CTFが続けられないのでその話です。
なんのためにやっているかを見失いました。
定期的に「CTFもやろう」という気持ちが湧いてきます。
そのたびにやるのですが、どうも長続きしないです。
2回くらい参加すると「何でCTFやっているんだろう?」という疑問が頭に湧いてきます。
その疑問に答えられずに挫折を繰り返してきました。
最近、何でCTFをやっていたかざっくり理由がわかりました。
実績作りでした。
おそらく、Twitterで多くの人がやっているのを見かけたので、楽に実績が稼げると思った気がします。
CTFで良い成績を収めると評価されるみたいな噂も聞いたので、やっておこうみたいな感じだった気がします。
用意されているものを探すのが好きではありませんでした。
脱出ゲームとかなぞなぞとかも好きではありません。
実のところ、ゲームの謎解きとかも好きではありません。
強い敵を工夫して倒したり、ストーリーやサブイベントを把握していくのが好きだったりします。
CTFをやろうとしていたころは、気持ちさえ整っていれば始めることはできると思っていました。
工夫次第で平均の成績は収められるだろうとも思っていました。
ですがそれは調子に乗った考えで、自分の趣向にあっていなければ始めることさえ出来ませんでした。
みんながやっているものが自分もやれることではないということを知りました。
なんなら、セキュリティに携わっている人みんながCTFやっているわけではありませんでした。
何が原因かはわかりませんが、明らかに視野が狭くなっています。
CTFから技術は得られませんでしたが、多様性については得られました。
CTFが出来ない言い訳みたいな記事でした。
こうやって振り返ってみると、「CTFに取り組んでいない奴は(オフェンシブな)セキュリティエンジニアではない」みたいなバイアスがあったんだなぁと感じます。
いったいどこからこのバイアスは来たんでしょうか。
1個人の感想で勝手に決めるんじゃないよって感じです。主語がでかいですね。
考えを整理するのに「科学的な適職」という本が役に立ちました。
CTFは仕事ではないですが、なんで向いていないんだろうというのを考えるのに使えました。
この本の中でも、「攻撃型か防御型か」というのを使いました。
私は防御寄りだったので、「CTFですごい技術取得してハイレベルー!」って感じじゃなかったということです。
防御寄りといっても「どちらかといえば防御」みたいな微妙なラインなので、CTFも少し楽しむことは出来ました。
脆弱性のロジックや原因、それを現実世界に置き換えたらどうなるかを考えるのは楽しかったです。
(それらはCVE検証に移行しましたが)