セキュリティ・ホーム・キャンプ
#いえキャン〜おうちでもできるセキュリティ・キャンプ〜
はじめに
COVID-19に負けない。セキュリティ・キャンプでも何かできないかを考えました。
セキュリティ・ホーム・キャンプ。おうちから出られず学びの機会が少なくなる中、おうちでもできることを発信できないか。
今後、講師陣や修了生キャンパーの有志たちと一緒に、さまざまなコンテンツを提供していきます。
こんなご時世だからこそ、みんなで助け合っちゃいますか。
ご注意
こちらに掲載するコンテンツの著作はすべて作成者さまに帰属します。 世の中を安心安全に、セキュリティを学ぶためのコンテンツです。 コンピュータやインターネットの悪用を助長するものではありません。ご理解よろしくお願いします。
これまで公開されたコンテンツをピックアップ
まずは、これまで公開されているコンテンツをまとめました。
講師の方々のご厚意で、資料や動画がアップロードされている講義がいくつかあります。ぜひこの機会にのぞいてみてください。修了生のみなさんは、「あの時受けたかった!」という講義があるといいですね。
講師の方々については敬称略で紹介します。また、所属や概要は当時のものです。
次世代プラットフォームのセキュリティモデル考察(全国大会2016)
講師: はせがわようすけ(株式会社セキュアスカイ・テクノロジー)、西村 宗晃(株式会社リクルートテクノロジーズ)
HTML5やJavaScriptを利用したアプリケーション開発技術、HTTPによる機器間の通信技術はWebという枠を超え様々な分野で応用されつつあります。この講義では、ElectronやCordova、Chromeアプリを題材に、これら新世代のプラットフォームに備わっているセキュリティ上の保護機構や、プラットフォームの使用により発生が予見される問題点などについて考察し、アプリケーション開発者がどういった点に気を付けなければいけないかの指標を示せるような技術を身につけることを目的とします。
ブラウザの脆弱性とそのインパクト(全国大会2017)
講師: Masato Kinugawa(Cure53)、西村宗晃(株式会社リクルートテクノロジーズ シニアセキュリティエンジニア)
普段私達が利用するWebサイトの安全性は、サーバサイドの堅牢な実装に加えて、ブラウザのセキュリティモデルの上に成り立っています。ブラウザに脆弱性があると、あるサイトに投稿した情報が他のサイトに盗まれるなど、様々な問題が生じます。ブラウザの脆弱性の多くは、実装のちょっとしたおかしな動作によって起こります。しかし、ブラウザを利用する多くのユーザーは、そのおかしな動作が脆弱性であり、攻撃に利用されうることに気付きません。脆弱性を見つけるには、そのちょっとしたミスを悪用する方法を見つけ出す発想力が必要となります。本講座では、そうした攻撃者の発想力をどのように養うのか、幾つかの観点を学びます。
BareMetalで遊ぼうゼミ(全国大会2018)
講師: 西永 俊文(エヌ・ティ・ティ・コミュニケーションズ株式会社)
「BareMetalで遊ぼうゼミ」は、BareMetal開発が大好きな講師(西永)がサポートしつつ、マイコンやRaspberry Piなどのコンピュータを用いた「ものづくり」を行うゼミです。 このゼミでの「BareMetal」の定義は、OSや基本的なライブラリの動いていない、素のコンピュータのことです。起動直後の素のコンピュータは、画面に文字を表示するどころか、C言語で書いたプログラムすら動きません。そんな何もできないところから、クロスコンパイラを用意し、Makefileやリンカスクリプトを書いてプログラムをビルドできるようにし、アセンブリ言語を用いてC言語で書いたプログラムが動くようにして…..と開発を続けていきます。この過程を経てものづくりを行うことで、受講生のみなさまには「コンピュータアーキテクチャの基礎」「ハードウェアマニュアルの探し方や読み方」「既存のライブラリやOSのありがたさ」を経験を伴った知識として身につけることができるでしょう。 本ゼミでは講師の用意した課題、または受講者のみなさまからの持ち込み課題でものづくりを行います。 持ち込み課題の条件は「なるべくBareMetalから作ること」だけです。この条件を満たせば、どんな開発テーマでも可能な限りサポートします。「ARMマイコンを使った電子工作をmbedなどのライブラリを使わずに作りたい!」や「簡単な組み込みOSをRaspberry Piで動くようにしてみたい!」という思いのある方はもちろん、このゼミをきっかけに組み込み開発に入門したい方も、チャレンジ精神と諦めない心があれば十分です。ぜひこのゼミにいらしてください。一緒に組み込み開発を楽しみましょう!
