最近、ハッカー（攻撃者）vsCSIRT（防御側）を題材にしたカードゲームを考えている。考えているというか制作している*1。

セキュリティ教育コンテンツの1つになれるものを作りたくて、自分に馴染みがあるもの、ということでカードゲームの形式を選んだ。

防御するには攻撃を学ばなきゃならぬ、というのはよく言われる話で、ハッカー側の攻撃手法・流れとそれに対する防御手法・流れを学べるゲームにしようと思って、対戦型カードゲームとの相性も良いんじゃないかと思って前のめり気味に見切り発車したんだけど、

結論から言うととても難航している。

• 攻撃のシナリオをどうカードゲームで表現するか？
• 「遊んで面白い」と「学習効果のバランス」
• CSIRT側の勝利条件ってなんだ？
• 教育コンテンツなので、1ゲームの時間はコンパクトにしたい（との要望）
• ハッカーとCSIRTの戦いが同じ土俵にない

この他にも色々問題はあるのだけど、特に最後のがネックで、ハッカーの攻撃に対してCSIRTができることって、事前対策と事後対応が主になるんじゃないか問題。

勿論、端末のNW遮断とかログ分析とか、事中でもやれることはあるのだけど、映画なんかで見るような、ハッカー同士がコンソール画面上で繰り広げる、いかにもサイバーなバトルってのは、CSIRTがやるようなことじゃない*2。

つまり、そもそもハッカーとCSIRTって同じルールで戦わないよねって事に気づいてしまって、制作モチベーションにかなり影響してたのだけど、

ふと、変な動画を見つけた。

www.youtube.com

同じルール上で戦わないなら、それでも良いじゃんという強引な発想転換だ。

成熟したゲーム同士というのはあるが、いい感じに戦えているように見える。CSIRT側は防御、ということでデュエマのシールドという概念との相性も良い気がする。

ただ、多分、このアイディアが形になったとして、教育コンテンツとして日の目を見ることはない。まず、単純に2個のカードゲームのルールを覚えなきゃならない。CSIRTが事中の対応をあまりしない問題を解決できたわけでもない。

それでも、天啓を得た気分だ。金のかかる趣味でしかないと思っていたカードゲームが初めて何かのアウトプットになりそうでワクワクしている自分がいる。