えむけーろぐ

間違った事を書いていたらやさしく教えてください

「セキュリティ・ミニキャンプ in 北海道 2016」に参加してきた。

はじめに

www.security-camp.org

この土日は、セキュリティ・ミニキャンプ in 北海道 2016というものに参加していた。よく知られている方のセキュリティ・キャンプ(全国大会)とは別に設けられ、各地で開催されている地方大会のひとつ。公式のWebサイトによると「全国大会により多くの学生にチャレンジいただくため若年層を対象とし情報セキュリティ人材育成に関心の高い地域で地方大会を開催しています。」とのこと。

具体的に何をやったかなどは上のサイトや他の参加者のブログに書いてあると思うので、この記事では個人的な日記を残すことにする。

きっかけ

高専でお世話になっている担任の先生がこの北海道大会の後援組織の中の人で、僕を含む学生数名にお声掛けいただいたので、参加してみることにした。応募用紙の志望動機枠には、「自分の持っているものをつくるスキルに、セキュアなものを作るスキルを足し合わせたい。今回はそのきっかけづくりとしてミニキャンプに参加したい。」的なことを書いておいた。

期待していたもの

自分は普段はRuby/RailsでWebアプリケーションを書いている人間で、当然集める情報もそれ関連ばかりになりがちだった。今回のミニキャンプでは、セキュリティの基礎からハードウェア制御の基礎、クラウドの話から、ネットワークに関する法や倫理の話まで幅広く話題があったので、自分の狭い視野を広めるのにちょうどいいかなと思った。

演習用に用意したスマホのゲームを用いて、サーバーサイドアプリケーションの調査や攻撃を実際にやってみるという、普段やっていることに関係するような講義もあったので、それも楽しみであった。

まぁ自分はセキュリティに関しては完全に素人なので、一口にセキュリティといってもその下にはどんな話題があるのかな〜というのを知りに行くのが主な目的だったと思う。

こういうイベントに参加すると、講師や道内の情報系の学生とのつながりもでき、また普段はふわふわと低空飛行している意識もなんとなく高まっていくので、そういう意味での期待もあった。

得たもの

期待していたものはだいたい得ることができたので良かった。講義を聞きながらアッと思ったものについては適当にメモしてあるので、特に印象に残った講義について2つくらい書いておく。

演習系だとスマホゲームのやつが一番楽しかった。Burp Suiteという、HTTP通信をせき止めて中身を見たり編集したりして遊べるソフトウェアを使って、クライアント(スマホゲーム)とサーバ間の通信を見てどういう通信をしているのか解析をし、自分に有利なようにデータを改ざんしていくという演習だった。スマホゲーム側でどんな行為をしたらどんなリクエストが飛んで、それに対してどんなレスポンスが返ってくるのか、どこを変えれば自分に都合の良い感じにゲームが進むのか、ただ改ざんするだけでは駄目で、どう改ざん検知をすり抜けるかとか、そういう話も必要だった。演習の最後には対策方法なども解説してくれたので、昔ハッカソンで作ったゲームcurlとか使えばかんたんにランキング操作できるゲームだったのでランキングが大変なことになっている)に適用してみたい。まぁ、こっちはブラウザゲーでソースは誰でも見られるので、今回聞いたお話をそのまま適用してもすり抜けられてしまうけど。

お話を聞く系だと「クラウドセキュリティ基礎」がおもしろかった。プログラミング物心がついた頃にはすでにクラウドが当たり前で、初心者向け記事にいきなりHerokuやAWSが出てくるような状況だったので、クラウド以前とクラウドが当たり前の現在、そしてこれからの話を聞けたのはとても良かった。中でも特に印象に残っているのは「サーバは"ペット"から"家畜"へと変わった。」という話。この表現はとても気に入ったので2016年のうちにあと10回は使いたい。 

実は、セキュリティキャンプの存在は前々から知っていたのだけど、なかなか参加しようという気にはなれないでいた。その理由はうまく説明できないので書かないでおく。でも、1日目のはじめに講師の方が、「セキュリティ・キャンプの目的は、セキュリティの専門家を育てることだけではなく、各分野でのセキュリティ人材を育てることもある。」という趣旨のことを言っていて、そういった気持ちはなくなった。今は、来年のセキュリティ・キャンプに参加してみようかなという気分。

おわりに

やっぱり自分はしばらくはWeb開発をやっていく気がするので、今後掘り下げていくとしたら、そのあたりだと思っている。Railsが裏でどんなセキュリティ対策をしてくれているのかとか、HTTPの基本などについてはそこそこ知っているつもりなので、今後もう少しレイヤを下げたネットワークの知識をつけていけたらと思う。なんとなくゴチャゴチャしていて避けていたAWS(その代わりにHerokuやSendgridを使っていた)も、クラウドセキュリティ基礎の講義を聞いていたら魅力的なものに思えてきたので、いじってみたい。

とても良い2日間でした。講師や参加者のみなさん、お世話になりました! 

今回のミニキャンプへの参加費はすべて無料で、交通費や宿泊費、さらにはミニキャンプ中の食費まで負担していただきました。講師・実施協議会のみなさま、LOCALのみなさま、サポーターズのみなさま、ありがとうございました。