若者たちが合宿形式でセキュリティ技術を学ぶ「セキュリティ・キャンプ全国大会」の修了生向けに、“現在の”取り組みや研究成果などを表彰するイベント「セキュリティ・キャンプアワード」の最終審査と表彰式が3月4日、「セキュリティ・キャンプフォーラム2016」内で行われた。
ITやセキュリティ業界の未来を担う学生たちが、業界の最前線に立つ講師から最新の知見を学ぶ「セキュリティ・キャンプ全国大会」は、毎年8月に行われる合宿形式の勉強会だ。2016年で13年目を迎える同キャンプの修了生は、キャンプで培われた知識や技術力を糧に、さまざまな分野で活躍の場を広げている。
そんな彼らの「今」に注目し、修了後の取り組みや研究成果などを表彰するため2015年に創設されたのが「セキュリティ・キャンプアワード」だ。その第1回の取り組みとして、一次審査を突破した5人を対象にした最終審査と表彰式が3月4日、「セキュリティ・キャンプフォーラム2016」内で行われた。
最終審査に先立ち、北陸先端科学技術大学院大学 教授の篠田陽一氏による基調講演と、2013年および2014年の修了生2組による講演が行われた。
基調講演「+αノススメ」で篠田氏は、「教育や人材育成は、ころころ変わるトレンドに合わせるものではない。20年、30年のスパンで考えなければならない」と述べた。その上で同氏はセキュリティ教育の現状を「バンドワゴン(時流・流行)のようなもの」と一蹴。セキュリティ分野を目指す人は時流に惑わされることなく、攻撃側と同等かそれ以上のコンピュータおよびネットワークに関する知識・洞察力を習得し、「サイバーセキュリティに特化した専門家を目指すのではなく、アーキテクチャやソフトウェア工学(特に計算モデル)など、総合科学の“+α”を身に付けてほしい」と説いた。
修了生による講演では、2014年修了生の出村賢聖氏がロボットのセキュリティソフト製作話やシリコンバレーで体験したさまざまな出来事について笑いを交えながら語った。また、2013年修了生の渡部裕氏と2014年修了生の越智郁氏は、セキュリティ・キャンプ参加までの道のりと仲間との出会い、修了後に九州と東京の遠距離で進めた笑顔認識システムの共同開発について情報を共有した。
その後行われた一次審査突破者5人による最終プレゼン(最終審査)は、多彩な内容となった。
「DLL Injectionを用いたGoogle Chromeへの攻撃(https[http]post dataの奪取)」と題した発表を行った井澤賢輝氏は、ブラウザのタブで消費されるメモリ上に危険なデータが残っている場合に考えられる攻撃手法とその対策を考察した。
「自作バイナリエディタを用いた解析」では、小竹泰一氏がクロスプラットフォームでの自動的なバイナリ解析を実現する自作バイナリエディタ「biwx」を発表した。同ツールはPythonとwxPythonを使って開発したという。小竹氏はバイナリの切り出しやPDFの解析を自動実行するツールの機能を紹介し、今後もシェルコード解析など機能拡充を目指すと語った。
「パケット解析ライブラリ、LibPGENの開発によるパケット遊び」を発表した城倉弘樹氏は、C++で簡単なコードを書けば自由にパケットを作成・変更できるパケット解析ライブラリ「LibPGEN」を開発し、定番ツールの「Wireshark」に縛られない自由なパケット遊びを提案した。
また、「ハニーポッターへの道」では、「ハニーポッター」を目指す中村綾花氏が、独学で開発中の自作ハニーポットについて、攻撃されやすいWebサイト作りやログ採取の失敗から見えた問題など、手探りで完成を目指す課程を紹介した。
「ハニーポットから分析する攻撃者」を発表した森田浩平氏は、約1年間自らハニーポットを運用して見えてきた攻撃手法や傾向を分析した。同氏は運用する3種類のハニーポットそれぞれの特徴を生かし、甘い設定を狙ったスキャンは毎日行われることや、DDoSの踏み台としてルータを狙った攻撃が非常に多いことなど、さまざまな知見を得たと解説した。
プレゼンを受け、5人の受賞結果は、以下の通りとなった。
最優秀賞に輝いた森田氏は、高校時代に本屋で「ハッカージャパン」を見掛けてからセキュリティに興味が湧き、大学で情報学部に進んだ。その後、2014年の「セキュリティ・キャンプ九州 in 福岡」で濱本常義講師の「ハニーポット+簡易セキュリティ診断講座+マルウェア解析講座」を聴講。「セキュリティは攻撃者を知ることが重要」と考えていた森田氏は、その一番の近道がハニーポットであると感じ、運用を始めた。そして2015年のセキュリティ・キャンプ全国大会では解析と検知関連のトラックを中心に受講。ハニーポット運用のための知識・技術に磨きをかけていった。
セキュリティ・キャンプ修了後は、同じ広島在住のキャンプ生とオフラインで会って話をしたり、遠い仲間たちとはコミュニケーションツール「Slack」でチームを作って資料やテクニックなどを共有したりしてきたという。
「今後はセキュリティの楽しさを伝える活動もしたい。また、Webアプリ開発のアルバイトで、開発段階からセキュリティを確保することの重要性を痛感しており、そうした部分を変えていけるよう取り組んでいきたい」(森田氏)
セキュリティ・キャンプ実施協議会会長の三輪信雄氏も、「技術力や知識を磨いて尖った成果を出すことはもちろんのこと、仲間とネットワークを作って情報交換しながら新しい何かを作ったり、地域でセキュリティ普及の草の根活動をしたりする活動が活性化してほしい」と述べ、今後そうした活動を本アワードで丁寧にくみ取って評価していきたいと明かした。
「セキュリティ・キャンプ実施側としても、地方企業との関係の構築、企業のセキュリティ人材に対する意識の改革促進、学生と企業による現場レベルでの対話の支援など、やるべきことはたくさんある。それを少しずつ解消しながら、修了生がキャリアパスを描ける未来を作っていきたい」(三輪氏)
Copyright © ITmedia, Inc. All Rights Reserved.