号、認証、ディジタル署名を含むPKIの基本技術
　-SQLインジェクション、ディレクトリトラバーサル、ブルートフォースなどの攻撃手法
　-DNSやメールサーバなどの、セキュアな設定
　-ログ解析　※実際のログを解析してもらいます。
　-バイナリ解析
　-ITの基礎知識　～パケットキャプチャ含む
　-UTMの設定の確認　
　-クラウドセキュリティ
　-インシデント対応の考え方
　-脆弱性管理、ポートスキャン
　-セキュリティに関する法律　　など

※WEST-SECで準備した数ある問題の中から、制限時間とのバランスを見て出題する問題を選択します。1回の出題としては、これら全てが出題されるわけではありません。

従来のCTFとの違い

CTFdのツールを活用していますが、内容や難易度は従来のCTFとは異なります。

違い①難易度

SECCONなどのCTFは非常に難易度が高いです。一方、WEST-SECのCTFは、難易度がかなり低く、ある程度のセキュリティの知識があれば、8割を正解できることを意識して作問しています。

違い②内容

CTFはプログラミング技術やLinuxのコマンドを駆使したりして、フラグを見つけるものが中心です。WEST-SECのCTFでは、基本的なセキュリティ用語を学ぶため、単純な知識問題もたくさんあります。また、一部、コマンドを投入したりWiresharkを見たりすることもありますが、その場合でも高度な技術スキルが求められるわけではありません。

参加対象者

特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方　（※学生さん大歓迎）
・セキュリティの仕事に携わっているが、実践的な経験が少ないので少しでも経験してみたい方
・CTF（Capture The Flag）には興味があるけど、本家のCTFは敷居が高すぎて・・・という方
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方
→つまり、非エンジニアの方、セキュリティの初学者、大歓迎です！

必要なもの

・ブラウザ（Google Chromeなど。IEやEdgeは非推奨）が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。
・Web会議ツール（Teamsなど）の環境。
・TeraTermなどのSSHに接続するツール（無い場合は一部の問題を解くことができません。）
・パケットキャプチャのソフトであるWireshark（　〃　）
・ご自身のグローバルIPアドレスを主催者へ通知

お願い

・CTFに始めて参加される方は、以下のサイトをサラリとご確認ください。当日は超簡単な説明にとどめさせてもらいます。
https://west-sec.com/entry
・CTFのサーバそのものおよび、一部のサーバへのアクセスは、送信元IPアドレスを制限させていただきます。参加者のPCに割り当てられたグローバルIPアドレスをお聞きします。
・研究データとしても活用するためのアンケートをお願いします。
・WriteUP（CTFの答え）を書くのは禁止です。（お願いします）
・申し込み時のIDでCTFにログインします。IDをお忘れなく！

作問のご協力をいただける方へ

・作問をいただける人は、「イベントへのお問合せ」から連絡をください。
・作問時の注意点として、以下を確認ください。
https://west-sec.com/make_west-sec#4%E4%BD%9C%E5%95%8F%E8%A9%B3%E7%B4%B0
・作問に関しては、WEST-SECの粕淵が集約します。是非、たくさんのご提供をお願いします。私への連絡手段はメールかDiscordの予定です。
・8割解けるがコンセプトです。難易度は、SECCON BeginnersのEasyレベル以下にしてください。難しい問題は、本CTFにはそぐわないので、採用されることはありません。
・問題に関しては、本イベントに合わせて微修正していただくことがあります。多くの場合、「問題が難しすぎる」「問題の意図がわかりずらい」などのご指摘になると思います。また、採用されない場合もありますので、ご理解をお願いします。
・Flag形式は自由とします。
・CTFのスコアサーバは、WEST-SECがAWS上に構築します。スコアサーバ以外に、作問者側でサーバを用意いただき、そこに問題を配置してもらって構いません。サーバを事務局側で用意することも可能です。セキュリティは高くなるのと、不足の事態のときの対応が我々では難しくなりますので、個別に相談です。
・解説も準備願います。フォーマットはWordを希望します。わかればいいので、簡易なもので構いません。
・Good作問の表彰をします。参加者へのアンケートで、上位3名の方を表彰させてもらう予定です。※副賞や記念品等はありません。申し訳ございません。

生成AIの利用に関して

・ルール上、使ってもらうのは問題ありません。
・ただし、生成AIに答えを聞いてしまうと、本来の目的であるセキュリティの学習になりません。答えをストレートに生成AIに聞くのは避けてもらうようお願いします。

当日の流れ

（１）タイムスケジュール（予定）

主催メンバー

・杉本 光平（NTT西日本/セキュリティエンジニア）
・池田 奎吾（NTT西日本/セキュリティエンジニア）
・生駒 一浩（NTT西日本/セキュリティエンジニア）

見学

・粕淵 卓（WEST-SEC主宰）