セキュリティ・キャンプ全国大会 2024
当部活の部員が、セキュリティ・キャンプ全国大会2024 A【IoTセキュリティクラス】へ参加し、修了しました!
皆様、楽しい夏休みをお過ごしでしょうか?
この度セキュリティ・キャンプ全国大会2024へ参加してきましたので、そのことについて好き勝手書いていきますー。
目次
セキュリティ・キャンプって?
「セキュリティ・キャンプ」は、学生に対して情報セキュリティに関する高度な技術教育を実施し、次代を担う情報セキュリティ人材を発掘・育成する事業です。2004年に開始され、現在はセキュリティ・キャンプを首都圏で毎年1回、ミニキャンプを毎年各地で10回程度開催しています。 セキュリティ・キャンプ及びミニキャンプへ参加するには、応募課題を提出し、書類審査に通過する必要があります。
公式HP引用
セキュリティ・キャンプ全国大会って?
セキュリティ・キャンプ事業の中でも、特に参加難易度が高いイベントです。
セキュリティ・キャンプ 全国大会は、セキュリティ分野に興味を持ち、将来同分野で活躍したいという意志もった若者に対して、高度な情報セキュリティ技術の習得機会を提供しています。また、モラルや法律遵守の意識、セキュリティ意識、職業意識、自立的な学習意識についても向上のための機会を提供しています。2004年度のスタート以来、2023年度までに1,000名以上の将来有望なIT・情報セキュリティ人材を輩出しています。セキュリティ業界はもとより各方面から、高度な情報人材育成に有益なイベントとして高く評価されています。
一年に一度、東京の研修施設に一週間合宿し、様々な講義や開発などを行うというものです。
今回、私は専門Aクラスである、IoTセキュリティクラスの選考に通過し、参加、修了したので、セキュリティ・キャンプ全国大会を知る→参加するまでの様子を少しだけまとめてお伝えします。
参加までの経緯
私がセキュリティ・キャンプを知ったきっかけとして、suisanが2022年度のセキュリティ・キャンプ全国大会へ参加したことにより、存在を知りました。
当時大学一年生だった私は
「こんなイベント、楽しいに決まってるじゃないか!大学外の人との繋がりもできるし、最高のイベントじゃん!」と思い、「来年は絶対に応募して行きたい!」と思っていました。
しかし、2023年度のセキュリティ・キャンプ全国大会に応募したものの、選考に落ち、行けませんでした。
(畳み掛けるようにSecHack365も選考に落ちた)
一時期病んで原因不明の高熱を出した時もありましたが、諦めずにセキュリティ・ミニキャンプへ参加したり、IPA以外の情報系イベントへ参加したりし、着実に自分のスキルアップを目指しました。
そして2024年度のセキュリティ・キャンプ全国大会へ応募し、選考を通過し、参加できるようになりました。
応募課題に何を書いたのかはここでは公開しませんが、セキュリティ・キャンプの応募課題は「正解を当てに行くゲーム」ではなく、「自分の意思と熱意をどのような形で伝えるか」というものだと私は考えているので、自分の意思と熱意を余すことなく応募課題へ書き綴りました。(7000字くらい)
竹迫講師主査からのメッセージ
※部員限定の掲示板で選考課題を公開しています
んな余分なことを書いてますが、以下実際に体験した一週間を好き勝手書いていきます。
セキュリティ・キャンプでの1週間
0日目[8/11(日)]
メモリの余裕は心の余裕。
準備の余裕も心の余裕。
緊張と興奮で眠れず。
1日目[8/12(月)]
日を超えても眠られず、3時になっても眠れなかったので
「今寝たら絶対寝坊する。だったらオールして新幹線で寝よう」と思い、オールすべくBattle Field4
をやってました。
5:30頃、少し横になろうかな?と思ったのが最後、寝ました。
6:30にハッと目が覚め、15分で準備し、岡山駅に向かい、新幹線に乗りました。
前日にパッキングしておいて本当に良かったと思った瞬間でした。
12:30頃に会場へ到着し、受付を済ませ、高校の友人と成人式ぶりに再会を果たしました。
