2016.09.27(火)

ミクシィ、ハッカーイベントで新卒エンジニア採用

研修・セミナー・カンファレンス セミナー・イベント

セキュリティ人材の育成のためにCTF(Capture the Flag)イベントが各地で開催されている。

今回は一風変わったハッキングイベントを行う、株式会社ミクシィ(以下、ミクシィ)を紹介する。同社は優れた技術系の学生とのコミュニケーションの場として、技術者を対象としたイベントを複数開催しており、なかでも人気の高いのが「mixi Scrap Challenge for Security」だ。昨年から計4回(最新は12月15日)開催している。本イベントの目的は、セキュリティ技術者の採用では無いという。

運営メンバーとして、イベントの技術面を支える、株式会社ミクシィ 坂本典大氏と、同イベント第3回で優勝した、「チームF」のメンバーである原田 裕介氏に話を聞いた。(文中敬称略)


――mixi Scrap Challengeとはどんなイベントですか?

(坂本)
就職活動中の学生さんに3名前後でチームを組んでいただき、仮想環境にダミーデータで構築されたmixiそっくりなサイトに攻撃をしてセキュリティホールを見つけていただきます。

――システムはmixiとまったく同一だが、仮想環境上に構築されていて、データは全てダミーということですね

(坂本)
はい。各セキュリティホールにはポイントが設定されており、獲得ポイントを各チームで競って進めていく形となります。

他のCTFイベントでもあるように時間ごとにヒントが出されますが、同時に攻略時の点数も下がっていくため、できるだけヒントが少ない状態で問題を解いていく必要があります。

――このイベントを開催しようと思ったのはなぜですか?

(坂本)
優秀な技術系学生との交流を通して、技術的体験を通して弊社の魅力や面白さを知っていただき採用活動に繋げて行きたいと考え 、技術系のイベントを立案しました。

イベントを通して学生にミクシィに興味を持ってもらうこと、学生にミクシィでしかできないことを体験してもらいたいと考えています。「日常使っているサービスである、mixiを攻撃してみる体験」はミクシィしか提供できないことです。

他に「Windows 8 Challenge」なども行っていますが、最も参加者満足度が高かったのは、この「mixi Scrap Challenge」です。

――採用をゴールとしたイベントですが、成果は出ていますか?

(坂本)
現在ミクシィの内定者の40%はこうしたイベントを通して出会った皆さんです。当社は新卒とは言え、Webエンジニアとして高い技術力が必要になるため、イベントを通して、学生さんの技術水準を確かめる目的もあります。

また、初対面の参加者同士がチームを組んで取り組むため、採用面接のグループディスカッションに似た要素もあり、コミュニケーション力、チームワーク能力を見ることができます。

――採用面接で集団討論が課される企業が多いですが、さながら集団ハッキングですね。参加者はどうやって募集するのですか?

(坂本)
オンラインでは、mixiのバナー広告や、就職対象学年が利用するメディアへのバナー配信を行っています。それ以外にはイベント等で直接会った人に声をかけるなど、大きな告知はあえて行わず、技術レベルの高い学生さんからの応募を集めることを心がけています。

mixi Scrap Challengeはセキュリティをテーマにしたイベントですが、ミクシィではセキュリティ人材と言うよりは、Webエンジニアを求めています。ある程度の技術レベルに達していないと「セキュリティ」と聞いただけで尻込みしてしまう傾向があり、特にレベルの高い人が集まる傾向があると感じています。

ただ開発するだけのイベントではモチベーションも上がりませんが、「セキュリティ」という切り口で、本番環境を模したmixiを擬似的に攻撃するというのは、学生さんに興味を持って取り組んでくれていると感じています。

――応募数や参加者数はどうでしたか?

(坂本)
前回の実績で言えば予定していた20名を超える、50名程度のエントリーがあり、抽選で行いました。やはり実力が拮抗していた方がイベントとして盛り上がるので、抽選後はバランスを見てチーム分けを決めています。

――問題はどういった内容ですか?

(坂本)
XSS(クロスサイトスクリプティング)を中心に取り上げています。「こういった脆弱性があると、こんな被害を受けてしまう」ということを知って、普段の開発に生かしてもらえるような問題にしています。

他にもWebアプリケーション開発で重要な知識はXSS以外にもあり、例えばSQLインジェクションなども検討しましたが、複数人が共通のDBにアクセスするシステムだったので問題の実装コストの関係で見送りになりました。

難易度は幅広く用意して参加者が好きな順番で攻略できるようにしていて、過去に実際にあった脆弱性や流行った脆弱性が多いです。

――優勝したチームは運営側から見ていてどうでしたか?

(坂本)
今年の第一回で優勝した「チームF」は4人のチームでしたが、非常にコミュニケーションの取り方がうまかったと思います。各回においてもコミュニケーションの取れているチームは強いと感じますね。

――優勝したチームFのメンバーだった原田さんにお聞きしますが、何か作戦がありましたか?

(原田)
その日初めて会った人とチームを組むので、開始直後は連携がとれずに苦労しました。途中、机を2個ずつ向かい合わせに並べて、顔を合わせて議論しながら進める体制にしてから、問題が解けるようになった気がします。

全員が思い思いに取り組むと非効率なので、自分は日記機能を攻略するから、君はボイス機能の攻略を頼む、といった風に、それぞれ分担して課題に取り組みました。セキュリティホールを見つけるのは上手だが、実際に攻撃するのは苦手な人がいたり、その逆もあったり、終了する頃にはイベントを通じて、メンバーの得意不得意が理解できた気がします。

――最後に坂本さんから、学生さんにメッセージをお願いします

(坂本)
こういった手を動かすイベントは参加者層が狭くなる分、濃い人が集まって面白くなるため非常に満足度は高いと思います。

学生からも「内部で実際に働いているエンジニアと技術的なことを話せて良かった」と言う声も多く、学生にとっても企業にとってもお互いを知る良い機会なのではないでしょうか。こういったイベントがもっと増えて行くと面白いですね。

今後もこういった密度の濃いイベントを続けていきますので、腕に覚えのある学生さんは是非参加してください。
《ScanNetSecurity》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

    「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

  2. 企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

    企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

  3. 標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

    標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

  4. 「CODE BLUE 2016」、新たに2つのトレーニングと3つのコンテストを公開(CODE BLUE事務局)

  5. 10回目となる「Trend Micro DIRECTION」を東京、大阪で開催(トレンドマイクロ)

  6. 「PacSec 2016」を11月26~27日に開催、賞金総額は約6,700万円(PacSec)

  7. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  8. Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち

  9. [Security Days Fall 2016 開催直前インタビュー] VDI による IT ガバナンス強化で防ぐ内部犯行と、使い勝手と安全を両立するモバイル活用(ヴイエムウェア)

  10. PCログオンと複合機の認証を統合、高セキュリティと利便性の両立も可能に(富士通、富士通フロンテック)

  11. 「CODE BLUE 2016」の全講演が決定、全自動サイバー攻防戦CGC優勝者も登壇(CODE BLUE事務局)

  12. Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

  13. サイバー攻撃対策に特化した特別併催企画「サイバーセキュリティワールド2016」を新設(東京ビッグサイト)

  14. [Security Days Fall 2016開催直前インタビュー] 人工知能がサイバーセキュリティにもたらすゲームチェンジ(Cylance)

  15. [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

  16. CODE BLUE 第 3 回をふりかえって~ BLUE 篠田佳奈氏インタビュー

  17. [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

  18. [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで

  19. [Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員

  20. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×