開催概要

MiniCamp Online 開幕

COVID-19の影響でオンサイト開催が難しい中始まったセキュリティ・ミニキャンプオンラインは今回が2回目です。通常のミニキャンプと比べ、複数日程でセキュリティ・キャンプ全国大会のミニ版に近い作りのイベントになっています。

1ヶ月程度にわたって行われた昨年度と比べ、短期間で講義を受講しつつ、事前学習課題やテキストベースの講義を展開して自分のペースで学習することを重視する構成となっています。また、チューターを交えつつ、参加者によるグループワークも引き続き実施しました。

  • 1日目 11月5日(土)
    • 『特別講義(倫理)~ハッカーの倫理~』 北條 孝佳 氏
    • 『AIを騙すテクニックと対策を学ぼう ~敵対的サンプル入門~』高江洲 勲 氏 三井物産セキュアディレクション株式会社
  • 2日目 11月6日(日)
    • 『シミュレーションを用いたIoT機器の解析体験』 土井 康平 氏 電気通信大学 情報学専攻在学
    • 『WebとCloudにおけるセキュリティの基礎と実践』 森岡 優太 氏 情報科学専門学校在学
  • 3日目 11月12日(土)
    • 『修了試験~問題を解いてみよう~』 セキュリティ・キャンプ協議会ステアリングコミッティ、講師
  • テキストと課題をベースとした学習
    • 『コンテナ技術に着目したクラウドネイティブセキュリティ入門』 梅内 翼 氏 株式会社サイバーエージェント

『特別講義(倫理)~ハッカーの倫理~』 北條 孝佳 氏

車を運転するには道路交通法等や交通マナーを知る必要があるように、サイバーセキュリティにも法律や倫理の理解が重要となります。セキュリティ・キャンプでは技術的な内容だけではなく、法律や倫理に関する講義を各イベントについて実施しています。今回はセキュリティ・キャンプ全国大会と同様、弁護士の北條先生よりサイバーセキュリティに関する法律の基礎的なお話を伺いました。

法令は書き方のルールや独特の用語が存在し、普通の文章と同じように読んでもなかなか理解しづらい部分があります。また、法律家の間でも解釈が分かれたり個別の事件ごとに裁判を経ないと断言するのが難しい箇所もあり、初心者が資料や人づてで学習するハードルが高く感じられる分野です。

今回の講義では法令の紹介や事例の解説に加え、現役の弁護士の先生に疑問点やこのような場合はどうなるのかといった質問に回答していただきました。セキュリティエンジニアとしてのルールを学ぶ足がかりとして、非常に貴重な機会となりました。

『AIを騙すテクニックと対策を学ぼう ~敵対的サンプル入門~』高江洲 勲 氏 三井物産セキュアディレクション株式会社

新たな技術には新たなセキュリティの危険あり。では、社会で急激に広がっていくAIにはどのような危険や発時の視点が必要でしょうか。今回の講義では、敵対的サンプルを用いてAIを騙すという切り口からAIに関するセキュリティに入門し、セキュアなAIの設計・実装の方針を考えました。

講義ではGPUを使用可能なGoogle Colaboratoryを使用し、講義の解説の合間に画像を学習させて画像識別AIを作成します。作成したAIは通常のサンプルでは機械学習の入門でよく見るように比較的高精度な結果を返します。しかし、一定のノイズを加えた画像(敵対的サンプル)を準備して分類させると、AIは明らかにおかしな結果を返すようになります。講義中には手元で試した結果を報告し合ったり、敵対的サンプルによる問題点を分析したり、AIに関連する研究論文等の話で盛り上がりました。

学生はAIを使うだけではなく、自分でAIを開発したり、研究したりする機会もあるかと思います。今回の講義で、AIセキュリティの重要な観点を得られたのではないでしょうか。

