20年目を迎えたセキュリティ・キャンプ、輩出された人材に見るその価値：激変したIT環境、変わらない学びへの熱意

2004年からセキュリティ人材の発掘、育成を目的に継続してきた「セキュリティ・キャンプ」。コロナ禍でオンライン／ハイブリッド開催を余儀なくされた時も工夫しながら継続し、ついに20年目を迎えた。2023年は久しぶりにオフラインの講義が主体となり、受講生や講師が4泊5日の期間中、顔を突き合わせ、密にコミュニケーションをとれる場が復活した。

[高橋睦美，＠IT]

　20年という時間は、人が生まれ、独り立ちするのに十分な時間といえるだろう。

　実にそれだけの期間、セキュリティ人材の発掘、育成を目的に継続してきた取り組みが「セキュリティ・キャンプ」だ。文字通り、情報セキュリティやサイバーセキュリティに興味を抱く若い学生を発掘し、現場の最前線で活躍する講師が講義することで、セキュリティ人材を発掘、育成することを目的にしたプログラムだ。

　今や、毎年8月に4泊5日の合宿形式で行われる「全国大会」に加え、全国各地で実施される「ミニキャンプ」や、より若い層をターゲットにした「ジュニアキャンプ」、過去の修了生も含め、より高度で掘り下げた内容を学んでいく「ネクストキャンプ」など、多様な形で、より幅広い層に教育を実施するようになっている。

　過去には開催母体の変更に加え、「セキュリティ＆プログラミングキャンプ」という名称で実施して裾野を広げたり、「専門コース」を設けて1つのテーマを掘り下げて追求するカリキュラムを組んだり、さまざまな試行錯誤を重ねながら続いてきたセキュリティ・キャンプ。コロナ禍でオンライン／ハイブリッド開催を余儀なくされた時も工夫しながら継続し、ついに20年目を迎えた。

DX推進に向け、大きな期待が寄せられるようになったセキュリティ人材

　2004年からの約20年間で、世の中におけるセキュリティの位置付けは大きく変化した。もはやITだけ、技術者だけの問題にとどまらず、社会や産業の在り方、時には国際情勢にまで影響を及ぼす課題となっている。

　セキュリティ・キャンプの企画が立ち上がった当初は「ハッキングのやり方を若者に教えるとは何事だ」という意見も見られた。だが今や、攻撃者の手法を知った上で守り方を考えることは当たり前となっている。またキャンプの一企画として行われたCTF（Capture The Flag）が、技術コミュニティーはもちろん、警察や自衛隊などで広く開催されるようにもなった。

　2023年8月7日に行われた開講式、そして11日の閉講式のあいさつからは、「デジタル時代、デジタルトランスフォーメーション（DX）を支える上でセキュリティを不可欠なものと位置付け、それを支える人材として活躍してほしい」という主催者側の思いがひしひしと伝わってきた。

　キャンプを主催する情報処理推進機構（IPA）の理事長、斎藤裕氏は、「デジタルの活用には攻めと守りがあり、その強化には人材と組織を整備していくことが最も重要です。今回のキャンプを通じて、日本のデジタル時代を支え、発展させる人材を育てることがわれわれの希望です」と述べた。

　また来賓あいさつに立った経済産業大臣政務官、里見隆治氏は、日本社会が直面する多くの課題を克服する手段の一つとしてAI活用をはじめとするDXの推進に期待が高まる一方で、サイバー攻撃が高度化、激化していることに言及。ひとたびシステム障害や情報漏えいが起こると大きな影響が生じてしまう時代であり、もはや対岸の火事ではないと指摘した。

　そして「政府としても、サイバー空間の安全かつ安定した利用を確保するために、対応能力を欧米主要国と同等に高めることを目指しています。それには高いスキルと経験を有するセキュリティ人材が不可欠です」と述べ、受講生にエールを送った。

同じ興味や関心を持つ、同世代の仲間を作る貴重な場

　この数年は、コロナ禍の影響を受け、オンライン講義を主体とした取り組みが続いていた。2023年は久しぶりにオフラインの講義が主体となり、受講生や講師が4泊5日の期間中、顔を突き合わせ、密にコミュニケーションをとれる場が復活した。このため、キャンプのもう1つの大きな目的「仲間作り」もやりやすくなったようだ。

　特に、長年多くの受講生を見てきた講師陣らは、この思いを強く抱いているようだ。異口同音に、「リアルで集まれたことを生かして、同じコースを受講している人たちだけでなく、他のコース、他のテーマに取り組んでいる人とも交流し、友達を作ってほしい」と口々に呼び掛けていた。

　坂井弘亮氏は「彼には負けたくない、彼女には負けたくないと思えるライバルを認定できるといいと思います」と述べ、「強敵」と書いて「とも」と呼べる相手を見つけてほしいとした。

　一方で、セキュリティへの注目が高まるにつれ、裏付けのない情報が流布する場面も生まれている。また聞きした情報をさも本当のことのように吹聴する、「怪しい大人」が存在するのも残念ながら事実だ。忠鉢洋輔氏は、そうした情報に惑わされないよう、キャンプに参加する講師らのように信頼できる大人を見つけてほしいとも注意を呼び掛けていた。

