セキュリティ・キャンプ2017 ~当日編~
- はじめに
- 会場についてのお話
- 0日目のお話 (8/13)
- 1日目のお話 (8/14)
- 2日目のお話 (8/15)
- 3日目のお話 (8/16)
- 4日目のお話 (8/17)
- 5日目のお話 (8/18)
- さいごに
はじめに
22歳までの学生が応募することができ、技術的に恐ろしいプロ学生が集うセキュリティ・キャンプ。
そこへ最年長(4月生まれ22歳)で参加した、セキュリティ学習歴1年未満の圧倒的技術不足な残念さんのお話。
Twitterで自分の記事を挙げてドヤってる人に触発されて書いてはみたけどこっそりアップしておく。
会場についてのお話
今年から人数が増えたため会場が変更になったらしく、「クロスウェーブ府中」で前日入りを含め5泊6日を過ごした。
館内は清潔で吹き抜けが日光を呼び込み、1階には噴水モドキと木が4本くらい生えているお洒落な建物だった。
セキュリパークのふろんと地方 #seccamp pic.twitter.com/ema8CtApOV
— CHUBACHI, Yosuke (@ybachi) 2017年8月14日
セキュキャン2017会場情報です。 #seccamp pic.twitter.com/pUrsHmYeTR
— 🐈 (@hiww) 2017年8月14日
キャンプ参加者の皆さんをお待ちしています! #spcamp #seccamp pic.twitter.com/kV3THZFTsJ
— セキュリティ・キャンプ (@security_camp) 2017年8月14日
会期中は外出が制限され、朝早くにコンビニツアーが開催されていた。
コンビニツアーに行かなくても飲み物は大量に用意されており、館内にもファミマと提携している自動販売機があったため特に困ることは無かった。お部屋のチャイムもファミマ仕様
部屋は綺麗な一人部屋。広くてマットを敷いてヨガが出来そうなレベルだった。
0日目のお話 (8/13)
距離的に当日入りが厳しい人たちは前日入りする許可が与えられた。
17:00頃までに参加者13人が会場に到着し、皆で晩ご飯を食べた後ひたすら講義の予習をして、翌日に備えて早く寝た。
1日目のお話 (8/14)
1日目は参加者全員で受ける全体講義がメインだった印象。
セキュリティ基礎
上野さんより、セキュリティ基礎。ディスカッション形式で、グループディスカッションしています。 #spcamp #seccamp pic.twitter.com/rEdhPR87uE
— セキュリティ・キャンプ (@security_camp) 2017年8月14日
ttps://twitter.com/security_camp/status/896984973793607680
「人工知能が進化していくなか、今後も残るセキュリティの仕事は何なのか」をテーマにグループでディスカッションを行った。
グループは座席表に従った4人構成で、誰が決めたのか名簿五十音順で座席は決まっていた。その結果私は一緒に応募した同じ大学の人と一緒になった。
折角ここまで来て一緒の大学の人とディスカッションってどうなのさ日向。
座席表を決めた人に配られたハンドスピナーを投げつけたい気持ちになった。
特別講義
仕事人と倫理人の豪華2本立てだった。
特別講義:JPCERT/CC小宮山さんより
— セキュリティ・キャンプ (@security_camp) 2017年8月14日
「グローバルなサイバーセキュリティのおしごと」 #spcamp #seccamp pic.twitter.com/gAZoxJKvxL
最初はグローバルに働くひよこ鑑定士の方のお話。
開幕から「『太陽の塔』という小説を読んだことはありますか?」という
堅苦しいプレゼンの日本代表みたいな始まり方で期待度が低かったが、
その後急に汚い言葉を連発して会場の心を掴み、仕事人ならではの貴重な話を交えつつ、それでいてしっかりとしたメッセージを持った一貫性のある講義に仕上がっていた。
「ひよこ鑑定士ってトークスキル高いな」と思った。
特別講義:サイバーディフェンス大徳さんより
— セキュリティ・キャンプ (@security_camp) 2017年8月14日
「フォレンジックでサイバー脅威に立ち向かう」 #spcamp #seccamp pic.twitter.com/TcSUaHPchp
