セキュリティ・ミニキャンプ in 福岡 2019 秋を開催しました
#福岡ミニキャンプ20199月7日(土)~9月8日(日)の2日間、「セキュリティ・ミニキャンプ in 福岡 2019 秋」を開催しました。
15名の学生が参加し、セキュリティの知識や技術、考え方について学びました。
スケジュールは次の通りでした。
- 9月7日(土)
- 『情報セキュリティ技術の使い方をケースで考えよう』吉井 和明氏 弁護士(弁護士法人ALAW&GOODLOOP、福岡県弁護士会)
- 『自分でUSBオシロスコープを作ってみよう』竹迫 良範氏 セキュリティ・キャンプ講師/高知工業高等専門学校 客員教授
- 9月8日(日)
- 『基本から学ぶWebセキュリティ』越智 郁氏 セキュリティ・キャンプ修了生/株式会社セキュアスカイ・テクノロジー
- 『脆弱性修正演習』服部 祐一氏 株式会社セキュアサイクル 代表取締役
参加者はグループディスカッションや演習を通して、低レイヤーやWeb、法律といった非常に幅広いジャンルを学びました。
1日目
『情報セキュリティ技術の使い方をケースで考えよう』
1日目は吉井 和明氏(弁護士法人ALAW&GOODLOOP、福岡県弁護士会)より、『情報セキュリティ技術の使い方をケースで考えよう』というテーマで講義が行われました。
サイバー犯罪の現状を取り上げ、実例を交えて不正アクセス禁止法や営業秘密等について説明がされました。
参加者は模擬の事例を題材にグループでのディスカッション等の演習を通して、情報セキュリティ技術者が身に着けておくべき技術の利用に関する法的知識について学びました。
自分たちが使っている技術は、また別の立場の人間からすると見え方が異なり、法に抵触するかもしれません。そのためにも、正しい倫理観とセキュリティに関する法律も知っておくことは重要ですね。
セキュリティ・ミニキャンプ in 福岡 2019 秋、最初の講義は吉井 和明さんによる「情報セキュリティ技術の使い方をケースで考えよう」です。情報セキュリティ技術者が身に着けておくべき、技術の利用に関する法的知識についてケーススタディを通して学んでいきます。 #seccamp pic.twitter.com/L8wsFvvqp3
— セキュリティ・キャンプ (@security_camp) September 7, 2019
『自分でUSBオシロスコープを作ってみよう』
1日目最後の講義は竹迫 良範氏(セキュリティ・キャンプ講師/高知工業高等専門学校 客員教授)より、『自分でUSBオシロスコープを作ってみよう』です。
オープンソースの信号解析ソフトウェア「sigrok」を用いて、USB通信のアナログ信号を盗聴する実験を行ないます。
次の講義は、竹迫 良範さんによる『自分でUSBオシロスコープを作ってみよう』です。ソフトウェア版オシロスコープsigrokを用いて、USB通信のアナログ信号を盗聴する実験を行ないます。 まずはドリルやはんだごてを使って機材を自作します。 #seccamp pic.twitter.com/g6Yi6n4NAV
— セキュリティ・キャンプ (@security_camp) September 7, 2019
この講義ではハンダゴテとドリルを用いて安価なUSBハブを改造します。
参加者の中にはハンダゴテを使うのが初めてという方もいらっしゃいましたが、グループで協力しながら演習を進めていました。
改造USBハブを作成後は、実際にUSB通信を PulseView で確認しました。参加者のWebスペースには盗聴できた画像が続々と貼られ、USB通信特有のパケットを確認できたようでした。
オシロスコープは安価なものから高価なものまでありますが、安価な機材とオープンソースソフトウェアで自作することも可能なんですね。
高価なものだとプロトコル解析機能などもついているそうです。
2日目
『基本から学ぶWebセキュリティ』
2日目最初の講義は越智 郁氏(セキュリティ・キャンプ修了生/株式会社セキュアスカイ・テクノロジー)より、『基本から学ぶWebセキュリティ』です。
セキュリティ・ミニキャンプ in 福岡 2019 秋、2日目が始まりました!最初の講義は、越智 郁さんによる『基本から学ぶWebセキュリティ』です。Webアプリケーションのセキュリティへの理解を深めながら、必要な知識や技術、考え方について基本から学びます。 #seccamp pic.twitter.com/VdJN2wesyM
— セキュリティ・キャンプ (@security_camp) September 8, 2019
セキュリティ・ミニキャンプでは、積極的にキャンプの修了生が講義にチャレンジしています。越智さんもキャンプ修了生で、今回初めて講義を担当しました。
講義の前半はWebアプリケーションの仕組みとセキュリティの基礎について、ディスカッションを交えながら学びました。1日目の別の講義でディスカッションに慣れていたこともあり、「身近なWebとは」「どういうことをされたら脅威になるか」といったテーマについて様々な意見が飛び出しました。
後半はこの講義のために用意されたWebアプリケーションに対して脆弱性診断を行い、報告書を書く演習でした。報告書を書くという経験はあまりないため、なかなか筆が進まないグループもあったようですが、最終的には全てのグループが報告書を書き上げることができました。
今回、講師の越智さんは講義の狙いとして、一人では得ることが難しい異なる視点や考え方を参加者の皆さんに得てもらうことを挙げていました。 ディスカッションや報告書を発表する参加者の様子を見ると、グループで物事に取り組む大切さを感じていたようで、この狙いは達成されていたと思います。
『脆弱性修正演習』
最後の講義は服部 祐一氏(株式会社セキュアサイクル 代表取締役)より、『脆弱性修正演習』でした。
この講義では演習用のWebアプリケーションを題材に、3-4人のチームでWebアプリケーションのソースコードを修正していく演習を行いました。
2日目の講義はどちらもWebアプリケーションの脆弱性を題材にしていますが、こちらはどのようにすれば安全なWebアプリケーションにできるかを考える講義となっています。
午後の講義は、服部 祐一さんによる『脆弱性修正演習』です。チームで稼働中のWebアプリケーションにある脆弱性を探し、ソースコードなどを修正するスキルを競う演習を行います。 #seccamp pic.twitter.com/8LVWxMZoIp
— セキュリティ・キャンプ (@security_camp) September 8, 2019
Laravelのソースコードを見たり、実際に攻撃してみたりして脆弱性を探していきます。
講義の最後には、どのようにすれば脆弱性を修正できるかの説明がありました。趣味でWebアプリケーションを作ってみる人には大いに参考になったのではないかと思います。
終わりに
今回のセキュリティ・ミニキャンプの講義は法律からオシロスコープ、Webアプリケーションなど非常に幅広いトピックを扱いました。頭をフル回転して大変な二日間だったと思いますが、それを感じさせないくらいに参加者の皆さんの表情が輝いていたのがとても印象的でした。
セキュリティ・ミニキャンプは今後も全国各地で開催していきます。募集を締め切ってしまった回もありますが、現在募集中だったりこれから募集が始まる回もまだあります。
この記事を読んで少しでも興味を持った皆さん、ぜひミニキャンプに参加してみませんか。あなたのご応募をお待ちしています。
最新の情報は https://www.security-camp.or.jp/minicamp/index.html をご覧ください。