K1『ゲームセキュリティの歴史』
最も身近な娯楽であるビデオゲームにおいても様々な技術的な不正行為と犯罪、対策技術があり、歴史の積み重ねがあります。
家庭用ゲームにおいては各種制限の迂回やそれを経ての不正コピー、オンラインゲームにおいてはサーバーへの攻撃やチート行為といった問題がありますが、その歴史を振り返ってみてもカジュアルに行われており、腕試しとばかりに手を出してしまっている人が後を絶たないのが実態です。
今回はその不正の歴史と現状を振り返り、どのような不正行為が行われ、どのような対策が打たれてきたのか、それによりどう法律が変化していったかなどを、ゲームセキュリティの商業化に取り組んできた筆者の実体験も踏まえて解説します。
K2『法律と倫理』
サイバーセキュリティの研究や開発を実施する場合、法に関する知識は必須であり、常に意識しておかなければならない。本講義ではサイバーセキュリティに関係する刑事系法律の基礎的な内容として定められている事、その内容等を説明し、その後、法律面、倫理面及び道徳面の問題に触れながら、ディスカッション形式で行う。
G1『グループワーク』
グループワークはセキュリティ・キャンプ全国大会の全日程を通して行われるプログラムです。
数人ごとのグループに分け、決められたテーマについて議論・インタビュー・検討を行います。
グループワークは、異なるコース・トラックの参加者や、講師・チューターなどと交流する貴重なチャンスです。
最終日には各グループで議論した内容を、発表することを予定しています。
夕食
おいしい!
交流会
去年参加したinit.g
で一緒だった方やSecHack勢の方々がちらほら居て、セキュリティ界隈の狭さを実感。
二週間後に参加するインターン先のCTOの方がいらっしゃったので挨拶させて頂きました。
LT
今日発表ではないと分かり安堵
1時間睡眠だったので早めに寝ました(22:00)。
2日目[8/13(火)]
ごめんなさい寝坊しました。
夜中3時に目が覚め、まだ大丈夫と二度寝したら3箇所から音が聞こえました。
スマホのアラーム、iPadのアラーム、そして内線。
A1『医療情報システムの情報セキュリティについて考える』
医療でもAIや医療機器、ウェアラブルセンサーが普及の兆しをみせています。このようなデータと通信、AIの融合はこれまでに考えられなかった新しいかたちの医療を実現に寄与しえます。一方で、これまで以上に情報システムへの依存が高まることで、情報システムの情報セキュリティの安全性が脅かされることが患者の命にも関わりうることが知られるようになっています。しかし、医療情報システムや医療機器が患者にどのようにつながっているのか、情報セキュリティ上の懸念が具体的にどのように医療に関わっていくのか想像がつきにくいと思われます。そこで、本講では医療機関のバーチャル見学(調整中)を通して、医療機関と医療情報システム、医療機器の実態を理解いただき、セキュリティ上の瑕疵が命に直結しうる経路について具体的に想像できるようにして、受講生がセキュリティと現実社会の関わりに関する具体的なビジョンを持てるようになること、そして社会的に具体的に貢献できるという自負心を持っていただけるようにしたいと思います。
お昼ご飯
A2『車載ネットワークを流れるCANパケット解析演習』
現在の自動車には数十のECU(制御コンピュータ)が搭載されており、CANやLINまた最近だとEthernetなどの車載ネットワークで相互に結ばれています。演習では、ECUやCANネットワークで構成される実習用ネットワークとLinuxノードを教室に設置し、CANにつながるECUをエミュレーションするLinuxノードに各人のPCからアクセスし、CANネットワークに流れているパケットを取得し解析する方法をPythonを使った簡単なプログラムを作成しながらハンズオン形式で解説します。
また、実車からキャプチャしたパケットを実習用ネットワークに流して解析したり、なりすましデータを作って実車のメータパネルやハンドルの動きを観察したりすることで、車載ネットワークの挙動を理解していきます。
