セキュリティキャンプ2023全国大会のBトラック、webセキュリティクラスへ参加しました！ 応募課題については別途記事を上げますね。

目次

• 目次
• 参加まで
• 受講生の印象
• 講座
  • 開発プロセスを攻撃者の視点で捉える
  • クラウドネイティブセキュリティの実践と戦略
  • 適応し続けるプロダクトとセキュリティ
• 共通講義
  • ナッジの活用と悪用について
  • ハッカーの倫理
• 名刺
• 交流
• LT大会
• 宿泊
  • 衣類
  • 石鹸
• 感想

参加まで

私は沖縄からの参加でしたので事務局より交通費の全額が支給され、また月曜日中の参加が厳しいことから前泊も認められました。 台風6号の影響も大きく、当日の参加が危ぶまれましたが無事参加出来ました！

期間中の宿泊・食事も運営が全て負担してくれており、それでいて美味しい食事が提供されていました。

受講生の印象

私の受けたBコースは、Webセキュリティクラスとなっていますが「webセキュリティを普段からやり込んでいます！」という人よりは、「アプリケーションのインフラを触るのが得意です」という人や「CTFをやっています」という人が多かったように思います。
私もk8sなどインフラ関連の技術を得意としており、Webセキュリティには興味はあったものの具体的に施策や方針を一人で考えられるほどの知識や経験はなかったと思います。

講座

いくつか私が特に印象に残ったものを紹介します。 当日の講義を受けながらのメモなので少し荒いところもあるかもしれません。

開発プロセスを攻撃者の視点で捉える

1つの講座の中で前半と後半に別れており、前半では、架空の会社に侵入するレッドチーム *1 の一員として実際に対象マシンへ攻撃を行いました。

現在時点でわかっている情報(与えられるもの)をベースにwindowsのマシンへ接続し、情報を盗み出す過程はCTFに近い気がします。

私は普段こういった攻撃者視点での行動や思考を行ったことがほとんど無く、この演習で個別の攻撃手法だけではなくシナリオとそれに対する攻撃とその流れなどを解説してくれたのはとても参考になりました。

後半では前半で行った攻撃を踏まえ、攻撃手法のモデルと攻撃パスの説明と、CI/CDパイプラインを例に攻撃の実践とその対策を考えました。 CI/CDで起こりうるリスクをOWASPのリストも踏まえながら紹介していました。 OWASP Top 10 CI/CD Security Risks | OWASP Foundation

私は普段からCI/CDに触れていますが、セキュリティに気をつけたほうがいいと言ってもなぜそれを気をつけなければいけないのか、どの項目をより気をつけるといいのか、という観点で捉えたことはなかったため新鮮でした。

クラウドネイティブセキュリティの実践と戦略

コンテナセキュリティ本の著者である森田さんからクラウドの歴史やk8s(EKS)のハンズオン、マイクロサービス入門とIRSA権限奪取などの実践的な内容とそれに対しどのような施策が行えるかの講義を受けました。

そもそもクラウドネイティブとは何ぞや、という話からローリングアップデート、サーキットブレーカーなど実践的な内容まで実施してくださり、とても理解が進んだと思います。

適応し続けるプロダクトとセキュリティ

講師の鈴木さんの経験をもとに、実際のプロダクトや会社にセキュリティの観点を導入するにあたっての問題や生存戦略、コストへの向き合い方など扱っていました。

セキュリティは大事、という認識があってもそれを会社のプロダクトや趣味、サークルの開発に導入する際の体験談を聞くことが出来たのはとても貴重だったなと思います。 この講義ではこれらを実際の体験を元に紹介してくださったこと、その影響について知れたため、私が今後進めていく上での方針の建て方の参考になったと思います。

共通講義

先ほどまでは専門の講義でしたが、セキュキャン全国大会では全てのトラックの受講生が受ける共通講義というものがありました。 これらの内容はセキュリティに留まらない広い内容を扱っており、その中でもいくつか面白かったものを紹介します。

ナッジの活用と悪用について

行動経済学の視点から行動変容*2が出来ないか、ということに触れていました。 例として、webサービスのパスワードを設定する際に「そのパスワードは脆弱ですよ。記号を使ってみませんか」と案内が出ることについて、これは行動変容であり、その望ましい方向への誘導をNudge(ナッジ)と呼ぶ、とのことでした。

