セキュリティ・キャンプ アワード 2024 レポート #1: 「チャレンジ講師への挑戦と講義における工夫」

　セキュリティ・キャンプ修了生たちの日常的な研究や活動に注目し、修了生の活躍の場、発表の場としてセキュリティ・キャンプ アワードを開催しました。 一次審査を通過した方にインタビューを行い、修了後に取り組んだプロジェクトや活動についてお伺いしました。
　第1弾は、『チャレンジ講師への挑戦と講義における工夫』で発表されたOJIさんにインタビューしました。

• アワードレポート #2: 「One Million ASUS Routers Under Control: ASUSルータに搭載されているDDNS機能の脆弱性と認証情報の取得」
• アワードレポート #3: 「セキュリティLTのすゝめ」
• アワードレポート #4: 「CPUからWebサーバまで全部作る！森羅万象プロジェクト ～コンピュータ学習の入口になることを目指して～」

---

セキュリティ・キャンプへの参加のきっかけ

ーー セキュリティ・キャンプに参加された年はいつですか?

　セキュリティ・ミニキャンプ in 愛知 2019 に参加して、2022年の全国大会に参加しました。Twitter を見ていると、すごいと思う人はみんな行っていて…。それで興味を持って自分も参加しました。

ーー 参加してみてどうでした?

　とてもおもしろかったです。普段生活していて触れることがない質の情報を浴びることができました。
　自分は通信制の大学に通っていて、コンピュータサイエンスを専門的に学んでいるわけではないので、同じことに興味を持っている人とセキュリティについて学べたのは、とてもうれしかったです。

　セキュリティ・キャンプをきっかけに、会員企業さんのところでインターンを経験し、そのままその会社に就職もしました。「人生変わったな」と思いましたね (笑)

チャレンジ講師の取り組み

ーー キャンプをきっかけに会員企業さんとの繋がりを持つのは、キャンプあるあるですね。アワードではどういったことを発表したのですか?

　セキュリティ・ミニキャンプ in 広島 2023 でチャレンジ講師¹をしたのですが、講師をした際の工夫などについて話してきました。

ーー ミニキャンプではどういった講義をしたのですか?

　『実装がすべてではない、開発者の周りから考える Web プロダクトセキュリティ』というタイトルの講義をしました。
　講義の内容を一言でまとめるのは難しいのですが… 「脆弱性を考えるだけがセキュリティじゃない」ということを伝える講義をしました。
　システムを作っていくうえでは、XSS など個別の脆弱性や技術的な問題だけでなく、ヒューマンエラーなどの色々な脅威があると思います。
　講義中のハンズオンでは NGINX の設定ミスによるエイリアストラバーサルの話を扱ったのですが、脆弱性の原理よりも「それをどう防ぐか」ということをグループ内で話し合ってもらうことに時間をかけました。

　

参加者の前提知識を考慮した講義設計

ーー ミニキャンプは参加者層が幅広いので、前提知識にバラツキがあることも珍しくないですよね。そういったことも考えて講義設計をされたのですか?

　はい、それを考えたうえで講義設計をしました。どれぐらい詳しく伝えるかが難しいポイントです。身近なものに例えたりして、語弊が生じない程度にできるだけ平易に伝えるように努めました。全国大会の講義だとツールを作ったり、より実践的で専門的なことを学ぶと思います。ですが、私の講義では、たくさんの新しいことを学んでもらうより、ひとつの空間に集まった同じセキュリティという世界に興味を持った同年代と盛り上がってほしいと思い、「セキュリティについて会話を楽しむ・発想をする」ということを重視しました。
　グループワークには150分の講義の内、30〜 40分ぐらい使いました。セキュリティに興味を持つ人は増えていると思いますが、そういう人同士が面と向かい合って話す機会は少ないと思うんです。ミニキャンプはその数少ない機会の一つで、その意味でも受講生にとって貴重な時間だと思います。なので、グループワークの時間を多めに取りました。
　ハンズオンでも躓いてしまう人がでないように講義資料をかなり丁寧に作りました。前日の夜まで作業して、一番頑張ったかもしれません。

ーー 他に講義をするうえで、どういったことを考えました?

　ミニキャンプは全国大会の足がかりだと思うんです。なので、全国大会のような専門的すぎる講義をするのは違うな…と。「楽しくセキュリティを考える講義」にチャレンジしようと思いました。
　まず、講義の最初に「セキュリティ」という言葉の言語化からしてもらいました。この言語化ができている人は今後成長できると思いますし、そういう人が増えてほしいと思っています。

ーー 素晴らしい講義設計ですね。なぜここまでしっかり考えられたのですか?

　自分は教育について考えたり、人と喋ることが好きなんです。なので、自分なりに「こうしたらもっと楽しく学べるのでは？」ということを考えながら講義設計をしました。

ーー 受講生の反応はどうでした?

　講義が終わったあとに「おもしろかったです」と言ってもらえました。講義後のアンケートも5段階評価のうち4点や5点の回答が多くて、とても満足しました。

ーー それは素晴らしいですね。改めて振り返ってどうですか?

　「やりきったな」という感想です。ただ、時間配分はやはり難しかったですね。
　自分は専門的にセキュリティを学んでいるわけではないので、人へ教えられる自信がなかったのですが、インターン先の社員さんや知り合いの協力を得て良い講義が作れたなと思っています。チャレンジ講師のお誘いを受けてすぐは不安でいっぱいでしたが、今となってはやって良かったなと心の底から思います。

今後の活動

ーー 今後、取り組んでいきたいことはありますか?

　カンファレンスの運営やコミュニティ活動が大好きなので、そういったことに取り組んでいきたいです。
　今でも GDG (Google Developer Groups) Kyoto のオーガナイザーや TSKaigi の運営をしています。セキュリティ・キャンプに参加したことで、また一つコミュニティが増えたので、今後も携われるとうれしいです。