「セキュリティ&プログラミングキャンプ2008」に講師兼取材で参加してきました。情報セキュリティに興味を持たない人に、いかにリーチするかというヒントがここにあるのかもしれません。今回のコラムでは、主にセキュリティコース側のレポートをお届けします。
多様な人材が『セキュリティ』というキーワードで集った
自己紹介では「音楽の学校に通っていて、将来は音楽ビジネスに携わりたい」「普段はドレス作っています」「けん玉の大会に出ています」と話し、「JPCERT/CCを知っている人はいますか?」と問い掛けたら、誰一人として知らなかった――そんな彼、彼女たちは、学生たちにとって夏休み真っ最中、2008年8月13日から17日に開催されたセキュリティ&プログラミングキャンプ2008の受講生たちです。
このイベントは、経済産業省が優秀なセキュリティ人材の早期発掘、育成を目的として2004年から毎年行っていた「セキュリティキャンプ」に、2008年から新たにプログラミングコースを設けたことによって、「セキュリティ&プログラミングキャンプ」としてスタートを切りました。
セキュリティコースでは120人の応募者の中から29人が、プログラミングコースでは140人から17人が選ばれ、下は14歳の中学生から上は年齢制限の22歳の大学生までが寝食をともにし、6時半起床、そして朝8時から夜10時まで講義漬けとなりました。
講義はずっと机の前に座って話を聞いているだけではありません。コンピュータやネットワークを使った実習をはじめとして、フィールドワークやグループディスカッション、発表会などもあります。また、企業見学会もあり、セキュリティコースはラックへ、プログラミングコースはドワンゴに移動し、エンジニアの方々の話を聞く機会が設けられました。
セキュリティづくしの4泊5日
セキュリティコースでは「サーバ」「Webプログラミング」「ネットワーク」「解析」の4つから受講したいクラスを1つ選び、さらに自由選択制の専門科目を選びます。それでは講義の一端を紹介しましょう。
「マルウェア(バイナリ解析)」講座では、フォティーンフォティ技術研究所の村上純一氏がマルウェアの解析手法について説明し、IDA Proなどのツールを使って解析することでリバースエンジニアリングの基礎技術を習得するという講義が行われました。難読化や耐解析技術など、マルウェアならではの技術についての説明も行われるなど、高度なテクニックが次々に披露されていきました。
「侵入検知」講座では、理化学研究所情報基盤センターの渡辺勝弘氏がインシデントレスポンスのための侵入検知システムについて説明し、セキュリティ監視に必要なシステムの構築や運用の演習を行うという講義が行われました。
ほかにも、ネットエージェントのはせがわようすけ氏による「文字コードと脆弱性」講座や、Ji2,Inc.の伊原秀明氏による「ハードディスク解析」講座、サイボウズ・ラボの竹迫良範氏による「Webアプリケーション開発」講座、エネルギア・コミュニケーションズの濱本常義氏による「ハニーポット」講座など、講師とタイトルだけでも魅力的な講義が用意されていました。
グループディスカッションでは、「Webサイトを安全にするには」というテーマや「安全なP2Pについて」というテーマで議論が行われ、受講生たちは活発な議論を繰り返していました。
私も講師陣の末席を汚させていただきました。「暗号と暗号解読」講座を受け持ち、情報セキュリティにおいての暗号技術の重要さをはじめとして、机上での暗号解読などの実習を行いました。
もう一方のプログラミングコースでは、C言語やJavaScriptを使ったプログラミング講座をはじめ、gdbを使ったデバッグ手法、ソースコード管理システムを使っての複数人での開発の進め方などの授業が行われました。こちらも、ミラクル・リナックスの吉岡弘隆氏や、amachangことサイボウズ・ラボの天野仁史氏などの著名な方々によって講義が行われました。
【関連リンク】
JavaScript でテトリスみたいなゲームを作ろう!
- セキュリティ&プログラミングキャンプ JavaScript 入門講座資料
http://svn.coderepos.org/share/docs/amachang/20080813-procamp2008/index.html
新たな知識を受け入れる素地をつくる
キャンプ中は息をつく暇もないほど、朝から晩まで新たな経験が得られます。講義の一瞬だけを切り取ると、場合によっては“究極奥義”のような技術が教えられることもあるので、受講生たちはキャンプ中に知識として消化しつくすことはないのかもしれません。
そのことは主催者や講師陣も分かったうえで、それぞれの講義やディスカッションなどを構成しています。新たな知識を受け入れる素地をつくるための“体験”、そして今後各自がその道を進みたいと思ったときのための“知識のポインタ”が示されるのです。
優秀な人材を呼び込むための仕掛け
キャンプでは優秀な人材を早期発掘するために、まだ見ぬ次世代の彼、彼女たちを呼び込むためにさまざまな魅力的な仕掛けを用意しています。
先に挙げたような講師陣による多彩な講義を受けることができるということはキャンプにおける最大の魅力ですが、それ以外にも魅力があります。
キャンプの受講生の多くは、友達や同じ学校に同じ興味を持つ仲間、高いスキルを持つ仲間が周りにいませんが、キャンプに来ることで自分と同じ興味を持った仲間に出会うことができるのです。同じ志を持った同世代の仲間に会うことができるというのも、参加者にとってメリットの1つではないでしょうか。
さらにキャンプでは参加費用はもちろん、宿泊費や食事代、交通費に至るまで一切掛かりません。もし、同じ規模のイベントと講師陣をそろえて企業が社会人向けに開催した場合、参加者1人当たりいくらぐらい掛かるのだろうかと下世話なことも考えてしまいました。
このキャンプでは受講生を4泊5日と、時間こそ拘束しますが、それを補って余りある参加メリットがあると考えています。
毎年行われているキャンプでは、これまでのキャンプ卒業生がチューターとして協力していたり、講師になった方もいます。その人々を見ていると、これだけの仕掛けを用意した結果、キャンプが全国にいる優秀な人材を発掘するための一助になっていると感じました。
卒業生には違う業界に羽ばたいてほしい
情報セキュリティは、情報セキュリティ業界だけに閉じるものではなく、さまざまな業界や団体、そして生活などに深くかかわるものです。
しかしこのコラムが載っている@ITのSecurity&Trustフォーラムをはじめ、セキュリティに関連して発信されている情報を参照しているのは、すでにセキュリティに興味がある人たちがほとんどではないでしょうか。
興味を持たない人々にこそ届けたいのが情報セキュリティです。そういった人々にどのようにリーチすればいいのか。そのためには、送り出されたキャンプ卒業生たちには、ど真ん中のセキュリティ業界だけではなく、さまざまな業界に散らばっていってほしいと思います。
キャンプは4泊5日で関係が終わるのではなく、そこからが始まりです。キャンプで得た知識はもちろんすぐに役立つものですが、それ以上にキャンプで知り合った講師や仲間とつながっていることがキャンプ卒業生のメリットなのです。
キャンプ参加者、そして卒業生はいま、学校生活や異なる業界の仕事で追われる日々かもしれませんが、キャンプでの一期一会を生かし続けて、情報セキュリティを広めていくことに一役買ってもらえると幸いです。
Profile
上野 宣(うえの せん)
株式会社トライコーダ代表取締役
セキュリティコンサルティング、脆弱性診断、情報セキュリティ教育を主な業務としている。
近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記」
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.