2016.08.31(水)

ミクシィ、ハッカーイベントで新卒エンジニア採用

研修・セミナー・カンファレンス セミナー・イベント

セキュリティ人材の育成のためにCTF(Capture the Flag)イベントが各地で開催されている。

今回は一風変わったハッキングイベントを行う、株式会社ミクシィ(以下、ミクシィ)を紹介する。同社は優れた技術系の学生とのコミュニケーションの場として、技術者を対象としたイベントを複数開催しており、なかでも人気の高いのが「mixi Scrap Challenge for Security」だ。昨年から計4回(最新は12月15日)開催している。本イベントの目的は、セキュリティ技術者の採用では無いという。

運営メンバーとして、イベントの技術面を支える、株式会社ミクシィ 坂本典大氏と、同イベント第3回で優勝した、「チームF」のメンバーである原田 裕介氏に話を聞いた。(文中敬称略)


――mixi Scrap Challengeとはどんなイベントですか?

(坂本)
就職活動中の学生さんに3名前後でチームを組んでいただき、仮想環境にダミーデータで構築されたmixiそっくりなサイトに攻撃をしてセキュリティホールを見つけていただきます。

――システムはmixiとまったく同一だが、仮想環境上に構築されていて、データは全てダミーということですね

(坂本)
はい。各セキュリティホールにはポイントが設定されており、獲得ポイントを各チームで競って進めていく形となります。

他のCTFイベントでもあるように時間ごとにヒントが出されますが、同時に攻略時の点数も下がっていくため、できるだけヒントが少ない状態で問題を解いていく必要があります。

――このイベントを開催しようと思ったのはなぜですか?

(坂本)
優秀な技術系学生との交流を通して、技術的体験を通して弊社の魅力や面白さを知っていただき採用活動に繋げて行きたいと考え 、技術系のイベントを立案しました。

イベントを通して学生にミクシィに興味を持ってもらうこと、学生にミクシィでしかできないことを体験してもらいたいと考えています。「日常使っているサービスである、mixiを攻撃してみる体験」はミクシィしか提供できないことです。

他に「Windows 8 Challenge」なども行っていますが、最も参加者満足度が高かったのは、この「mixi Scrap Challenge」です。

――採用をゴールとしたイベントですが、成果は出ていますか?

(坂本)
現在ミクシィの内定者の40%はこうしたイベントを通して出会った皆さんです。当社は新卒とは言え、Webエンジニアとして高い技術力が必要になるため、イベントを通して、学生さんの技術水準を確かめる目的もあります。

また、初対面の参加者同士がチームを組んで取り組むため、採用面接のグループディスカッションに似た要素もあり、コミュニケーション力、チームワーク能力を見ることができます。

――採用面接で集団討論が課される企業が多いですが、さながら集団ハッキングですね。参加者はどうやって募集するのですか?

(坂本)
オンラインでは、mixiのバナー広告や、就職対象学年が利用するメディアへのバナー配信を行っています。それ以外にはイベント等で直接会った人に声をかけるなど、大きな告知はあえて行わず、技術レベルの高い学生さんからの応募を集めることを心がけています。

mixi Scrap Challengeはセキュリティをテーマにしたイベントですが、ミクシィではセキュリティ人材と言うよりは、Webエンジニアを求めています。ある程度の技術レベルに達していないと「セキュリティ」と聞いただけで尻込みしてしまう傾向があり、特にレベルの高い人が集まる傾向があると感じています。

ただ開発するだけのイベントではモチベーションも上がりませんが、「セキュリティ」という切り口で、本番環境を模したmixiを擬似的に攻撃するというのは、学生さんに興味を持って取り組んでくれていると感じています。

――応募数や参加者数はどうでしたか?

(坂本)
前回の実績で言えば予定していた20名を超える、50名程度のエントリーがあり、抽選で行いました。やはり実力が拮抗していた方がイベントとして盛り上がるので、抽選後はバランスを見てチーム分けを決めています。

――問題はどういった内容ですか?

(坂本)
XSS(クロスサイトスクリプティング)を中心に取り上げています。「こういった脆弱性があると、こんな被害を受けてしまう」ということを知って、普段の開発に生かしてもらえるような問題にしています。

他にもWebアプリケーション開発で重要な知識はXSS以外にもあり、例えばSQLインジェクションなども検討しましたが、複数人が共通のDBにアクセスするシステムだったので問題の実装コストの関係で見送りになりました。

難易度は幅広く用意して参加者が好きな順番で攻略できるようにしていて、過去に実際にあった脆弱性や流行った脆弱性が多いです。

――優勝したチームは運営側から見ていてどうでしたか?

(坂本)
今年の第一回で優勝した「チームF」は4人のチームでしたが、非常にコミュニケーションの取り方がうまかったと思います。各回においてもコミュニケーションの取れているチームは強いと感じますね。

――優勝したチームFのメンバーだった原田さんにお聞きしますが、何か作戦がありましたか?

(原田)
その日初めて会った人とチームを組むので、開始直後は連携がとれずに苦労しました。途中、机を2個ずつ向かい合わせに並べて、顔を合わせて議論しながら進める体制にしてから、問題が解けるようになった気がします。

全員が思い思いに取り組むと非効率なので、自分は日記機能を攻略するから、君はボイス機能の攻略を頼む、といった風に、それぞれ分担して課題に取り組みました。セキュリティホールを見つけるのは上手だが、実際に攻撃するのは苦手な人がいたり、その逆もあったり、終了する頃にはイベントを通じて、メンバーの得意不得意が理解できた気がします。

――最後に坂本さんから、学生さんにメッセージをお願いします

(坂本)
こういった手を動かすイベントは参加者層が狭くなる分、濃い人が集まって面白くなるため非常に満足度は高いと思います。

学生からも「内部で実際に働いているエンジニアと技術的なことを話せて良かった」と言う声も多く、学生にとっても企業にとってもお互いを知る良い機会なのではないでしょうか。こういったイベントがもっと増えて行くと面白いですね。

今後もこういった密度の濃いイベントを続けていきますので、腕に覚えのある学生さんは是非参加してください。
《ScanNetSecurity》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち

    Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち

  2. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

    自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  3. [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

    [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

  4. Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

  5. プライバシーに配慮したセキュアな位置情報確認アプリを防災訓練の見える化に活用(サイバートラスト、ユビキタス)

  6. [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

  7. [DEF CON 22 レポート] binja DEFCON22 CTF参戦レポート

  8. [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで

  9. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  10. [Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員

  11. 新種のマルウェアを用いて既存のアンチウイルス製品の検知率を測定(MOTEX、米Cylance Inc.)

  12. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  13. サンドボックスのログ監視、自社でするか外部にまかせるか? ~西鉄情報システムの事例から

  14. CODE BLUE 2015 セッションレポート 第1回 「21世紀の途上国にならないために ~ シンギュラリティがやってくる (神戸大学名誉教授 松田 卓也 氏) 」

  15. DEFCON CTF 最終日 -- DEFCON CTF 現地速報 その3

  16. 決勝戦はプラハ、セキュリティ人材育成コンテスト優勝者に教育資金1万ドル(カスペルスキー)

  17. Twitterから災害状況を地区別に要約する事を可能としたシステムを参考展示(NICT)

  18. CODE BLUE 第 3 回をふりかえって~ BLUE 篠田佳奈氏インタビュー

  19. [Black Hat USA 2015] 来場者の女性が言われる言葉 ~ ジェンダーをテーマとした初のパネルが開催

  20. 「違法」なSuica事件を「消費者不安」にすりかえる報道に問題提起

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×