2016.07.25(月)

ミクシィ、ハッカーイベントで新卒エンジニア採用

研修・セミナー・カンファレンス セミナー・イベント

セキュリティ人材の育成のためにCTF(Capture the Flag)イベントが各地で開催されている。

今回は一風変わったハッキングイベントを行う、株式会社ミクシィ(以下、ミクシィ)を紹介する。同社は優れた技術系の学生とのコミュニケーションの場として、技術者を対象としたイベントを複数開催しており、なかでも人気の高いのが「mixi Scrap Challenge for Security」だ。昨年から計4回(最新は12月15日)開催している。本イベントの目的は、セキュリティ技術者の採用では無いという。

運営メンバーとして、イベントの技術面を支える、株式会社ミクシィ 坂本典大氏と、同イベント第3回で優勝した、「チームF」のメンバーである原田 裕介氏に話を聞いた。(文中敬称略)


――mixi Scrap Challengeとはどんなイベントですか?

(坂本)
就職活動中の学生さんに3名前後でチームを組んでいただき、仮想環境にダミーデータで構築されたmixiそっくりなサイトに攻撃をしてセキュリティホールを見つけていただきます。

――システムはmixiとまったく同一だが、仮想環境上に構築されていて、データは全てダミーということですね

(坂本)
はい。各セキュリティホールにはポイントが設定されており、獲得ポイントを各チームで競って進めていく形となります。

他のCTFイベントでもあるように時間ごとにヒントが出されますが、同時に攻略時の点数も下がっていくため、できるだけヒントが少ない状態で問題を解いていく必要があります。

――このイベントを開催しようと思ったのはなぜですか?

(坂本)
優秀な技術系学生との交流を通して、技術的体験を通して弊社の魅力や面白さを知っていただき採用活動に繋げて行きたいと考え 、技術系のイベントを立案しました。

イベントを通して学生にミクシィに興味を持ってもらうこと、学生にミクシィでしかできないことを体験してもらいたいと考えています。「日常使っているサービスである、mixiを攻撃してみる体験」はミクシィしか提供できないことです。

他に「Windows 8 Challenge」なども行っていますが、最も参加者満足度が高かったのは、この「mixi Scrap Challenge」です。

――採用をゴールとしたイベントですが、成果は出ていますか?

(坂本)
現在ミクシィの内定者の40%はこうしたイベントを通して出会った皆さんです。当社は新卒とは言え、Webエンジニアとして高い技術力が必要になるため、イベントを通して、学生さんの技術水準を確かめる目的もあります。

また、初対面の参加者同士がチームを組んで取り組むため、採用面接のグループディスカッションに似た要素もあり、コミュニケーション力、チームワーク能力を見ることができます。

――採用面接で集団討論が課される企業が多いですが、さながら集団ハッキングですね。参加者はどうやって募集するのですか?

(坂本)
オンラインでは、mixiのバナー広告や、就職対象学年が利用するメディアへのバナー配信を行っています。それ以外にはイベント等で直接会った人に声をかけるなど、大きな告知はあえて行わず、技術レベルの高い学生さんからの応募を集めることを心がけています。

mixi Scrap Challengeはセキュリティをテーマにしたイベントですが、ミクシィではセキュリティ人材と言うよりは、Webエンジニアを求めています。ある程度の技術レベルに達していないと「セキュリティ」と聞いただけで尻込みしてしまう傾向があり、特にレベルの高い人が集まる傾向があると感じています。

ただ開発するだけのイベントではモチベーションも上がりませんが、「セキュリティ」という切り口で、本番環境を模したmixiを擬似的に攻撃するというのは、学生さんに興味を持って取り組んでくれていると感じています。

――応募数や参加者数はどうでしたか?

(坂本)
前回の実績で言えば予定していた20名を超える、50名程度のエントリーがあり、抽選で行いました。やはり実力が拮抗していた方がイベントとして盛り上がるので、抽選後はバランスを見てチーム分けを決めています。

――問題はどういった内容ですか?

(坂本)
XSS(クロスサイトスクリプティング)を中心に取り上げています。「こういった脆弱性があると、こんな被害を受けてしまう」ということを知って、普段の開発に生かしてもらえるような問題にしています。

他にもWebアプリケーション開発で重要な知識はXSS以外にもあり、例えばSQLインジェクションなども検討しましたが、複数人が共通のDBにアクセスするシステムだったので問題の実装コストの関係で見送りになりました。

難易度は幅広く用意して参加者が好きな順番で攻略できるようにしていて、過去に実際にあった脆弱性や流行った脆弱性が多いです。

――優勝したチームは運営側から見ていてどうでしたか?

(坂本)
今年の第一回で優勝した「チームF」は4人のチームでしたが、非常にコミュニケーションの取り方がうまかったと思います。各回においてもコミュニケーションの取れているチームは強いと感じますね。

――優勝したチームFのメンバーだった原田さんにお聞きしますが、何か作戦がありましたか?

(原田)
その日初めて会った人とチームを組むので、開始直後は連携がとれずに苦労しました。途中、机を2個ずつ向かい合わせに並べて、顔を合わせて議論しながら進める体制にしてから、問題が解けるようになった気がします。

全員が思い思いに取り組むと非効率なので、自分は日記機能を攻略するから、君はボイス機能の攻略を頼む、といった風に、それぞれ分担して課題に取り組みました。セキュリティホールを見つけるのは上手だが、実際に攻撃するのは苦手な人がいたり、その逆もあったり、終了する頃にはイベントを通じて、メンバーの得意不得意が理解できた気がします。

――最後に坂本さんから、学生さんにメッセージをお願いします

(坂本)
こういった手を動かすイベントは参加者層が狭くなる分、濃い人が集まって面白くなるため非常に満足度は高いと思います。

学生からも「内部で実際に働いているエンジニアと技術的なことを話せて良かった」と言う声も多く、学生にとっても企業にとってもお互いを知る良い機会なのではないでしょうか。こういったイベントがもっと増えて行くと面白いですね。

今後もこういった密度の濃いイベントを続けていきますので、腕に覚えのある学生さんは是非参加してください。
《ScanNetSecurity》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サンドボックスのログ監視、自社でするか外部にまかせるか? ~西鉄情報システムの事例から

    サンドボックスのログ監視、自社でするか外部にまかせるか? ~西鉄情報システムの事例から

  2. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

    高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  3. 5月21~22日、セキュリティ・ミニキャンプを四国で初開催(IPA)

    5月21~22日、セキュリティ・ミニキャンプを四国で初開催(IPA)

  4. サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

  5. [レポート] 10周年、DEFCON CTF2位、CTF日本人チーム優勝など注目の台湾カンファレンス「HITCON X」

  6. 「SECCON 2016」九州大会は、大会初のIoTをテーマとしたCTF(SECCON 2016実行委員会、JNSA)

  7. 親子向けの「夏休みセキュリティ教室」、パスワード解読ゲームなど開催(トレンドマイクロ)

  8. サイバー演習によって露呈した大手重要インフラ企業の「弱点」(PwCサイバーサービス)

  9. 防災情報をリアルタイムに多言語翻訳して表示(ピクセラ)

  10. サインすることで本人認証を手軽に実現、書き順や速度などのタイミングも合わせて照合(ワコムアイティ)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×