夕食
K3『人の脆弱性とセキュリティ対策』
情報システムと人、どちらを攻撃する方がサイバー攻撃者にとってコスパがいいでしょうか?本講義では、セキュリティにおける人の課題について、心理学の側面から解説していきます。ソーシャルエンジニアリング攻撃やソーシャルメディアで拡散する不確かな情報が人に与える影響などを例に、人の心理・行動特性を知ることで人の脆弱性を考慮したシステム開発やセキュリティ対策を考えることを目指します。
G2『グループワーク』
3日目[8/14(水)]
ラジオ体操をすべく6時起床。
6:10から謎のラジオ体操集団に混ざり、健康的な朝。
朝食
A3『ファイルシステムの理解と記憶チップ内データの解析』
本講義ではファイルシステムの理解を通して、データダンプの解析技術とフォレンジック技術の双方の技術を学びます。
最初にファイルシステムの構造について詳しく解説を行いバイナリエディタと電卓で FAT32 の世界を行き来できるようになった後、
記憶メモリからファイルコンテンツを読み出すところまでを全員で一緒に体験します。
手厚くサポートを掛けますので、基本的な Linuxの操作ができてバイナリダンプをひたすら眺めることが苦でないのであれば、楽しく体験することが出来ると思います。
昼食
A4『SBOMとシステム情報を元にした IoT機器のセキュリティリスク分析』
IoTシステムは多数のサブシステムをネットワークで繋ぎ合わせることで構成され、必要な機能を随時追加・変更あるいは削除することが可能です。また、それらのサブシステムを構成するソフトウェアにはオープンソースソフトウェアから、OS、データベース、UIやプロトコルのライブラリ、業種固有の専用アプリケーション(クレジットカード処理やデータ可視化、ウェブアプリケーション)を実装するための商用ソフトウェアなど多岐にわたります。これらを管理するための手法はSCA(Software Composition Analysis)と呼ばれ、ソースコード、パッケージ、バイナリーなど流通する形態を問わず解析するためのツールが存在しており、SCAの技術を用いて生成管理されるソフトウェア部品表(Software Bill of Materials/SBOM)は、ソフトウェアのリスク管理の最新手法として世界中で利用が拡大しています。
例えば、直近ではApache Log4jの脆弱性が昨年末に公開されたものの、産業用制御システムや医療システムで用いられるアプリケーションでも利用されていたため、大きな問題に発展しました(現在も対処中のメーカーがあります)が、SBOMを用意することで脆弱性に限らず、ソフトウェア利用の際に、ライセンスや来歴、オリジンなどのリスクを可視化することができます。
講義では、SCAツールを使い、組み込まれているソフトウェアにどのような部品(コンポーネント)が含まれているかを解析し、それらのソフトウェア部品が抱える脆弱性から必要なセキュリティ対策を、JPCERT/CCと共同で作成したガイドを用いて導き出します。
夕食
T1『日本発のサイバー技術の造り方』
現状ICT基盤を支えるサイバー技術の多くは海外で作られたものが多いが、日本においても、全世界的に普及する基盤的サービスや技術を多数輩出できる可能性がある。日本が世界に通用する高品質なサイバー技術を生み出すためには、実験的で自由な試行錯誤を許容する環境で「超正統派」のICT技術者を育成する必要がある。自由なネットワーク環境の構築や、教育機関や行政との連携による実践的な技術開発の推進事例をいくつか紹介しながら、日本型の大企業や政府系組織等にある人材・資源・設備・規模を活用する具体策を解説する。
G3『グループワーク』
4日目[8/15(木)]
ラジオ体操をすべく6時起床。
6:10から謎のラジオ体操集団に混ざり、健康的な朝。
6:30オープンと同時に朝食を食べに行ったのですが、リコリスリコイルの人が居る????
リコリス・リコイルの千束とたきなが居る?!しかも僕の左で食べ始める?!
