検索
ニュース

より広がったカリキュラムを通過点に若者は上を目指すセキュリティ・キャンプ全国大会 2015リポート(1/2 ページ)

2015年8月11日から15日にかけて、4泊5日の合宿形式で「セキュリティ・キャンプ全国大会 2015」が開催され、選考をくぐり抜けた22歳以下の若者、50人が参加した。

Share
Tweet
LINE
Hatena

 今年もまた、情報セキュリティに興味を持つ若者たちが集まり、最先端の知識や技術を学びながら絆を作る季節がやってきた。2015年8月11日から15日にかけて、4泊5日の合宿形式で「セキュリティ・キャンプ全国大会 2015」が開催された。

 今回の参加者は、4人の女性を含む50人。大学生が多いが、中には3名の中学生も参加しており、平均年齢は19.24歳と若い。いずれも228名の応募者の中から4倍以上の倍率となる選考をくぐり抜けてきたツワモノぞろいだ。講師主査の上野宣氏によると、「必ずしも正解ではなくとも、その回答にたどり着くまでの過程、考え方も見て選考した」といい、中には過去のキャンプに落選しながら今回リベンジを果たした参加者もあったという。

「セキュリティの分かる○○」に

 近年、サイバー攻撃による被害が大きく報じられるにつれて、「セキュリティ人材の不足」もまた声高に叫ばれるようになってきた。

 特に標的型攻撃の被害が相次いで発覚した今年は、社会からの期待は高まる一方のようだ。8月11日に行われた開講式では、宮沢洋一経済産業大臣からの、「標的型攻撃によるリスクの拡大やマイナンバー制度の導入により、セキュリティへの関心がますます高まっている。そんな中、高い技術と倫理観を持った人材の育成は急務。ぜひ受講者の皆さんには日本の安心・安全のために力を発揮してほしい」というメッセージが伝えられた。


これまで以上に期待が寄せられているセキュリティ・キャンプ

 セキュリティ・キャンプはそうした声が大きくなる前――2004年から継続的に開催されてきた。今回を含めると、セキュリティ・キャンプの卒業生はのべ500人を超える。主な目的は、情報セキュリティに関心を持つ若い世代に正しいセキュリティ技術や知識を伝え、人材を発掘・育成すること。それとともに、受講者同士の横のつながり、講師陣や卒業生からなるチューターとの縦のつながりを作っていくことも重要な役割だ。

 セキュリティ・キャンプ実施協議会会長の三輪信雄氏は、必ずしも卒業生が全員セキュリティ専門家としての道を歩まなくてもいいと考えているという。事実、大学や大学院でセキュリティの研究に携わったり、セキュリティ関連企業に就職した卒業生もあるが、それ以外の道で活躍している人も多い。

 三輪氏が会場に向かって、「この中でセキュリティ専門家になりたい人はどのくらい?」と問いかけたところ、手を上げたのは半数程度だった。同氏は「それで全然問題ない。セキュリティ専門家にならなくても、セキュリティのことがよく分かるシステム責任者や経営者、あるいは政治家や役人といったように、『セキュリティのことをよく分かって世の中に影響を与えられる人』になってほしい」と呼び掛けた。


IPAのキャラクター「まもるくん」が登場し、パスワードの扱い方についてクイズを行う場面も

IoTや低レイヤーに関する内容も充実

 セキュリティ・キャンプ全国大会 2015は、カリキュラムが大幅に刷新されたことが特徴だ。従来は「専門講義」はクラス別に分かれ、1つのクラスを深く学ぶようになっていたが、今回はそれを改めた。「高レイヤー」「低レイヤー」「検知」「解析」という4つのトラックを用意して2時間程度の講義を複数実施し、受講者の興味に応じて、トラックをまたがり柔軟に講義を受講できるようにした。これに伴って講師の数も大幅に増え、受講者とほぼ同数の45名がそろったという。

 上野氏は開講式の中で、「セキュリティはますます、さまざまな分野に関わってくるようになった。最近ではIoTがその例だ。例えば、今資料を投影しているプロジェクターもネットワークにつながっており、その設計にもセキュリティが求められるようになっている」と述べ、こうした変化に対応することがカリキュラム変更の狙いの一つであると説明した。

 「実は、今朝(米国で開催されていた)DEFCONから帰国してきたばかりだが、ここでもIoT、つまり『インターネットにつながる何か』に関連するテーマが多かった。面白かったのは、ライフルのハックに関するセッションだ。最近では、気温や風、手の震えなどを補正するためにLinuxを搭載したライフルが販売されている。しかもそれがネットワークにつながっており、ハックすればスコープで狙った対象をFacebookに載せるといったことも可能だという内容だった。つまり、セキュリティへの考慮が足りなければ、こうしたさまざまなモノが乗っ取りやすくなってしまう」(上野氏)。

