マナティ

コンテストCTFで戦うための知識技能を鍛えよう『セキュリティコンテストチャレンジブック』

情報セキュリティを学ぶための本をご紹介します。

セキュリティコンテストチャレンジブック

エンジニアの皆様はセキュリティの勉強をしているでしょうか? アプリの開発と比べて勉強のしづらい分野かと思います。なぜなら、情報セキュリティの分野は幅広く、しかも実際に学んだ知識を活かす機会も多いとは言えないからです(不正アクセスは犯罪です)。せっかく勉強しても活かす場がないと面白くないですね。
でも実は、セキュリティの技術を競い合う競技があることを知っていますか? それが「Capture The Flag(CTF)」です!
CTFはクイズゲームのように楽しみながら情報セキュリティの実践的なスキルを試すことができるので、勉強した成果を試してみたい方にとてもオススメです。日本では『SECCON』が有名ですね。
今回セール対象書籍から紹介するのは、CTFでよく使われる技術をまとめて学べる『セキュリティコンテストチャレンジブック』です。

1冊で学べる5つの技術

本書では、下記のような技術を学べます。

・バイナリ解析
・pwn
・ネットワーク
・Web問題
・SQLインジェクション

ご覧の通り、セキュリティの分野で求められる知識は幅広いので、どこから勉強すればいいかわかりづらいかと思います。ですが、まずは興味のある分野から読み始めてみることをオススメします。全章で学習に必要な環境構築から解説しているので、どこからでも読み進められるのも本書の特徴です。どうしても迷うなら、バイナリ解析かSQLインジェクションが楽しいと思います。
それでは、ここからはバイナリ解析の章を例に少しだけ内容をご紹介します。

初心者でも安心!環境構築

実際にCTFに挑戦するときには、自分のPCの環境を汚さないようにするために仮想環境を用意します。
CTFで扱うファイルは悪い挙動をする実行ファイルも含まれているからです。また、WindowsやLinuxなど様々な環境を用意するためにも仮想環境は有力です。
本書では仮想環境の作り方から、問題の解析によく使うツールまで丁寧に解説しているので、まったくの初心者でも安心して取り組むことができます。

20200309manateefair1.jpg

演習ファイルをダウンロードして実践学習!

実際に環境を構築したら、実際に問題を解きながらセキュリティを学ぶことができます。学習に使うファイルはセキュリティコンテストチャレンジブック サポートサイトからダウンロードできます。もちろん、学習用なのでリスクの高い内容は含まれていないのでご安心ください。

20200309manateefair2.jpg

たとえばこちらはアプリケーションへの攻撃の代表格ともいえるSQLインジェクションを実行した例です。
このように、実際に攻撃をしながら楽しくセキュリティを学ぶことができます。
攻撃手段を知ることで、CTFに役立つだけではなく防衛手段の理解も深まることでしょう。

20200309manateefair3.jpg

終わりに

ここまでの解説で、少しでもセキュリティに興味を持っていただけたでしょうか。周りのエンジニアとはひと味違う技術を身につけたい方にオススメです。
本書での学習で情報セキュリティに興味を持ったら、『セキュリティコンテストのためのCTF問題集』もオススメです。こちらは実際にCTFで出題される問題を解くことができます。
どちらもかわいいハリネズミのカバーが目印です。さらに興味を持ってCTFに参加してみたい!という方はCTFTIMEというサイトに開催されるCTFの情報がまとめられているのでぜひご活用ください。

なお、繰り返しになりますが本書で身につけた技術を試す際は、くれぐれも法律に反さないようお気を付けください。

 

 

著者プロフィール

Manatee編集部(著者)