私は経済学も心理学も素人でしたが、この講義での内容にはかなり興味が持てた上に、自らがプロダクトを設計・開発する上で活かせることも多いなと思いました。

ハッカーの倫理

実際の検事の方から私達ハッカー*3にも親しみやすいような法律の説明をしてくださりました。

検察や検事、と言われても正直何をしているのかよくわかっていませんでしたが、講義の中で検事は法律家、と仰っていたのがかなり印象に残りました。

法律というルールがどのような流れで適用・執行されるのか、その構造と検事の権限などを教わり、割とエンジニアがやっている要件定義と実装にも近いのかもな、と思いました。 しかし、私達エンジニアと違い法による刑罰という制裁を加えることによる責任は計り知れないため、大変な仕事だとは思います。

名刺

すこし別の話題で、講義以外の交流やイベントについて紹介します。

1日目は運営による開会式とB1の講座が行われました。 この開会式の前に昼食があったのだが、食事をし開会式の会場へ戻ると、既にかなりの数の受講生がそれぞれと話し合い、名刺を交換していました。 セキュリティキャンプに参加する受講生は全員学生なのだが、*4 ほとんど全員名刺を持っていました。 seccampでは名刺交換の文化があり、学生であっても名刺を自分で作成し、交換する人が多いそうです。 学生は企業に所属しているわけではないのでテンプレートがあるわけではなく、*5各自好きに作っているため人によって特徴が出て面白いですね。

交流

クロスウェーブ府中という研修施設に受講生95人 + 講師 + チューターが泊まり込みで1週間過ごしました。

講師・チューター・受講生の全体写真

セキュリティ・キャンプ全国大会2023、セキュリティ・ネクストキャンプ2023、セキュリティ・ジュニアキャンプ2023の全てのプログラムが終了しました。受講生・講師・チューター・スタッフの皆さんお疲れ様でした。またアフターイベントでお会いしましょう！ #seccamp pic.twitter.com/BRv3Y786FF

— セキュリティ・キャンプ (@security_camp) 2023年8月11日

写真にある通りかなりの数の参加者がいます。それぞれ違ったバックグラウンドを持ち、興味の分野も違うもののエンジニアリングやセキュリティに対する興味はある人が集まっていました。 そのためふとした瞬間に議論が始まり、それが専門的な内容でかつ盛り上がるのはかなり面白かったです。

例えば、SC-NOC*6講師でNICT職員の方がNOC部屋*7の前のトラフィックモニターを見ながら話をしていたため立ち寄ってみたところ、近年のネットワーク監視の難しさを別の受講生と議論していました。 私も気になることがあったため2、3コメントしたところ思いのほか盛り上がったのですが、私もその受講生も、NICT職員の方も専門はそれぞれ違っていて、それぞれ異なる観点から同じ課題に対して議論すると出てくる意見もかなり違うので面白ろかったです。 こういった突発的な議論が起こりやすく、そしてそれぞれ違う視点を持っている環境で過ごせたことはかなり貴重な体験だったと思います。

LT大会

1日目の開会式の後と4日目の夜にLT大会が行われました。 各自思い思いに自分の好きなことや取り組んでいることを発表していて面白い会でしたが、4日目に行われたLTは3会場同時並行で行われており、気になるセッションが同時間帯に被ってしまっていることや会場によって進行状況が異なっていたのは少し大変でしたね。

宿泊

4泊5日、私は前泊もあり5泊6日をクロスウェーブ府中という研修施設で過ごしたわけですが、来年以降参加する人向けのメモを残しておきます

衣類

私は衣類と旅行の荷物を少なくしたい派なので3日分の衣類を洗濯しながら回していたのですが、他の受講生も洗濯室を使うので多少の待ち時間が発生します。 講義等により朝8:30から夜8:30まではほぼ拘束されており、私は講義が終わった夜8:30以降に洗濯物を洗っていたのですが、洗濯・シャワー等を並行して済ませると早くても10~11時頃の就寝になってしまいます。就寝時間を長く取りたい人は洗濯機を回さなくてもいいように衣類を日数分持ってきたほうがいいかもです。

石鹸

クロスウェーブ府中は4階以下にレストランや講義が行われる会議室があり、5階から客室となっています。 各客室にベットとシャワー・浴槽があるのだが、備え付きのボディーソープやシャンプー等は最低限のものなので、肌が弱い人、お気に入りのシャンプーがある人は旅行用のコンパクトなシャンプー・ボディーソープを持参したほうがいいかもしれないですね*8

感想

5日という短い期間ではありましたがとても楽しく濃い期間でした。 これまでセキュリティをやってきたという方だけでなく、なんとなくセキュリティというものに興味を持っているが一歩踏み出せていないという方にもぜひおすすめしたいなと思います！