CTF参戦における会社支援の受け方について考察
意見表明
難しい問題で意見はさまざまあってよいと思いますが、私の現状の最適解は「プライベート+成果手当」です。
国内や企業における情勢
SECCONをはじめとするCTF(Capture The Flag)については、突出した技術を持つ人材の開発や発掘の手段として、国の新・情報セキュリティ人材育成プログラムや年次計画にも記載されいています。企業においても、人材育成および若手技術者の採用の一手段として注目されている認識です。CTFの活動を業務範囲内でしている企業があることも存じています。
CTFの活動について、どのように会社支援を受けるべきか?
わたしは企業におけるセキュリティ人材の育成方針に意見をすることができ、かつ社員として育成からの支援を享受できるポジションにいます。また実際にSECCONなどのCTFへ参戦した経験から、ぜひほかの社員にも挑戦を奨めたいと思っています。
さてここで、企業のセキュリティ人材育成の枠組みに、CTFを組み込むべきかという問題が生じます。
現在の情報/サイバーセキュリティを取り巻く情勢から鑑みれば、社員のCTFへの参加に対してはおおよそ協力的で、しかるべき管理職に訴えれば支援が得られるのではないかと推察します。企業からの支援方法については、次のA〜C案のようなスタイルが考えられると思います。
| A案 | B案 | C案 | |
|---|---|---|---|
| スタイル | 勤務 | 部活動 | 直接支援なし |
| 大会参加時間の扱い | 勤務 | △(企業方針に依存) | なし |
| 練習時間の扱い | 勤務 | △(企業方針に依存) | なし |
| 物品購入 | 会社負担 | 部費+報奨金 | 個人負担 |
| 旅費 | 企業負担 | 企業負担 | 個人負担 |
A案やB案のように企業側が社員へ支援をすれば、参戦を半強制することが可能です。しかし企業から支援を受けた社員には、次のようなデメリットが生じます。
- 企業から成果を求められてしまう。
- 裁量労働制でない場合は、時間外労働の手続きが必要となる。オンライン予選大会は、休日48時間連続の開催など長時間のケースが多いため、連続勤務時間が企業の就労規則に抵触するおそれがある。また仮に時間外勤務とする場合は、36協定に一発アウトとなってしまう。
- 仮に時間外労働手当を受ける場合は、すべてのメンバーの所属部署の管理職に説得して手当を要求する必要がある。そうしないと手当がでたりでなかったりでとメンバー間で不公平が生じてしまう。
このため社員としては、給与が増えるのは嬉しいものの、業務扱いにはしたくないというのが正直なところです。しかしC案のようにまったくのプライベートとしてしまっては、企業側は実行性や継続性に期待ができません。
現状における解
業務ではなくプライベートで参加しています。企業からの直接的な支援は受けていません。しかしながら、セキュリティに関する研修や資格取得の機会を与えていただいてますので、間接的には支援があるといえます。
現状ではこのように、大会参加は勤務扱いとはせず、結果が出た場合には企業側が成果手当として給与へ反映させるのが最も現実的だと考えます。しかしながらSECCONの国際化に伴い、決勝大会に出場するだけのスキルのある社員を確保するのは、多くのセキュリティ企業において困難です。このため目に見える成果は出にくく、人事面での評価をしようにも実質的にほぼ困難だと思います。そこで成果手当以外の支援として、企業が購入した物品を大会でも使用してよいといった方法が有効となると思います。
また大会運営側への要望として、長時間の参加は社員への体力的・心理的負担が大きく参加障壁が高いため、競技時間を最大でも24時間程度に抑えることを望みます。