『シミュレーションを用いたIoT機器の解析体験』 土井 康平 氏 電気通信大学 情報学専攻在学

現代社会において、IoT機器は幅広く普及し、その通信の安全は暗号によって保護されています。セキュリティを担保するには暗号化処理に不備がないか、ロジック解析で暗号鍵を盗み出せないかといった観点で機器を設計する必要があります。一方今回は作業時間や消費電力といった情報を分析することで暗号鍵を推測するサイドチャネル攻撃に焦点を当てて講義が実施されました。

IoT機器のサイドチャネル攻撃と言われると、実機を思い浮かべますが、今回の講義ではJupyter Notebook上の環境で講義が行われました。消費電力等を含めて実際のIoT機器をシミュレーションをできるツールを用いてステップごとに作業を進めることで、実機がなくても理論を学習できます。

しかし、環境が整っても解析作業は一筋縄では行きません。電力差分解析と呼ばれる消費電力から暗号鍵を推測する手法の詳細は、暗号化処理から電気回路まで様々な知識が必要になります。参加者たちは関連知識の量にアップアップしながら、必死に講義に食らいついていました。

講義で使われた電気回路や数学の知識は、学校の全く別個の講義で履修したという参加者の方もいらっしゃったかと思います。講義の内容を学ぶのはもちろん、セキュリティという舞台で一見雑多な知識がひも付き、活用されている場面を垣間見ることができかたもしれません。

『WebとCloudにおけるセキュリティの基礎と実践』 森岡 優太 氏 情報科学専門学校在学

現在Webアプリケーションを作成する際には、クラウドの利活用が極めて重要になっています。様々なサービスをつなぎ合わせたり、簡単にインスタンスを立ち上げたりと大変便利な一方で、そのセキュリティ設定は従来のWebアプリケーションとは一味異ななります。Webアプリケーションが安全に作られていても、クラウドで問題のある構成や設定の不備があった場合は危険にさらされてしまうことがあります。

今回の講義では、SQLインジェクションやXSSといったWebアプリケーションの脆弱性からクラウドの設定まで様々な分野のセキュリティ上の脅威を取り上げて講義が行われました。また通信内容を確認したり、任意のデータを送信するために使われるBurp Suiteを始めとしたツールの使い方、安全なWebアプリケーションを作るための注意事項といった分野は実際のWebセキュリティの現場でも重要な知識です。

講義後半ではCTF形式の問題にチャレンジして、資料を必死に読み込んだり、解説を受けて手を動かしながら学習を進めました。参加者の疑問点や困っている箇所を講師・チューターがサポートすることで、オンラインでも疑問点を解決しながら進むことができたようです。また、講義終了後にもしばらく問題にはアクセス可能だったため、解けなかった問題を自分のペースで進める参加者も盛り上がっていました。

『コンテナ技術に着目したクラウドネイティブセキュリティ入門』 梅内 翼 氏 株式会社サイバーエージェント

Webやクラウドに関する2つめの講義。こちらは新たな試みとして、映像の講義がない、テキスト資料ベースの講義になっています。講義本編は4週にわたって公開される資料を読み、課題に回答して進みます。

講義前半では、近年頻繁に使われるコンテナ技術や、コンテナオーケストレーションを行うKubernetesの紹介がなされました。使い方だけではなく、コンテナの仕組みや、コンテナの必要性、コンテナオーケストレーションはどのような課題を解決するためのものなのかといった解説も含まれています。情報システムの機密性・完全性・可用性を学ぶためには、背景や理由の把握は欠かせないものです。

後半では、前半を踏まえたクラウドネイティブにおけるセキュリティを取り扱いました。複雑な問題も、4Cモデル(Cloud, Cluster, Container, Code)に基づいて分析していくことで、それぞれの注意点に注目できます。さらに、最終回ではPolicy as Code、セキュリティポリシーをコードとして取り扱う方法を取り扱いました。RegoやGatekeeper等を活用することで、バージョン管理、レビュー、自動化、効率的な運用等の仕組みが解説されました。

