CTFをしていて不安になる瞬間が来るんだよなぁ
エンタメか勉強か
CTFというのは、エンタメなのか?勉強なのか?
私にとっては、勉強のつもりだった。
しかし、勉強としてCTFに取り組むのは、私にとってあまりにも辛すぎた。
CTFは、ペンテストと同じようななんとしてでも目標を達成するという集中力を使う。
苦悩、集中の果てに訪れる達成感、または悔しさ。
全てを使って取り組んでいる感覚があった。
あるとき、相当に消耗している日があった。
それは急ぎの残業をした日の感覚に近かった。
私は一つの気づきを得た。
「これは仕事と一緒ではないのか?」
私にとって、CTFはエンタメでも勉強でもなく、「仕事」であった。
エンタメとしての側面
エンタメとしてCTFはとても良い部類に入るのだと思う。
ジャンルとしてはMMOハクスラに近い。
何回もチャレンジして、打ちのめされるが経験は残って少しずつ強くなる・・・
そしてそれをしている人たちと交流する。
まんまハクスラだと思う。
実際のところ、システム的に管理されているハクスラと違って、現実のCTFは何が成長したか目に見えないから楽しみを感じにくいとは思う。
言い換えてしまえば「難易度が高いハクスラ」なので、好きな人はとことんハマる気がする。
一方私で言えば、難易度が高いゲームが好きじゃないのだ・・・
勉強としての側面
勉強としてもCTFはとても良い部類に入るのだと思う。
私が最初にCTFを見たのは2018年だ。
それから今日に至るまで、CTFは継続して開催されてきている。
安定性があることは間違いない。
そして内容だ。
オフェンシブセキュリティは2018年ごろには日本語記事はほとんど無いように見えたが、CTFのwriteup記事や解説記事、そして本までが出てきている。
Webやバイナリ解析など、いわゆる「攻撃」を学ぶにしてはちょうど良すぎるものとなっているように思える。
ここに「エンタメ」であったような競争の要素が入ってきたらどうだ?
他の人と切磋琢磨し、競い合い、知らず知らずのうちに技術力が上がっている・・・
そう、まさに部活やスポーツとほぼ一緒の内容になる。
このことから、やはりCTFは勉強に向いているということが考えられる。
一方、私は目的無く勉強することが苦手なのだ・・・
実践に近いことを知りたいなら、実践ベースで調べたくなる。
それゆえ、CTFをやらずにCVE再現をしていたりする。
とはいえ、CTFはwriteupを見て技術や回避法を知るには役立っている。
「開催されているCTFに参加して技術力を高める!」というメジャーな方法ではないが、勉強としてCTFを使っていることになるだろうか。
CTFが続かない話
グダグダと書いてきたが、私自身はエンタメとして楽しむなら他のエンタメを楽しむし、メジャーな方法でCTFを使って勉強しないということになった。
こうまとめられるまで、随分と苦悩した・・・
CTFは今やメジャーなものであり、オフェンシブセキュリティに関わっているものとしてやっておかねば、みたいなところはあると思う。
20代後半の人間であれば、ガッシュ2に盛り上がらない訳はないだろう、ということみたいに。
私は、CTFにのめり込めていないことに悩んでいた。
オフェンシブセキュリティが向いていないんじゃないかと。
ガッシュを楽しめないなら、漫画好きとしてどうなのかと。
でも、CTFをメジャーな方法でやらなくてもいいと思えた。
ガッシュじゃなくてカイジを楽しんでいたっていいじゃないか。
コメント