という衝撃で1日がスタートしました。
朝食
A5『ロボットカーで体験するC/C++セキュアコーディング』
自動車のコネクティッド化、CANへアクセスするツールの普及により、自動車に対するハッキングのハードルが下がっています。
設計段階で脆弱性への対処を行うことで攻撃を受けるリスクをある程度低減可能ですが、セキュアコーディングの不備により実装段階で発生する脆弱性があった場合、深刻な被害につながる可能性があります。
本講義では、自動車業界で一般的に利用されるCERT C/C++やMISRA C/C++などのコーディングスタンダードを理解し、Arduinoが搭載されたロボットカーをモデルに実際に手を動かしながら脆弱性を未然に防ぐセキュアコーディングを体験します。
昼食
A6『回路レベルでのCPU設計を通したコンピュータの低レイヤ理解』
集積回路(LSI)はコンピュータのCPUをはじめ、あらゆる電子機器の基本パーツで、その進化はコンピュータの進化と表裏一体です。その進化の結果、あまりに高度化、複雑化したLSIはブラックボックスとなり、中身を知らなくても多くのことができるようになりました。しかしそのことは、以前あったCPUの根本的な脆弱性「MeltDown」のような深刻な問題の遠因ともなりえます。 この講義では、LSIを設計することに立ち返り、その視点からコンピュータというものを改めて見つめ直すことを目指しています。具体的には、4bit CPU(TD-4)を題材に、論理ゲートでの回路設計と電子回路レベルのシミュレーションでの検証、そしてLSI製造データ(マスクデータ)の作成までを一貫して行い、その仕組み、その可能性を体験します。そしてそれを通してコンピュータというものに対する新たな視点を得ることを目標とします。
夕食
LT
発表しました。
セキュリティ・キャンプでSecHack365のことについて喋りました。(怒られてはいない)
SecHack365で作っているものについては、また別の機会で紹介できればと思います。
G4『グループワーク』
5日目[8/16(金)]
ラジオ体操をすべく6時起床。
6:10から謎のラジオ体操集団に混ざり、健康的な朝。
朝食
G5『グループワーク発表』
成果発表
昼食
記念撮影
閉講式
協賛企業イベント
が台風の影響で無くなりました...
その代わり、修了生LTやキャンプ修了後のことについて聞くことができる機会が設けられ、さまざまな方に色々なことを聞かせていただきました。
その後、自由参加の超難解クロスワードクイズが始まりました。
考えに考えた結果...
お絵描きタイムスタート
※畜生ロボと猫ミームを描きました
6日目[8/17(土)]
ラジオ体操なかった。
朝食
クロスウェーブ府中最後の朝ごはんを食べ、荷物をまとめ、解散しました。
が、おとなしく解散するわけもなく、秋葉原へ行くことになりました。
人生初秋葉原、楽しみました。
秋月電子通商にキャンプ生と講師陣がなぜか大量に来店しており、セキュリティ・ミニキャンプ in 秋月
が開催されていました。
帰りの新幹線と電車、まさかの高校時代の友人と一緒になるというnightmare
発生。
この友人に、「セキュリティ・キャンプ全国大会の選考通ったら女装したるワー」という頭おかしい約束をしてしまっており、できるだけ避けてたのですが逃げきれませんでした。
最後に好き勝手書くスペース
果たして何人ここまで読み切った人がいるのか疑問な記事が出来上がってしまいましたね。
ともかく、非常に楽しく、濃く、成長につながる1週間を過ごせましたと感じています。
私は、このようなイベントの一番良いところは、
自分が知らない、大学では出会えない
- 技術
- 手法
- 人
と出会える点だと考えています。
皆様もぜひ、今後行われるセキュリティ・ミニキャンプや、来年のセキュリティ・キャンプ全国大会へ応募し、学校では出会えない、様々なものとの出会いを楽しみましょう。
最後に、セキュリティ・キャンプ関係者の皆様、本当にありがとうございました。