盛りだくさんの講義でしたが、わかりやすい図や課題を通じて、初めてのコンテナ技術でも理解を進められたという参加者の声も聞こえてきました。各自で取り組む方はもちろん、チューター主導で輪読会も実施され、Discordのボイスチャットをつなぎながら他の人と相談して読み進めていった参加者も見られました。

修了試験

最終日には修了試験として講師が作成した講義に関連する問題が出題されました。講義中でも扱ったCTF形式で、皆がスコアを競います。難しい問題や一筋縄ではいかない問題もありますが、講義資料を見返したり、なれないコマンドラインと格闘したり各々が精一杯食らいつきました。

修了試験を通じて、自分の理解を把握したり、CTFの楽しさを感じ取っていただけたのではないでしょうか。

グループワーク

昨年に続き、「未来につながるグループワーク」と称して各グループでミニキャンプ後も続けられる活動を考えてもらいました。

このテーマは、「セキュリティ・ミニキャンプオンラインの講義が終わったあともどうすれば継続して学習が続くか」という課題に向き合うものです。セキュリティは分野が広く、日進月歩で最新技術も移り変わります。ミニキャンプをただの単発イベントではなく、継続的な学習のスタート地点にするにはどうすればよいか、自分たちでできることを自分たちで考えてみようという仕組みです。

また、このグループは、チューターを交えた交流の機会にもなっています。全員の場ではつい聞きにくいような小さな質問や、作業のコマンドをメモするなど、仲間として講義を一緒に乗り切りました。

最終日のグループワーク発表では、各グループスライドで発表を行いました。一週間後と2~3ヶ月後、という比較的短い目標をお願いしたため、CTFやLT発表といった現実的な目標を組み立ててくれました。現在でも学校やプライベートの間を縫って活動が続いているグループもあるようです。

オンライン開催にあたって

コロナ禍でセキュリティ・キャンプ全国大会やセキュリティ・ミニキャンプがオンラインもオンラインでの活動が続いています。コロナ禍以前のセキュリティ・キャンプでは特殊な機材を使わない講義でも、参加者と対面で行うことが前提となっていました。アドバイスや環境構築で十分な手助けが行えなかったり、参加者感のコミュニケーションが難しい、という課題がありました。

講義に関して昨年度に引き続き、Google Cloud Platform上に仮想マシンを準備して、ブラウザ上からTeleportでアクセスを行う方式を採用していました。

セキュリティ・ミニキャンプ オンライン 2021 を開催しました - セキュリティ・キャンプ ブログ

今年の講義はTeleportと併用して、Jupyter NotebookやGoogle Colaboratory等を活用したローカル環境に左右されない講義が増加しています。このようなツールを使用する演習は他の勉強会等でもよく見かけるようになっており、イベントの参加や、自身が運営する側になることがあっても参考になるかと思います。講義の作りとしても、当日はもちろん、テキストや事前課題を活用してより定着をはかることができました。また、スプレッドシートで進捗を把握するといった講師の皆様の工夫や新たなツールの登場でより円滑で、事前・事後学習をしやすい体勢が整ってきた2022年だったと言えます。

また、講義内容とは別に課題となっていたコミュニケーションについても、講義だけではなく配信のチャット欄やDiscordでは質問や雑談が活発に行われました。グループワーク等を通じて、交流や学ぶ仲間をつくることができた方もいるのではないでしょうか。

終わりに

セキュリティ・キャンプでは今後も多くの参加者にセキュリティを届けるべく、今後もオンサイト・オンライン・テキストベースなど、様々な方向からイベントや講義を実施していく予定です。

直近では、セキュリティ・キャンプ フォーラム 2023とセキュリティ・キャンプ交友会 2023 春が予定されています。今後のイベントもお時間が合えば、ぜひ足を運んでいただければと思います。

セキュリティ・キャンプ交友会2023春