講師も悩む――セキュリティ・キャンプ「選考」のやり方:セキュリティ業界、1440度(9)(1/2 ページ)
2014年6月、セキュリティ・キャンプ全国大会2014の参加者選考が行なわれました。枠は限られているので、参加者を厳しく選考しなくてはなりません。そこには、講師なりの苦労があるのです。
今回のテーマは、産官学オールジャパンによる若年層セキュリティ人材の発掘・育成の場である「セキュリティ・キャンプ全国大会2014」です。FFRIからも3名のエンジニアが講師として参加しますが、今回は私、FFRI新技術研究部の忠鉢洋輔が担当した「セキュアなシステムを作ろうクラス」の紹介と応募者選考の様子をレポートします。
「OSを吹き飛ばした」ことがきっかけで
今年で通算11回目となるセキュリティ・キャンプ。実は私もかつて参加者の一人でした。高専4年生(2005年)のときにセキュリティ・キャンプに参加しています。
そのときはSELinuxを使った実習で頭が真っ白になり、OSのディスクイメージをフォレンジックする演習で「SELinuxは面倒くさいしフォレンジック訳分からん! もうやだ!」と涙目になったことを、いまでも鮮明に覚えています。特にSELinuxを使った実習は、適切なポリシーを設定し「rm -rf /してもシステムファイルは生き残るぞ!」という内容だったのですが……。私はこのとき設定を間違え、OSを吹き飛ばしてしまったのでした。
実はこの体験が、深くセキュリティにかかわる大きなキッカケになっていたりします。
セキュアなシステムを作ろう!
さて、そんな私が講師の一人として参加している、「セキュアなシステムを作ろう」クラスについて紹介しましょう。
このクラスは、他の3クラスとは大きくコンテンツが異なります。一つはゼミ制をとっており、バラエティあふれる講師陣がゼミを設け、そのゼミごとに独立したカリキュラムが組まれることです。もう一つは、講師が用意する開発テーマを選んで、そのテーマをキャンプまでの約1カ月、そしてキャンプ期間を使ってじっくり取り組んでもらう、「もの作り」にこだわるクラスであるということです。
クラス長は「30日でできる! OS自作入門」の著者でサイボウズ・ラボの川合秀実さん。同じくサイボウズ・ラボで、日本最大のハッカーコンテスト「SECCON」の主催者である竹迫良範さん、自作組込OS「KOZOS」やアセンブラ短歌で知られる富士通株式会社の坂井弘亮さん、TOMOYO Linuxの作者であるNTTデータ先端技術株式会社の半田哲夫さん、カーネル/VM探検隊などでお馴染みCloudius Systemsの浅田拓也さんが講師として参加しています。
私は「システムソフトウェアゼミ」というゼミを、ゼミ制になった2013年度に立ち上げ、今年度もゼミ長として運営することになりました。また、今年度は浅田講師にジョインしていただき、OSS寄りのテーマを拡充しています。今年度の募集テーマはIPAの講義内容ページから、昨年度の募集テーマも2013年のページからご覧頂けます。
これらの講義内容をご覧いただくと分かりますが、私は大学院で過去数年間に渡って、仮想化技術を応用したアンチマルウェアシステムと使いやすいセキュアOSを目指す研究に取り組んでおり、その成果やそこで得た知見を生かしたテーマを用意しています。2013年度はプログラムのサンドボックス化という開発テーマへの応募者を選考し、プログラミングテクニックとしてかなり難易度の高い、プロセス分割とプロセスの特権制御を用いたプログラム作成について演習を実施しました。
どのように選考したか――私が重視したポイントは
「セキュアなシステムを作ろうクラス」の参加者の選考は、それぞれのゼミごとに候補者を選んでいく形で行われています。キャンプ全体の応募者数も大変多いのですが、システムソフトウェアゼミに関しても今回多数の応募があり、候補者を絞ることはかなり困難を極めました。そのような中、選考で重視したのは次の点です。
- コーディング能力
- 開発テーマへの熱意とこれまでの活動実績
- 面白そうな雰囲気(こだわり)
クラス名に「システムを作ろう」と入っていることから、プログラムを作る能力、つまりコーディング能力を一番重視しました。ただし、コーディング能力は、応募用紙の設問ではなかなか読み取ることは難しいです。
今回は、このゼミ独自の仕掛けとして、GitHubのアカウントを記入する欄を設けました。結果的に、今回はこのGitHubへのソフトウェア公開状況をかなり重視して選考を行いました。こういったオープンなアクティビティを継続的に出すことは、なかなか普通の生徒、学生にはできません。しかし、セキュリティ・キャンプは「尖った」人材の発掘も、その目的の1つですから、今後も積極的にGitHubのような公開アクティビティを重視していきたいと思っています。
もちろん、アルバイトや学校のプロジェクトなどを通じて、コーディング能力を磨いていると思われる人が通らないということにはなってしまわないように、注意深く応募用紙を読んで判断しました。しかし、コードを公開している人のアクティビティのインパクトは、やはり大きいです。
Copyright © ITmedia, Inc. All Rights Reserved.