2022 年 6 月 14 ~ 17 日、ギリシャのアテネで第 1 回 ICC(International Cybersecurity Challenge)という U26 向けの CTF 世界大会が開催された。
主催は参加国・地域の代表で構成された ICC 実行委員会、発起人は EU のサイバーセキュリティを担当する ENISA。アジア地域 8 カ国(日本・韓国・台湾・シンガポール・マレーシア・タイ・ベトナム・インド)の代表選手 15 名で「ACSC Team」として参加し、初日の Jeopardy では 2 位、2 日目の Attack & Defense では 1 位、総合順位で準優勝を飾った。スコアは下記の通り。
ICC 2022
https://ecsc.eu/icc/
(凡例:順位 国・地域/スコア)
1 位 ヨーロッパ/12,961
2 位 アジア/10,724
3 位 合衆国/7,765
4 位 オセアニア/7,447
5 位 カナダ/3,643
6 位 ラテンアメリカ/1,722
7 位 アフリカ/981
●手探りからの始まり
ENISA は過去数年間、EU 圏内でホスト国を交代しながら CTF 大会を毎年開催していた。それを地球規模の大会にしてはどうかと ENISA 内で企画が上がった。地球をいくつかの領域に分け、その領域の選抜チームが出場するチャンピオンシップ大会だ。
私がこの話を聞いたのは 2019 年 10 月下旬の CODE BLUE の会場だ。LAC の Hendrik Adrian 氏から「ぜひ Kana さんにやってほしい」と依頼があった。ENISA の担当者 Loannis Agrafiotis 氏と話したのはその翌月 11 月。アメリカ出張時にテレカンファレンスで初顔合わせをし、改めて構想を聞いた。
まだ ENISA でも未承認の事業で、翌 2020 年の 2 月に ENISA で承認に関わる会合があるから、ヨーロッパに来て出席してほしいと言われた。ちょうど 2 月の同時期に GCC(Global Cybersecurity Camp)が日本で開催されるため、遠隔での参加が可能なら出席できるが、物理的な会議への参加は難しいことを伝えた。
お気づきだろうか。日本で感染者が認められたのは 2020 年 1 月 15 日、WHO によるコロナのパンデミック認定は 2020 年 3 月 11 日。2020 年の 1 月は、私はコロナ禍初期に開催する国際イベント GCC で全く ICC どころじゃなくなったのだ。ともあれ、この 2 月の会合で ICC は正式に事業として認められた。その後、数ヶ月時間が空き、ENISA から METI に連絡があり、METI から IPA、IPA からセキュリティキャンプまで連絡が来た。
あらためて「ICC のアジアチーム参加に興味がありますか?」の意思確認だ。METI も IPA もどのように関われば良いのか不明のまま、セキュリティキャンプの国際連携 WG を事務局として、手探りながらも少しずつ ICC の準備は始まった。
ICC は 2021 年 12 月開催で計画は始まった。ENISA はコロナ禍でも最終戦はリアルでの開催にこだわった。案の定、コロナ禍は長引き、当初より 6 ヶ月延期した 2022 年 6 月に開催された。
● 8 カ国で構成される実行委員会
ACSC(Asia Cyber Security Challenge)は、ICC に参加するアジア代表チームを決める予選大会だ。
元々セキュリティキャンプの事業である GCC(Global Security Camp)でアジアの国々と共同プロジェクトによる協力スキームを構築していたため、後から加わるインドの 8 カ国で ACSC 実行委員会を構成した(下記、順不同)。
日本 :一般社団法人セキュリティ・キャンプ
韓国 :Korea Cyber Security Union
台湾 :AIS3 Project
シンガポール:Division Zero (Div0), IIC Productions (Pete.Ltd.)