　セキュリティ・キャンプが始まった頃からそうだったが、受講生の多くは「普段、学校でセキュリティに関する会話ができない」という悩みを抱いていることが多い。そんな受講生もキャンプに参加し、同世代の、同じ興味を持つ学生やチューターらと打ち解けて会話することで、「使うエディタの種類で宗教論争ができるなんて！」と喜び、刺激を受けることになる。

　事前に「Discord」上で交流していた受講者もいたが、実際に会場で会話を交わすことでより絆が深まっていた。閉講式が終わってもあちこちで話の輪が広がり、名残を惜しんでいた。

　最終日には、キャンプ事務局長の西本逸郎氏が「全国大会はこれで終わりです。けれど、ここからが始まりです」と、95人の受講者に向けて語り掛けた。

　「セキュリティ・キャンプはハッカーを育成する場と捉えられています。ハッカーというのは、道具を工夫したり、新しい使い道を発見したり、新しい道具を作ったりする人であり、ある意味、石器時代の昔から人類の歴史はハッカーが作ってきたともいえます」（西本氏）

　その意味で、セキュリティの仕事は「守ること」だけでなく「クリエイティブな仕事」であるとし、「キャンプ自体は終わりでも、これからが楽しいんです。ここで出会った仲間とともにわくわくしながら新しいものを作っていってください」と呼び掛けた。

幅広く、かつ深い講義を通して知る学びの楽しみ

　セキュリティ・キャンプの講義は、倫理や法律についてのルールを学んだ上で、現場で活躍する講師による実践的な内容がそろっている。特徴はいろいろ挙げられるが、中でも「広さ」と「深さ」、そしてそれらの交わりといったキーワードで表現できるだろう。

　初期のセキュリティ・キャンプは、今から見ればシンプルなワームなどのマルウェア解析やサーバへの不正アクセス、そしてWebセキュリティやネットワークパケット解析、バイナリ解析といった内容が中心だった。

　それが今では、ざっと眺めただけでも、チップやカーネルなどのコンピュータサイエンスの基礎部分からクラウドコンピューティング、AIまでと多岐にわたり、また適用領域もIoTや車載システム、医療機器などに広がり、一言では表せないほどになっている。今や、セキュリティはあらゆる領域に関係することの反映かもしれない。もちろん、プロダクトセキュリティのためのSBOM（Software Bill of Materials、ソフトウェア部品表）やレッドチーム演習、PasskeyやPolicy as Codeの実装など、サイバーセキュリティ業界の最前線で取り組まれているキーワードを学ぶ講座も用意されていた。

　そして、「マルウェアを解析し、それを検知するためのYARA（Yet Another Recursive/Ridiculous Acronym）ルールを、誤検知を排除しながら書いてみる」「ポートスキャナーを自作し、ARP（Address Resolution Protocol）スプーフィングがどのように見えるかを確認する」といった具合に、攻撃者の手法を理解した上でどのように防御を考えるかという講義も、多くの受講者に強いインパクトを残したようだ。

　最終日の報告会では、「攻撃と防御、どちらの知識が欠けていても不十分で、両方を知ることが大切だと感じました」というコメントが印象的だった。

　一方「開発コース」では、応募時に選択したゼミに所属し、5日間集中して1つのテーマに取り組んだ。OS自作にCPUの自作、コンパイラの自作に始まり、電子回路やハードウェア（ルーター）の魔改造など、さながらどこかの大学の研究室のようなテーマに沿って、日々工作に励んだり、写経にいそしんだりしていた。

　普段は触れることが難しい機材も含めたおもちゃ箱のような環境で、講師やチューターと「配列とはなんぞや」といった話題に関してアドバイスを受けたり、専門書を囲んで「この本はいいよね」と議論したりする中で得られたものも多かったはずだ。自分の興味を突き詰めつつ、「なぜコンピュータはこういう仕組みなのか」について、歴史も含めて学び、「どうあるべきか」を考える機会になった。未知の技術、未知のレイヤーに触れ、あらためて「自作の楽しさを知った」と述べる受講者もいた。

作業に夢中になるあまり、講師が「休憩を取りましょう」と呼び掛けてもなかなか腰を上げない受講者も多いため、ラジオ体操の音楽をかけて体を動かし、リフレッシュする時間が定期的に設けられた

夏休みのお約束、スタンプも用意された

　何より、「自分が何を知らないか」を知ることができたことが、一番の収穫かもしれない。周囲の仲間の姿を見て「自分が今までいかに甘えた学習しかしておらず、現状に満足していたんじゃないかということに気付いた。知らないなりにやってみる楽しさを知ったので、もっと勉強していきたい」と感想を述べる受講生もいた。

