セキュリティ・キャンプ全国大会2023のBコース(Webセキュリティクラス)に参戦してきました。
この記事では、文系の視点から参加してよかった点や、応募課題で何を意識したかなどを参加記として紹介します。
文系だけど興味がある・・・という方や、応募しようとしている!という方の参考になれば幸いです。
結論
結論として、参加してとても良かったです!
ITに触れていて楽しいなら、文系だろうがなんだろうがおすすめしたい!
- 普段使っている技術の中身や攻撃者の心理、ベストプラクティスに頼らない対策の考え方などを知り、本質的なセキュリティ対策を考えられるようになった。
- 普段なかなか出会えないセキュリティ業界のスペシャリストとお話できる機会があった。
- 周りがつよつよエンジニアすぎて刺激を受けた、知らない世界を知れた。
- でも、内容に全然ついていけないということはなかった。
- 協賛企業のセキュリティ担当者様と直接お話できた。
- とても楽しかった
参加して学んだこと・良かったこと・印象深かったこと
本質的なセキュリティ対策を考えられるようになった
普段使っている技術の中身や攻撃者の心理、ベストプラクティスに頼らない対策の考え方などを知り、本質的なセキュリティ対策を考えられるようになりました。
この力は、組織の状況を踏まえた最適な対策や未知の脅威への対策をやる上で重要な力です。
セキスペの午後問題で学んだベストプラクティスの範囲内でしか対策を考えられない私にとって、これを身につける土台を手に入れたことが今回の一番の学びだったと感じます。
例えば…
- 既存のフレームワーク(MITRE ATT&CKなど)を参考に、守るべき資産へ攻撃者がたどり着くまでのルートをグラフで明確にし、攻撃の起点となる守るべき入口への対策状況をリストで明確にすることで、攻撃手法と対策を紐づけ自分たちに本当に必要な対策を見極め網羅的に実施できる(B2講義)。
- Passkey(認証・認可技術)のフローを知ることで、改ざんされるとマズイ情報や攻撃方法を把握し、用意されている対策だけに頼らずそれを踏まえた全体構成や追加の対策も考えられる(B4講義)。
というような力です。
特に前者については、具体的な対策を考える上だけでなく効果的な戦略を立案する上でも役立つため、最前線のエンジニアだけでなく意思決定者や経営戦略へ携わる人も身に着けておくべき力だと個人的に思っています。
文系の方でもぜひ身につけておきたいところではないでしょうか。
セキュリティ業界のスペシャリストとお話できた
セキュリティ業界の最前線で活躍されているスペシャリストの方々とお話する機会がたくさんありました。
その分野の技術を極める第一人者の方や、テクノロジーと経営両方の視点を持つセキュリティ企業CTOの方などから普段なかなか聞けないような話を伺うことができ、自分の目指したい将来像を具体化することができました。
また、将来像を具体化するだけでなく、不確実性の高いこれからの世の中で皆様のように活躍できるセキュリティ人材になるべく意識するべき点を学ぶこともできました(B5講義)。
文系の世界にいるとこういったチャンスは意識的に作らない限り少ないので、セキュリティ・キャンプへ参加して一番良かった点だと感じます。
憧れのあの人に会えた!
私にとって一番印象深かったことは、憧れのセキュリティ芸人「アスースン」さんと直接お会いし、生コントも見られたことです。
私がセキュリティ・キャンプに応募したきっかけがアスースンさんの動画であり、いつかお話したいと思っていたため、とても嬉しくて思い出深い出来事でした。
あなたも選考突破して、面白い生コントを見に行かないか?
↑アーカイブがアスースンさんのYouTubeで見られます
そのほかにもたくさんの良かった点が!
そのほかにも、以下のようなたくさんの良かった点がありました。
周りがつよつよエンジニアばかりで刺激を受けた
周りの受講生を見渡してみると、低レイヤー極めている人、OSとか作っちゃう人、ずんだもんマスター…
つよつよエンジニアばかりで刺激を受けました。
やっぱり技術持っている人はすごく…すごいです…!
