Linkedin And Facebook Post Shutterstock 1008873349 RT1

近年注目の高まるサイバーセキュリティ業界。転職市場でも、サイバーセキュリティ関連職への転職を考える方が多く見られますが、転職をよりスムーズに進めるためにもサイバーセキュリティ関連の資格を取得することをおすすめします。

以前「OSCPとは?効果的な勉強法を徹底解説」の記事で、セキュリティ分野における難関資格「OSCP」の試験内容や効果的な勉強法について詳しく解説しましたが、今回はクイズゲームのように楽しく競い合うコンテスト、CTFについて詳しく解説します。

平均年収が高いサイバーセキュリティ業界とは?転職に活かせる経験やスキルもご紹介

CTFとは

CTFとは、「Capture The Flag」の略で、旗取りゲームのことを指します。試験では、情報セキュリティの知識を用い、何らかの方法で隠された文字列(Flag)を見つけ出し、提出すると得点となります。専門知識や高度な技術が求められる情報セキュリティ分野の敷居を下げ、楽しみながらスキルアップを目指すことの出来る大会として、情報セキュリティ分野でのキャリアアップを目指すプロフェッショナルに人気のイベントとなっています。

CTFには個人戦と団体戦があり、団体戦のイベントの中で有名なものにはアメリカで開催されるDEFCONが挙げられます。国内ではSECCONが有名で、CTF初心者向けのSECCON Beginners CTFや、女性をターゲットとしたCTF for Girls と共に毎年開催されています。

大会のルールとしては、クイズ形式で制限時間内により多くの問題を解いて得点を獲得した個人やチームの勝ちとなり、高得点を取ることで情報セキュリティ人材として評価されやすくなります。近年では、多くの企業で潜在するセキュリティ人材の発掘や、人材のスキルアップの目的として自ら開催するケースも増えています。

 

CTFの基本ルール: (SECCONの例)

制限事項: 24時間

参加資格: なし(国籍・年齢・性別問わず)

検索: オンライン・オフラインどちらも可能

禁止事項: 他者とのFLAG・解法・ヒントを共有すること

 

後述しますが、CTFの大会内容は非常に広範囲をカバーするため、勉強する中でセキュリティ分野だけでなくIT全般に関する幅広い知識を身に着けることができます。

 

CTF参加のメリット

・情報セキュリティに関する幅広い知識が身に着く

・総合的なIT知識が身に着く

・実践的なスキルが身に着く

・トラブルシューティングの際に必要な勘が身に着く

・現在の企業、転職の際のアピール材料となる

CTFの大会内容

CTFの大会では、情報セキュリティに関わる技術を利用して様々な問題を解いていくことになります。出題範囲は非常に広く、大きく分類すると、PWN、Crypto、Reversing、Webなどのジャンルが含まれます。

 

  • PWN-プログラムの脆弱性を突く問題
  • Crypto-暗号文の問題
  • Reversing-バイナリを解説する問題
  • Web-SQLやXSSを含むWebセキュリティに関する問題
  • PPC(Professional Programming and Coding-競技プログラミング
  • Forensic, Steganography, Network-データを抜き出す問題
  • Misc-上記以外の問題

 

このように、CTFには非常に幅広い分野の知識とスキルが求められます。そのため、CTFのために勉強することで、情報セキュリティに関する技術的な部分を深堀して理解することができ、仕事の幅も広がるといったメリットが期待できます。

 

CTFのおすすめ勉強法

前述の通り、CTFは幅広い知識が必要になるため、効率のよい学習方法を知ってから勉強を始めたいものです。基本的な部分としては、以下の知識を前提として持っておく必要があります。

  • プログラミング
  • Webアプリケーション
  • ネットワーク・OS
  • Linux・コマンド操作

 

基本は過去問・常設CTFを使った演習

CTF初心者・経験者どちらも基本的に過去問に取り組むことがおすすめです。もし問題を見て全く解法が分からない場合は解説を見ながら手を動かしましょう。

 

おすすめの無料過去問サイト

 

また、ウェブ上には常設CTF演習サイトやファイルなどもあり、無料で利用することが可能なものも多く存在します。

 

効率良く学ぶためには勉強会

CTFに参加すると決め、短期間で効率良く勉強したい場合は、勉強会に参加すると良いでしょう。SECCONでも定期的にワークショップを開催しており、東京や福岡、北海道を中心とした会場にて、もしくはオンラインで参加することが可能です。(スケジュールはこちら)。

また、SECCON以外にも初心者向けの勉強会の情報がWeb上に数多く掲載されているので、CTF初心者の方は特に、積極的に参加してみることをおすすめします。

 

仲間を集めてチームで役割分担をすることも可

CTFは個人戦だけでなくチーム戦も存在します。出題範囲が広く高度なスキルが求められる大会ですので、未経験の場合はチーム戦へ出場し、自分の得意な分野を集中的に学び、他の分野は他のチームメンバーに任せることをおすすめします。

仲間を集めるためには勉強会やSECCON主催のイベントに参加する、もしくは、情報セキュリティ系の会社に所属している場合、社内で集めることができます。チーム戦として参加した場合でも、個人戦と同様、転職活動などの際にはサイバーセキュリティ分野における知識をつけた人材として、評価されることが期待できます。

 

