10 月 10 日〜11 日に、セキュリティ・ミニキャンプ in 福岡 2020 を行いました。

ここでは、当日の内容をざっくりまとめてご紹介したいと思います。

開催概要

今回のミニキャンプでは専門講座のみの開催となりました。

  • 『オープニング』セキュリティ・キャンプ協議会 ステアリングコミッティ
  • 『Moving Target Defense 基礎演習』小出 洋氏 九州大学情報基盤研究開発センター、サイバーセキュリティセンター 教授
  • 『IoT 機器を解析しよう!』森 瑛司氏 鹿児島大学理工学研究科
  • 『情報セキュリティ技術の使い方をケースで考えよう』吉井 和明氏 光雲法律事務所(てるもほうりつじむしょ)/福岡県弁護士会 弁護士
  • 『Web アプリケーションの脆弱性体験』猿渡 翔一郎氏 株式会社セキュアサイクル
  • 『クロージング』

Moving Target Defence 基礎演習

小出 洋氏(九州大学情報基盤研究開発センター、サイバーセキュリティセンター 教授)より、「Moving Target Defence 基礎演習」を行いました。Moving Target Defence(MTD)とは、情報システムの変更可能なさまざまなパラメータを変更して攻撃に要する時間やコストを増大させる実際的な手法です。本講義ではシステムコールを変更したり、動的に Web サービスのポートを変更することで攻撃コストを増大させる方法を学びました。また、サービスを稼働したまま MTD を行う方法について議論をしました。 MTD はカーネルやハードウェア、ネットワークなどの様々なレイヤで適用できるため、これからの攻撃緩和テクニックとして注目していきたい技術ですね。

IoT 機器を解析しよう!

森 瑛司氏(鹿児島大学理工学研究科)より、「IoT 機器を解析しよう!」を行いました。この講義では IoT 機器にはどのような脆弱性があるかや、シリアル通信や UART の基礎知識を学びました。講義の後半は実際にはんだづけなどを行い、機器を解析して攻撃方法などについて議論しました。電子工作を未経験の方でも機器解析に入門できるのはキャンプならではですね。

情報セキュリティ技術の使い方をケースで考えよう

吉井 和明氏(光雲法律事務所(てるもほうりつじむしょ)/福岡県弁護士会 弁護士)より「情報セキュリティ技術の使い方をケースで考えよう」というテーマで講義が行われました。 架空のケースを題材として、どのような問題があるかを考え、情報セキュリティ技術者が身に着けておくべき技術の利用に関する法的知識について学びました。また、過去事例についても解説を行っていただきした。 毎年、福岡ミニキャンプでは吉井先生に法律の講義を行っていただいていますが、講師や運営も改めてこの講義を聞くたびに身が引き締まる思いです。

Web アプリケーションの脆弱性体験

最後は、猿渡 翔一郎氏(株式会社セキュアサイクル)より「Web アプリケーションの脆弱性」と題して講義があり、Web アプリケーションの脆弱性を OWASP TOP10 を元に解説しました。実際に脆弱性を見つける演習を行い、今回用意された脆弱なやられ Web アプリケーションには XSS などの他に、認可不備などのロジック不備が盛り込まれており、参加者は次々と脆弱性を発見していました。発見した脆弱性をグループチャットで共有し、グループ間で競い合うように見つけていました。

まとめ

今回のミニキャンプでは、MDT / Web アプリケーション / 法律 / IoT と幅広いジャンルを学ぶことができ、自分にとって興味のある分野を見つけるきっかけになったと思います。 アカデミックな内容もあったり、法律について弁護士の方からお話を聞けるのも、セキュリティ・キャンプならではの貴重な時間だと思います。 セキュリティ・ミニキャンプは今後も全国各地で開催していきます。 募集を締め切ってしまった回もありますが、現在募集中だったりこれから募集が始まる回も、まだまだあります。 この記事を読んで少しでも興味を持った皆さん、ぜひミニキャンプに参加してみませんか。あなたのご応募をお待ちしています。

最新の情報は https://www.security-camp.or.jp/minicamp/index.html をご覧ください。