(ナリ◯トップ◯ード並感🐎)
中でも特に、全く知らないけど低レイヤー触ってみたいなぁと思っていたので、とっかかりになる話を聞けたのがよかったです。
ありがとうございます。
協賛企業のセキュリティ担当者様と直接お話できた
プログラムの中に「協賛企業イベント」という協賛企業の担当者様から会社説明などを聞ける機会があるのですが、文系にとってこれは非常にありがたい。
というのも、情シス部門とかに関するインターンシップが理系学生限定の企業だと、なかなか詳しい話をピンポイントにセキュリティ担当者様へ質問できる機会が少ないからです。
例えば三菱重工業株式会社の担当者様に質問できたのは、貴重な機会でした。
楽しい!
同じ分野に興味を持つ仲間と過ごす5日間は、楽しくてあっという間でした。
普段身をおいている環境じゃ出てこないGeekな話題がバンバン出てきます。
ChaCha20が名前かわいいから好きとか言って伝わった時は感動ものでした。
また、けしからん楽しい社会見学では、IPAの登先生から直接講演を聞くことができたほか、かの有名なLGWANの光ファイバーを拝んできました。
ちゃんと講義内容についていけたか?
ちゃんと講義内容についていけるか?については応募しようか悩むポイントになろうかと思います。
結論としては、応募課題が理解できれば自信を持って挑めると感じました。
ほとんどの講義が座学とハンズオン(演習)を1:1で組み合わせた構成になっていましたので、それぞれ説明します。
座学
座学は、講師の皆様にとてもわかりやすく説明して頂いたこともあり特に苦なく理解できました。
事前に講義内容のキーワードをチェックして概要を理解しておけば(IPAのページで見れます)、全く知らない分野や苦手な分野があっても問題ないかと思います。
例えば私はKubernetesで過去に一度挫折した人間ですが、今回の講義を通して自分で勉強できるレベルまで理解できるようになりました。
例えば、この応募課題が理解できれば問題ないと思います。
■ Q.6(Web サービス・プロダクト開発に関する仕組みの検討) あなたがチームで Web アプリケーションを開発していくための組織やプロセス、そしてそれを支える技術基盤の設計と実装を任されたとします。その際にセキュリティ上考慮すべきだと思う点を可能な限り列挙し、理由とともに説明してください。
IPA(2023)『セキュリティ・キャンプ全国大会2023 専門コースB【Webセキュリティクラス】応募課題』より引用
解答の際には、一からすべて自分で考えるのではなく、OWASP や NIST 等が提示している何らかの文書(例: OWASP SAMM や NIST SSDF 等)を参考にしても構いません。また、気をつけるべき点を考えるだけではなく、具体的に何かを構築してみた場合は、ぜひそれも本設問の解答として含めてください。
https://www.ipa.go.jp/jinzai/security-camp/2023/zenkoku/hjuojm000000jaet-att/course_b.txt
ハンズオン
こちらは時間的制約もあり、全てやりきるのは難易度が高かったと感じます。
とはいえじっくりやれば理解できる内容ですので、特に臆することはないかと。
また、詳しくは後述しますが、必ずMac or Linuxの実行環境を持っていきましょう…特に文系の方…
お恥ずかしながら私はPowershellでコケて時間取られることが多かったです…
例えば、この応募課題が理解できれば問題ないと思います。
■ Q. 4(Web に関連する脆弱性・攻撃技術の検証) 「Top 10 web hacking techniques of 2022」(https://portswigger.net/research/top-10-web-hacking-techniques-of-2022) は、Web に関するセキュリティリサーチャーの投票により作成された、2021 年に報告された興味深い Web に関する攻撃テクニック 10 選です。この Top 10 中の事例の中で、興味を持てたもの 1 つに関して、以下を説明してください。
IPA(2023)『セキュリティ・キャンプ全国大会2023 専門コースB【Webセキュリティクラス】応募課題』より引用
