DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
bob2

講義の内容

講義の方向性は、CTF決勝進出常連者のスキルを現実のサイバー攻撃対処に生かすための訓練、と設定しました。数千人の候補者との競争に勝ち残った高いスキルの受講生が30人も集まるという、またとない貴重な機会ですので、高いスキルがないと対応できない事例、高いスキルの人にこそ取り組んでほしい事例を題材にしました。

講義の難易度

コンテンツを準備する際に、BoBのマネージャから依頼があったのは、「できる限り難しい内容にしてほしい。徹夜しても終わらないほどの宿題を毎日出してくれ。」というものでした。これまで、日本でも海外でも多くのトレーニング講師をやりましたが、そんな依頼は初めてです。

そこでまず、以下のすべての分野に精通していることと受講要件を設定しました。すべてを駆使できないと講義にはついてこれないから、苦手分野があれば事前に自分で勉強してきてね、というわけです。
  • ネットワークセキュリティ
  • プログラミング
  • データベース
  • Webアプリケーションセキュリティ
  • リバースエンジニアリング
  • マルウェア解析

受講生、スタッフの反応

案の定、講義の難易度について問題になりました。
講義初日、私が宿題について説明を行った際にBoBスタッフから「宿題が難しすぎる。この時期、受講生は卒論とか、いろいろタスクを抱えているんだ。」とクレームが入りました。結局、そこへマネージャが現れ、「お前は何を言ってるんだ。ここはBoBだぞ。」という一言で全員が納得しました。

bob3
講義4日目、講義開始10分前の休憩室の様子。この時間、ソファーは常に"満席"となる。

方向修正するか、否か

多くの受講生が徹夜しているのを見て、さすがに私もいたたまれなくなり、少し内容を簡単にしたほうがいいか?と受講生に聞いてみました。
返ってきた答えは、「自分はトップクラスのセキュリティ技術者になるために大学を休学して、この養成所に入っている。今勉強しないでいつ勉強するんですか?難易度を下げないでほしい」というものでした。なんと、多くの受講生は大学を休学して養成所に入っていたのです。

全体を通して

日本で〇〇万人のセキュリティ技術者が不足しているという報道があるのと同じように、韓国でも〇〇万人(韓国では10万人説が主流)のセキュリティ技術者が不足しているとマスコミは報道したがるそうです。
それでも中の人は、サイバーセキュリティは数ではなく質だということをきちんとわかっていて、韓国トップクラスの技術者が世界トップクラスになるための工夫を続けています。