本当にわかる Spectre と Meltdown(全国大会2018)
講師: 川田 裕貴(LINE株式会社)
2018年 Meltdown と Spectre という CPU のアーキテクチャに関連した、2つのサイドチャネル攻撃に対する脆弱性が公表されました。 現代の CPU は命令を実行するだけの単純なものではなく、とても複雑な仕組みを持ったハードウェアとなっています。 性能を向上させるため高度な投機的実行や分岐予測などが行われていたり、OS へのハードウェア支援を提供するために様々な機能が実装されています。 今回の2つの脆弱性は、このような CPU の高度な機能をうまく利用してサイドチャネル攻撃に利用したものであり、 理解するためには CPU アーキテクチャをよく理解している必要があります。 この講義では、手を動かしながら現代の CPU の動作を読み解き、その内部的な動作や実行過程について深く理解していきます。 その過程で、Meltdown や Spectre がどのような脆弱性であるかを、よく理解できるようになることを目指します。
ユーザー企業における情報システムとセキュリティ(全国大会2019)
講師: 鈴木 研吾(FOLIO, Inc.)
ユーザー企業ではユーザーとビジネスを守る(Protect)ため、様々なリスク管理を実施しています。それ自体の変化はありませんが、業務システムやサービスをホスティングする環境が多様化するかたわら、新しいリスクが生まれてきているのも事実です。 本講義では、ビジネスを継続成長させていく中で、経営的なお話、新しいセキュリティの概念「ゼロトラスト」、サイバーセキュリティフレームワークなどをまじえて、どのようにユーザー企業内でのセキュリティ体制を構築・運用していくか学んでいきます。最終的なゴールはユーザー企業にセキュリティ担当で入った場合の動き方をイメージできるようになっていることを目標にします。
講師の鈴木さんによるブログ記事も合わせてご覧ください。
体系的に学ぶモダン Web セキュリティ(全国大会2019)
講師: 米内 貴志(東京大学理学部情報科学科)
Webサービスの設計時・運用時には、Content-Security-Policy を始めとする、各種セキュリティポリシーへの正しい理解が重要です。そこで本講義では、ブラウザの有するモダンなセキュリティ機構を、その背景にある攻撃手法との関連の中で体系立てて学びます。XSSやサイドチャネル攻撃、CSSを用いた攻撃など、多岐にわたる攻撃を手を動かしつつ検討することを通じて、モダンなWebセキュリティの世界を探検しましょう。
認証の課題とID連携の実装(全国大会2019)
講師: 倉林 雅(OpenID ファウンデーション・ジャパン、ヤフー株式会社)、林 達也(ココン株式会社/イエラエセキュリティ株式会社/株式会社レピダム/OpenIDファウンデーション・ジャパン/慶應義塾大学)
計算機と寄り添うように使われてきたIDとパスワードによる”認証”は、既に社会においても個人の生活から社会システムにおいてまで日々利用されている、重要な基礎技術です。 一方で、古典的な攻撃手法であるパスワードクラック等を始め、サイバーセキュリティにおける攻撃の基本ともいえる領域ともなっており、計算機の歴史においては重要な要素技術として常に磨かれ、進化してきました。 もちろん、社会に普及したものである以上、完璧ということはなく既に数々の課題が存在します。多くの課題がある中、最近ではLINEやFacebookやTwitterなどによる、いわゆるソーシャルログインのようなID連携(ID Federation)や多要素認証などの新しいトレンドが普及してきました。 多くの人はあまり意識せずに認証を行っていますが、そもそも”認証”(Authentication)というのはどういう行為を指しているのでしょうか?認証の概念は、デジタルの世界で必須となる重要な概念で、実は考えるととても奥深く興味深いものです。 講義では現代のデジタル社会における認証とID・パスワードによる認証システムの課題に触れ、その課題解決方法であるFIDO、ID連携(OAuth・OpenID Connect)をはじめとした最近の技術をご紹介します。FIDOは端末とサーバー間でユーザー認証を安全に連携するための仕組みです。OpenID Connectはユーザーの認証と認可を連携するためのID連携の仕組みで、OAuth 2.0を拡張した仕様であり、HTTP通信やJSONなど基礎的なWeb技術によって構成されています。 FIDOとID連携の技術を学んだ後、実習ではGolang(予定)を用いてWebアプリケーション上にOpenID Connectを実装します。実装の注意点とそのリスク、仕様に施されているセキュリティー対策についてハンズオンを行いながら解説します。
倉林さんによるGitHubのリポジトリも合わせてご覧ください。
おわりに
すべての資料を目に通すと、それだけで全国大会の期間分ぐらいありますね! この他にも多くの過去資料が公開されていますので、また機会があればご紹介したいと思います!
ぜひおうちでセキュリティ・キャンプ、してみましょう!