マレーシア :NanoSec Asia
タイ :2600Thailand
ベトナム :VNSecurity
インド :Bitscore Cybertech LLP
上記の組織を実行委員とし、ACSC を企画。Jeopardy 形式のオンライン CTF を世界に広く開催し、最終的に 25 歳以下( U26 )の 15 名の精鋭をファイナリストとして選抜する。
各組織の主な役割は、U26 へのリーチとプロモーション、代表選手の渡航費・宿泊費などをカバーする金銭的支援、必要の際はビザ取得支援、その他細々とした支援でファイナリストを支える。もちろん同時に、ICC の実行委員として会議などで意見も述べていく。
●日韓台のプレイヤーが結集
さて、ACSC をどう開催し、どうファイナリストを選抜するか。
地方予選のやり方はそれぞれの地域に任せられていた。私の頭の中では最終戦も CTF なのだから予選も CTF で選ぶべきだろうと考え、CTF の現役選手であるアジアの若者達に相談した。
CODE BLUE CTF の主催でもあり、binja、Tokyo Westerns のリーダーでもある小池くんと市川くんに相談すると、日本・韓国・台湾の凄腕プレイヤーが集められ、CTF 開発チームもアジア多国籍チームで構成されることになった。小池くんもそうだが、中には 25 歳以下のファイナリストとして参加資格のある若者もいたが、皆快く開発に参加してくれた。
ACSC の予選開発はセキュリティキャンプが開発費用を全面的に支援してくれた。ACSC 各国組織はコロナ禍もあって金銭的支援は厳しかった。セキュリティキャンプには足を向けて寝られない。
ACSC の開催は、2021 年 12 月の Final から逆算し、2021 年 9 月とした。ACSC 予選開発メンバーは、みな大学生だったり社会人だったりさまざまな立場で、多忙な時間をやりくりして協力してくれた。開発費用の総額は決まっていたので、折半方法は彼らに決めてもらった。
そうして 2021 年 9 月に開催した ACSC は、登録開始したのが 9 月 1 日だったかな、開催まであまり時間がなかった。にもかかわらず、「 1,000 名を超えるプレイヤー」が参加した。正確には他地域の参加規模を聞いていないが、ENISA 担当者の驚きの声を聞く限り、ACSC は世界最大の開催規模だったかもしれない。
ACSC は 24 時間のオンライン開催。CTF 開催メンバーもプレイヤーも、みんな仮眠をとりつつ、ぶっ続けで頑張った。すごい方々です。
●ダイバーシティを加味した選抜
初めての開催なので、選抜ルール作りから CTF 開発メンバーと沢山議論した。スコア順位をベースにファイナリストを選べば、ひょっとしたら熟練した CTF プレイヤーの多い日本・韓国・台湾で上位 15 名が占められてしまうかもしれない。ENISA ともミーティングし「国のダイバーシティ」「ジェンダーダイバーシティ」を加味した選抜ルールでいってみてはどうかとなった。いろいろ時間をかけて討議したが、最終的に下記のように決まった。
ファイナリスト選抜ルール
1.参加国のトッププレイヤー 1 名
2.「non-male (非男性)」のトッププレイヤー 2 名
3.上記を含め、各国最大 3 名までをスコア順で決める
説明すると、前提として「 1 つの国から最大 3 名」の参加とした。5 名だとすでにチームの 3 分の 1 となり、8 つの参加国で出られなくなるプレイヤーが出るためだ。
選抜ルールの一つ目は、文字通り、ACSC 参加国のプレイヤーでトップのプレイヤーを 1 名選出する。なので、この時に、トップ 10 のプレイヤーもいれば、100 位圏内のプレイヤーも存在する。
選抜ルール二つ目は、ジェンダーダイバーシティを加味したもの。元々は「女性」だったのだが、ジェンダーダイバーシティの観点から異議申し立てがあり、「male dominant」な状況からもうけた選抜ルールなのだから、シンプルに「non-male」で行こうと決めた。
この non-male ルール、会議中も会議後も、一部のプレイヤーと沢山議論を重ねることになるが、私はこのやり方はひとまずよかったと思っている。
蓋を開けてみると、non-male の参加は全体の一割。世界の地域差についてはまた調べてみたいと思うが、ファイナリストに選抜されても辞退するなど、確定するまで少し時間がかかった。non-male 枠でファイナリストとしてアジア代表 CTF チームに参加する、なんらかの心理的障壁がまだまだあると思われる。後述するが、ジェンダーに関して言えば、ICC の最終戦では非常に多様なプレイヤーが世界のチームに見受けられた。心理的障壁なく、自由に堂々と参加できる世界に早くなればいいと思う。
三つ目は、それ以外でスコア順で決めるだけだ。
● 15 名の出場者
そうして選ばれたのが下記 Finalist たちだ。
