検索
連載

講師も悩む――セキュリティ・キャンプ「選考」のやり方セキュリティ業界、1440度(9)(1/2 ページ)

2014年6月、セキュリティ・キャンプ全国大会2014の参加者選考が行なわれました。枠は限られているので、参加者を厳しく選考しなくてはなりません。そこには、講師なりの苦労があるのです。

Share
Tweet
LINE
Hatena
「セキュリティ業界、1440度」のインデックス

連載目次

 今回のテーマは、産官学オールジャパンによる若年層セキュリティ人材の発掘・育成の場である「セキュリティ・キャンプ全国大会2014」です。FFRIからも3名のエンジニアが講師として参加しますが、今回は私、FFRI新技術研究部の忠鉢洋輔が担当した「セキュアなシステムを作ろうクラス」の紹介と応募者選考の様子をレポートします。

「OSを吹き飛ばした」ことがきっかけで

 今年で通算11回目となるセキュリティ・キャンプ。実は私もかつて参加者の一人でした。高専4年生(2005年)のときにセキュリティ・キャンプに参加しています。

 そのときはSELinuxを使った実習で頭が真っ白になり、OSのディスクイメージをフォレンジックする演習で「SELinuxは面倒くさいしフォレンジック訳分からん! もうやだ!」と涙目になったことを、いまでも鮮明に覚えています。特にSELinuxを使った実習は、適切なポリシーを設定し「rm -rf /してもシステムファイルは生き残るぞ!」という内容だったのですが……。私はこのとき設定を間違え、OSを吹き飛ばしてしまったのでした。

 実はこの体験が、深くセキュリティにかかわる大きなキッカケになっていたりします。

セキュアなシステムを作ろう!

 さて、そんな私が講師の一人として参加している、「セキュアなシステムを作ろう」クラスについて紹介しましょう。

 このクラスは、他の3クラスとは大きくコンテンツが異なります。一つはゼミ制をとっており、バラエティあふれる講師陣がゼミを設け、そのゼミごとに独立したカリキュラムが組まれることです。もう一つは、講師が用意する開発テーマを選んで、そのテーマをキャンプまでの約1カ月、そしてキャンプ期間を使ってじっくり取り組んでもらう、「もの作り」にこだわるクラスであるということです。

 クラス長は「30日でできる! OS自作入門」の著者でサイボウズ・ラボの川合秀実さん。同じくサイボウズ・ラボで、日本最大のハッカーコンテスト「SECCON」の主催者である竹迫良範さん、自作組込OS「KOZOS」やアセンブラ短歌で知られる富士通株式会社の坂井弘亮さん、TOMOYO Linuxの作者であるNTTデータ先端技術株式会社の半田哲夫さん、カーネル/VM探検隊などでお馴染みCloudius Systemsの浅田拓也さんが講師として参加しています。

セキュリティ・キャンプ「セキュアなシステムを作ろう」講師紹介動画

 私は「システムソフトウェアゼミ」というゼミを、ゼミ制になった2013年度に立ち上げ、今年度もゼミ長として運営することになりました。また、今年度は浅田講師にジョインしていただき、OSS寄りのテーマを拡充しています。今年度の募集テーマはIPAの講義内容ページから、昨年度の募集テーマも2013年のページからご覧頂けます。

 これらの講義内容をご覧いただくと分かりますが、私は大学院で過去数年間に渡って、仮想化技術を応用したアンチマルウェアシステムと使いやすいセキュアOSを目指す研究に取り組んでおり、その成果やそこで得た知見を生かしたテーマを用意しています。2013年度はプログラムのサンドボックス化という開発テーマへの応募者を選考し、プログラミングテクニックとしてかなり難易度の高い、プロセス分割とプロセスの特権制御を用いたプログラム作成について演習を実施しました。

どのように選考したか――私が重視したポイントは

 「セキュアなシステムを作ろうクラス」の参加者の選考は、それぞれのゼミごとに候補者を選んでいく形で行われています。キャンプ全体の応募者数も大変多いのですが、システムソフトウェアゼミに関しても今回多数の応募があり、候補者を絞ることはかなり困難を極めました。そのような中、選考で重視したのは次の点です。

  • コーディング能力
  • 開発テーマへの熱意とこれまでの活動実績
  • 面白そうな雰囲気(こだわり)

 クラス名に「システムを作ろう」と入っていることから、プログラムを作る能力、つまりコーディング能力を一番重視しました。ただし、コーディング能力は、応募用紙の設問ではなかなか読み取ることは難しいです。

 今回は、このゼミ独自の仕掛けとして、GitHubのアカウントを記入する欄を設けました。結果的に、今回はこのGitHubへのソフトウェア公開状況をかなり重視して選考を行いました。こういったオープンなアクティビティを継続的に出すことは、なかなか普通の生徒、学生にはできません。しかし、セキュリティ・キャンプは「尖った」人材の発掘も、その目的の1つですから、今後も積極的にGitHubのような公開アクティビティを重視していきたいと思っています。

 もちろん、アルバイトや学校のプロジェクトなどを通じて、コーディング能力を磨いていると思われる人が通らないということにはなってしまわないように、注意深く応募用紙を読んで判断しました。しかし、コードを公開している人のアクティビティのインパクトは、やはり大きいです。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る