CTFの分野別学習の流れ

ここからは、前述したCTFの試験内容のうち、試験の主な部分を占める分野の学習方法について解説します。

 

PWN(Pwnable)

CTFで言うPWNとは、プログラムの脆弱性をつき、本来アクセスできないメモリ領域にアクセスして操作し、フラグを取得する問題のことを指します。実際の問題では、脆弱性のあるプログラム、もしくは実行しているサーバーに「ssh」や「nc」で接続しクラックしていくことになります。

PWNは、初心者にとって非常に難しい分野ではありますが、最初から自力で解くのではなく、回答・解説を読みながら手順の一つ一つを理解しながら解き進めていくことをおすすめします。セキュリティコンテストチャレンジブックなどの書籍や、ウェブ上の解説サイトを活用しましょう。後述するReversingなどの他の分野の知識も要求されるため、他の分野の学習をある程度終えてからPWNに取り掛かることをおすすめします。

 

Crypto(Cryptography)

Cryptoは暗号に関する問題で、簡単なものでシーザー暗号、難易度の高いもので数論に関する深い知識が求められます。ウェブ上には、Crypto Challenges Listなどの演習問題もたくさんあるので、これらを利用して学習を進めましょう。このCrypto分野を得点源としたい方におすすめの書斎としては、「暗号技術のすべて」などが挙げられます。

 

Reversing

リバースエンジニアリングに関する分野で、IDAやGhidra、gdbを用いた解析がメインとなります。ツールの使い方を取得することが必要となり、問題を解くことができるようになるまでの準備期間がかかるかもしれませんが、粘り強く学習を続けましょう。おすすめの書斎としては、「リバースエンジニアリングバイブル」などが挙げられます。

 

Web

Webセキュリティに関する問題で、クライアントサイドとサーバーサイドの問題を解くことになります。クライアントサイドでは、XSSやJavaScriptの難読化、サーバーサイドではSQLインジェクション、パストラバーサル、JWTなどのセッション関連やXXEなど、広範囲な知識が問われます。

Web上には、Burp suiteの開発元が無料提供しているWeb Security Academyという学習サイトがあり、このサイトではXSSやSQLiだけでなくXXEやSSRFなどのより複雑な脆弱性の解説や、無料のラボで実際にBurp suiteを使用しながら攻撃することができ、理論と実践を組み合わせた学習が可能となっています。その他には、「体系的に学ぶ 安全なWebアプリケーションの作り方 (第2版) 」などの書籍がおすすめです。

 

PPC

PPCとは競技プログラミングを指します。効果的な勉強方法としては、実際に競技プログラミングに参加することで、代表的なものとしてはTopCoderAtCoderyukicoder、また、GoogleやFacebookが主催するGoogle Code JamFacebook Hacker Cupなどが挙げられます。

競技プログラミングに参加するためにも、C++、Python、Java、C#、JavaScriptなどのプログラミング言語習得が必要です。

 

関連記事

 

Forensic

データから情報を抜き出しFlagを探す問題です。以下のようなサイトで、試験に必要な主なツールやテクニックを学ぶことができます。

 

 

CTF-まとめ

記事で解説した通り、求められる知識・スキルの分野が幅広く、ハードルの高い試験のように思われがちなCTFですが、このための対策学習によって高度なスキルを身に着けることができ、後々のキャリアアップに非常に役立つことが期待できます。

Computer Futuresでは、サイバーセキュリティ分野に特化したコンサルタントが皆さんの転職のお力添えをいたします。当領域への転職をご検討の場合はページ下部のフォームからお気軽にご相談ください。また、現在の求人情報をチェックしたい方は、下記のボタンから求人検索をご利用いただくか、お問い合わせフォームよりご相談ください。

最新の求人情報はこちら

スキルや経験を活かした転職をお考えですか?または高いスキルを持つ人材をお探しですか?Computer Futuresにお任せください。

このフォームを送信することで、弊社のプライバシーポリシーに沿って個人データが取り扱われることに同意したものとみなします。

キャリア 相談

キャリア相談ならComputer Futuresへお任せください 市場価値や必須スキルなど無料でお答え

仕事や人生設計の悩みは、一人で考えていても中々答えが出にくいもの。そんな時、キャリア相談により専門家からアドバイスを得ることで今まで気づけなかった新たな自分の側面に気づくことが出来ます。今回は、キャリア相談を受けるメリットや具体的な相談の流れ、費用などについて解説します。

キャリア相談ならComputer Futuresへお任せください 市場価値や必須スキルなど無料でお答え

【コンサルタントに聞いた】2023年おすすめセキュリティ関連資格11選

今回は、当社でサイバーセキュリティ領域におけるエンジニアポジション・セールスやマーケティング等のコマーシャル職の採用・転職サポートを行うコンサルタントに、実際に転職の際に役立つ資格についての話を聞きました。

【コンサルタントに聞いた】2023年おすすめセキュリティ関連資格11選
カジュアル面談

カジュアル面談とは?対策やよく訊かれる質問、気を付けるべきことを解説

当記事では、カジュアル面談の目的や、通常の転職面接との違い、そして実際にカジュアル面談に挑む際に気を付けるべきことをご紹介します。

 

カジュアル面談とは?対策やよく訊かれる質問、気を付けるべきことを解説