(1) 事例の概要
(2) 攻撃手法の詳細
(3) その他その事例に関して感じたこと・気がついたこと
なお、本設問では、関連する仕様や攻撃の適用可能な条件についての詳細な理解が垣間見えるような記述や、理解を深めるために行ったこと(例: ローカルで行った再現実験等)に関する記述を歓迎します。
https://www.ipa.go.jp/jinzai/security-camp/2023/zenkoku/hjuojm000000jaet-att/course_b.txt
応募課題で意識したこと
個人的には、以下の2点を意識して取り組みました。
- 自分の得意分野を盛り込む(IT以外の)
- ちゃんと一定レベルの技術的な理解があることを示す
- 熱意を示す
自分の得意分野を盛り込む
当たり前っちゃ当たり前ですが…
IT以外の得意分野があるので、ちゃんとそれを自分の強みとして盛り込みました。
経営学を学んでいるなら組織マネジメント、法学を学んでいるなら法律の知識…
これらの知識とテクノロジーの知識をかけ合わせた発想を盛り込めば、ユニークな回答になるはずです。
一定レベルの技術的な理解があることを示す
一方で、前述した発想からの回答だけだとちゃんと講義についていけるのかわかりにくいので、意識的に技術的な理解があることを示すようにしました。
具体的には、「得意分野を盛り込み強みを示す設問」と「理解を示す設問」を自分で分けてから回答し、理解を示す設問では実際に手を動かして構築した・実験した内容をもとに回答するのがいいのではないでしょうか。
私は脆弱性を仮想環境で実験した内容と、このWebサイトのことを書きました。
熱意を示す
応募課題にもよりますが、文字数制限のない課題が多いです。
そのため思いつく限りの内容を盛り込み、かつ詳しく記述して熱意を伝えることも意識しました(もちろんわかりやすく整理した上で)。
私はかなりの時間をかけて取り組み、結果1つの課題としては過去一番のボリュームになりました。
持ち物や宿泊施設について
ここまで読んで応募したい!/しよう!と思って頂いた方のために、持ち物や宿泊施設についても少し書いておきます。
持っていった方がいい
Mac or Linux環境
これめちゃくちゃ大事。
Windows機でハンズオンやろうとすると環境の違いからか資料通りできないことが多く、コケる率が上がります!
Windows派ならWoLかLinux環境にリモートアクセスできる環境を持っていきましょう。
名刺
前述しましたが、普段会えない人と名刺交換できるチャンスです!
150枚くらいあると安泰かなと思います。
夜食
(あくまで今回の会場だっとクロスウェーブ府中の話ですが)
カップラーメンとかあると安心です。
夕食で白米のおかわりとかはできましたが、スケジュールにあまり余裕がなく、人によっては物足りない日があるかもしれないので。
持っていかなくてもよかったもの
延長コード
各テーブルに6口くらいのタップが用意されていたので、自分で持っていく必要は特にありませんでした。
上着
ノベルティのパーカーが最初に配布され、みなさんそれを着ていたので持っていかなくても大丈夫そう。
飲み物
お水がたくさんもらえるので自分で持っていく必要はなさそうです。
宿泊施設について
今回の会場だったクロスウェーブ府中では以下のようなアメニティ・設備がありました。
一般的なホテルと同じような感じだと思って荷造りすればいいと思います。
- 歯ブラシ
- カミソリ
- ブラシ
- 部屋着(ガウン)
- ボディーソープ
- シャンプー
- コンディショナー
- ドライヤー
- ケトル/お茶パック
- 冷蔵庫
期間中は外に出られませんが、特に不自由することはなかったです。
一応2回ほどコンビニに行くチャンスはありました。
最後に
ここまで、文系の視点からセキュリティ・キャンプに参加した感想を振り返ってきました。
最後にまとめると、私がお伝えしたいのは
- ITに触れていて楽しいなら、文系でも参加するべき!学びや出会いがたくさんある!
- 応募課題が理解できれば臆することはない!
- Mac or Linux環境を持っていけ!(3回目)
ということ。
来年以降、同じ志を持った方が参加する助けや後押しになれば幸いです。
コメント