 こうした世界において何らかのモノを作る際には、セキュリティに対する検討が必須というわけだ。

 そこで今回のカリキュラムでは、Webアプリケーション(高レイヤー)やマルウエア・脆弱性攻撃手法(解析)といった、これまでも取り上げてきた内容に加え、回路や回線、ハードウエアに踏み込んだトラックも用意した。昨年のBlack Hatカンファレンスで話題を呼んだ「BadUSB」(関連記事)の自作やFPGAを用いた独自CPUの製作、光ファイバー回線の解析やオシロスコープを用いたサイドチャネル攻撃の検知・対策といった講義が盛り込まれており、これまでWiresharkなどでのぞいていたレイヤー2の世界すら「高レイヤ」と思わせるような内容だ。個人ではなかなか触れる機会のない高価な機材も用意され、「キャンプでなければできない経験ができたのではないか」という。

「攻撃と防御のいたちごっこ」を実感 


キャンプの講義資料は、重ねると厚さ15cmに及ぼうかというボリュームだ

 4泊5日に渡った講義は実り多いものだったようだ。「機械学習に関する講義を行ったが、講義後には『自分もこんなことを機械学習でやりたいと考えている』と個別に話を聞いてくる受講者が列をなす状態だった」(園田氏)といった具合に、興味・関心ごとに掘り下げて学習できたようで、その感想の一部はTwitterでもつぶやかれていた

 「遠隔操作マルウエアの検知および検知回避」を受講したmrtc0さんは、遠隔操作ウイルスの検知と難読化に関する講義を通じて「攻撃と防御はいたちごっこであることをあらためて実感した。攻撃者の考え方を知り、そこからどう守るかを考えることが大切だと感じた。また全ての講義を通じて、技術的な事柄を分かりやすく伝えることの大切さを感じた」という。

 セキュリティ・キャンプでは講義の他に、5〜6名のグループごとに「組織的犯行対策」「技術人材不足」といった未解決の課題を議論し、講師・チューターへのインタビュー結果も盛り込んでまとめた結果を発表するグループワークも行われた。例えば「情報収集とアクション」というテーマに対し、講義の合間を縫って25人もの講師陣から意見を聞き、「自分のみを自分で守るためには情報収集が必要だが、そのやり方を知らない人が多い。特に開発者向けのセキュリティ情報が少ないのではないか」という問題意識に立って300サイトに及ぶ情報収集サイトのリストを作成し、公開したグループもあった。


専門的な講義に加え、講師やチューターも交えたグループワークを通じた意見の掘り下げも重要な機会だ

 また4日目の夕方には、力試しも兼ねてCapture The Flag(CTF)大会の「出張CTF for ビギナーズ 2015 幕張」も開催された。「技術が優れていなければリスクを見つけることはできない。CTFという形式は、その技術を磨くという意味で適していると思う。また、たとえ問題が解けなくても、実際に手を動かしたり、他の人の解法を知ることによって何らかの学びを得てもらえれば、それだけでも意義はある」と、CTF for ビギナーズに携わる八木橋優氏は述べている。


「出張CTF for ビギナーズ 2015 幕張」に真剣に取り組む受講者ら

 今回は「セキュリティ・キャンプということもあり、普段よりやや難易度を高めに設定した」(同氏)というが、おおむね受講者からは好評だったという。優勝したのは、チーム「scryptos」の一員としてSECCON CTF 2014決勝戦にも参加した、中学三年生の_193s君だった。実はDEFCONにも途中まで参加しており、強行スケジュールでのキャンプとなったが「いろいろな人と交流ができた上、解析コースを楽しみにしていたが、思った通り楽しかった。今後ももっと解析のところを突き詰めたい」と感想を述べていた。


今回はセキュリティ・キャンプの修了証に加え、「我が国の将来のために活躍することを期待する」という経済産業大臣からの激励文も一人一人に手渡された

 毎回のことだが、朝から深夜までさまざまなインプットとアウトプットを経て、セキュリティ・キャンプの閉講式には充実感にあふれた顔が並ぶ。修了証に加え、経済産業大臣からの激励文も手にした受講者らは多くの収穫を得たようだ。「多くのことを学んだ。読み切れなかった資料も勉強し、さらに上を目指したい」という感想に加え、「オープンソースカンファレンスで暗号関連の発表を行いたい」「地元でやっている勉強会に生かしていきたい」「CTFに出てみたい」といった具体的な目標も飛び出した。

 盛りだくさんの内容ではあるが、セキュリティ・キャンプは一つの通過点。今回の受講者らが過去の卒業生に続き、キャンプで得たつながりを大切にしながら、今後、それぞれの知識や技術を生かしていくことに期待したい。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る