Splunk Japan主催のCTF(10/7 BOTSv6)開催レポート

「Boss of the SOC」?

はじめて聞いた方は過去記事の「Boss of the SOC v4を使って社内CTFをやってみた」をご参考ください。先日、10/7にお客様を対象としたSplunkのCTF(Capture The Flag)イベントを開催しました。今回の参加者数は115名（35チーム）とコロナ禍における最大参加人数を記録しました。過去3~5回参加している常連の猛者もいれば、初めて参加されるお客様も半分以上いらっしゃいました。

「BOTSv6の特徴は？」

BOTSは毎年新しいシナリオを準備して、その時々の旬なテクノロジーや脅威シナリオに合わせて問題を開発しています。

BOTSv6は、特に以下知識を習得するのに向いているコンテンツになっています。

• Splunk Coreを使ったサーチテクニックの理解
• Splunk Enterprise Securityを使った調査手法の理解
• Splunk SOARを使ったPlaybook/Workbookの理解

問題に使われているセキュリティインシデントのシナリオは、5種類用意されており、それぞれのシーンでSplunkがどのようにしてお役に立てるのか。イメージをつけていただきやすいコンテンツになっています。またBOTSイベントに初めて参加いただくお客様でも学びがあるように難易度別のシナリオが用意されています。

• Enterprise Security（難易度：★）
• Splunk SOAR（難易度：★）
• 不正行為とインサイダー脅威（難易度：★★★）
• APT（難易度：★★★）
• マルチクラウド・セキュリティ（難易度：★★★）

「新しくなったBOTSシステム」

BOTSはVer5からBOSSポータルを利用したWebプラットフォームに進化しました。BOSSポータルはCTFイベントだけでなく、セルフスタディいただける学習コンテンツも多数用意されていますので、BOTSイベントだけでなく日々のセキュリティ調査能力向上にもお役立ていただけます。ぜひ皆様アカウント作成してください。

「当日の様子」

オープニングセッションを終えた後は、まずチーム毎にZoomのブレイクアウトルームに分かれていただきました。それぞれのチームのペースで4時間かけて、問題に向き合っていただきました。

Topチームは熾烈な争いをしていました。特に3位争いは4チームが追いつき、追い越されてを繰り返しており、最終的には3位から6位のスコア差は1004点差。高得点問題（1500点/問）が1問解けていればどのチームも一発逆転が可能という状態でFinishしておりました。

4時間ぶっ通しで競技に集中頂き、皆様大変疲れているにも関わらず、爽やかな笑顔と共に記念撮影にご協力いただきました。来年はぜひフィジカルイベントを通して皆さんとお会いしたいです！

当日参加した皆様から沢山のフィードバックを頂きました。その中から一部を抜粋してご紹介します。

「初めての参加でしたが、楽しみながら解くことができ、また、勉強になることも多く見つけることができました。ありがとうございました。」

「難しかったが、前よりも解けているのを実感でき成長を感じることができた。」

「普段利用していない機能を活用でき、分析能力の向上が大いに出来ました。」

「SOARついては勉強しないと使い方がなかなか難しいということがよくわかりました。しかし、使えるようになればかなり色々なことができるんだろうな、ということはよくわかりました。」

「今回からヒントが自動的に表示されたため、問題が取り組みやすかったです。」

「勉強になった。日本語翻訳も便利で助かった。」

「来年(2023年)はBOTSイベントを2回開催します！」

“振り返りBOTSv6” は2023年春頃の予定です！こちらは今回参加いただいた方も半年経過してどれ程セキュリティ調査スキルが向上（成長）したかを確認いただく機会として開催の準備を進めております。

そして“新しいBOTSv7”は2023年10月頃に開催予定です。ぜひ継続的なセキュリティ分析スキルのトレーニングのためにご活用ください。

イベント＆ワークショップカレンダー