　セキュリティ・キャンプ代表理事（会長）の長谷川陽介氏も「楽しむのを忘れないでほしい」と呼び掛けていた。何ができないのか、何が分からないのかを知った上で先へ進む原動力はやはり楽しさだ。その種はしっかり受講者の中に蒔かれたのではないだろうか。

今最も熱い話題？　生成AIのセキュリティも早速テーマに

　そんな専門講義の一つ「AIセキュリティクラス」は、文字通りAIのセキュリティをテーマにした講義となった。AIや機械学習そのものについては、過去のセキュリティ・キャンプで取り上げられたこともあるが、今回は、この1〜2年で急速に進化した、「ChatGPT」をはじめとする生成AIをテーマとした。

園田道夫氏

　「日進月歩で動いている分野だけに、演習や講義が陳腐化していくリスクもあります。しかし、それをやるからこそセキュリティ・キャンプの面白みがあると考えています」（園田道夫氏）

　AI活用に関する倫理や法律に始まり、生成AIの歴史を踏まえた上で、ChatGPTのセキュリティを巡るさまざまな観点の中から、フェイクニュース、ディープフェイクのリスクを知り「生成AIが作った文章を、いかに人間が作った文章と区別するか」というテーマに取り組んだ。

　「最近では機械が作った文書の精度が上がり過ぎて、ぱっと見ただけでは分かりません。もしかすると生成AIに作られた偽情報を信じ、扇動されてしまう可能性もあります。今回の講義はいかにしてそういったものを見分けるのかを考えてもらおうと企画しました」（高江洲勲氏）

高江洲勲氏

　座学では、生成AIは大きな可能性を秘めつつも、プライバシーや著作権、バイアスなどさまざまな課題があることを講義していった。「生成AIは誤った情報、つまり『幻覚』を生成してしまう問題もあります。生成AIは、たとえ確信がなくても分かりませんとはいわない性質を持っているので、もっともらしく見えるけれど不正確で、でたらめな内容を回答する場合があります」（高江洲氏）と説明した。

　続いてグループワークでは、人間が書いた文とAIに生成させた3つの文章のうち、どれがAIによるもので、人間が書いたものはどれかを判定するという事前課題の結果を議論した。

　受講者からはさまざまな柔軟なアプローチが提案された。「人間が書いたにしては下手過ぎる」「うま過ぎる」という直感に始まり、明らかに事実と異なる事柄を書いていないかどうかをチェックしたり、人間ならではの感情を反映するであろう語尾や語調に着目したりする方法を提示するグループもあった。さらに、文章の特徴量を分析したり、分類器を作成したりといった技術的に掘り下げるアプローチも議論され、講義中に「Python」で一気に分類器を作ってしまった受講生もいたほどだ。

　高江洲氏は「この分野では、『これをやっておけば見分けられる』という確立した技術があるわけではなく、いろんな手法が提案されては否定されることが繰り返されています。講義でも確たる回答は出てこない可能性はありますが、受講生の柔軟な頭で考えてもらい、その中からこれまで見落としていた観点やアイデアが出てくる可能性もあります」と述べている。

　また、日本語で検討することにも大きな意義があるだろう。「英語に関しては海外での研究が盛んですが、日本語ではまだあまりありません。日本語という問題に向き合えるのはわれわれならではであり、日本語ならではの差や感覚をいかにモデル化するかが大きなテーマの一つだと思います」（園田氏）

　講義ではさらに、生成AIに関するアタック＆ディフェンス形式の競技も行われ、生成AIを守る手法の実装などに取り組んでいった。受講者の一人は「AIの活用が急速に進む中、AIにどう向き合うかを考え、AIセキュリティについて考える大切さを知りました」と述べていた。

　有望な受講生たちによる議論を通じたアイデアが、いつか花開く日が来るかもしれない。だが逆にいえば、今すぐ何かダイレクトな成果が期待できる性質のものではないともいえる。

伊東道明氏

　伊東道明氏は、自身もキャンプの修了生だ。当時は現在とは形式が異なり、幅広くさまざまな分野に触れる場として刺激を受けたという。その中から「自分はここをもっと深掘りしたい」と専門領域を見いだし、自らの手で深掘りしていった結果、新しいものを生み出すことができている。

　そんな自身の経験を踏まえ、「将来、セキュリティ以外の道、例えばエンジニアでも、極論をいえば営業でもいいと思いますが、セキュリティを知っている人たちが増え、浸透していけば、世の中のベースにあるIT力が底上げされると考えています。そういった意味ではどんな道を取ってもよく、あくまで1つの選択肢を提示できればいいと思っています」（伊東氏）

　そもそもセキュリティ人材、特に高度な人材は、育てようと思って育つものではないかもしれない。だが、その成長を後押ししたり、ヒントを与えたりすることくらいはできるはずだ。

　既にアカデミックな場やセキュリティの現場で活躍し、海外のカンファレンスで講演したり、レビューボードに参加したり、コミュニティー活動に携わっている修了生もいれば、チューターや講師となって後進の育成に携わる修了生も、それ以外の分野で、世界で活躍する人材もいる。それこそが、この20年の証しといえるのではないだろうか。