お次は倫理枠として分析官の方のお話。
フォレンジックに関わる仕事人としての話や、情報セキュリティを学ぶ上での倫理のお話がメインだった。
個人的に興味がある話だったため聞いていて楽しかったが、周りではチラホラ轟沈している学生が見受けられた。
最初の方のインパクトが強すぎて、分析官の方の印象が結構薄れてしまった。
「子供の話をしているときの暖かい表情が可愛い」と思った。
チューター紹介
チューターを代表して3人のプロの方々が発表を行った。
チュータープレゼン 3名の方に代表して発表してもらいました! #spcamp #seccamp pic.twitter.com/DLL4GTYuL8
— セキュリティ・キャンプ (@security_camp) 2017年8月14日
率直に感想を述べると「強い」の一言に尽きる。
3名それぞれとても高度なことをやっていながら技術レベルの低い私にも分かった気にさせる、そのプレゼンスキルに感動した。
それぞれの方の堂々としている表情を見ていると、
「自分も何か武器が欲しいな」と思った。
グループワーク
過去に参加した先輩が「期間中一番辛かった」と言っていたイベント。
川口さんよりグループワーク。
— セキュリティ・キャンプ (@security_camp) 2017年8月14日
チームに分かれてディスカッションしています! #spcamp #seccamp pic.twitter.com/Ir7xdYgatM
8人チームで会期中の5日間を使って、与えられたお題についてプレゼンテーションを作成するイベントだった。
8人に増えたことで自大学濃度が薄まってほっとした。
与えられたお題は
- 学生が作るソフトウェアの品質を担保するために自分たちは何をするか?
- 学生がサイバー犯罪に手を染めないために自分たちは何をするか?
- 2020年東京五輪でキャンプ卒業生が活躍するために自分たちは何をするか?
- 今後セキュリティキャンプの効果を最大化するために自分たちは何をするか?
の4つで、いずれも「自分たちは」という主語が強調されていた。
期間中に来場している方々にバンバンヒアリング調査して意見を取り入れていこうというもの。
私たちのグループは一番取っつきやすいサイバー犯罪を選んだ。
参加者に4人しかいない女性の半分が所属しており、中学生の可愛い少年もメンバーにいて平和な世界だった。皆使っているパソコンがMacでLenovoの私に居場所は無かった。
あと、グループワーク全体を通じて「司会進行の川口さんスゴいな」と感じた。
来場している講師陣をうまい形で紹介しつつ、説明部分は極めて簡潔にまとめられており、演説かのような伝わりやすい発声。全体を通じて一番輝いて見えた。ただ、
「その前髪のセット大変そうだな」と思った。
2日目のお話 (8/15)
いよいよ専門講義が始まる。各々が選択した講義へと散っていった。
D1 「Linuxカーネルを理解して学ぶ脆弱性入門」
ガチャピン先生と呼ばれる「クインテット」でピアノを弾いていそうな方が講師だった。
トラックD:小崎さんより
— セキュリティ・キャンプ (@security_camp) 2017年8月15日
「Linuxカーネルを理解して学ぶ脆弱性入門」 #spcamp #seccamp pic.twitter.com/VaKwFoMfb6
「D2, D3を取るから、内容的にこれも取っておけば良さそう」と思って選択した。
プロが集まるイベントの「入門」は十中八九地雷だが、淡い期待を抱いてLinuxカーネル初心者の私は参加した。
初めは理解しやすい&基本的内容で「おっおっ?」と喜んで講義を受けていたが
途中から入門とは余り呼べない雰囲気になり始めて「アッアッ…」状態だった。
カーネルどころかそもそもLinux超初心者であったため、「ターミナルでの入力時にtabで補完される」という一般人でも当たり前のことをガチャピン先生から聞いてこの講義で始めて知った。
D2-3の復習を行いつつLinuxカーネルの勉強をしていたところ、幸いにも当日使った講義資料と環境がやっと配布されたので、夏休みを使ってじゃんじゃん復習していく予定。
この講義を受けさせて頂いた以上、復習でカバーしてなんとしてでも技術を習得したいというモチベーションが発生した。
このレベルで先生の講義を取ってしまったことにただただ罪悪感を覚え、
「申し訳ないことをしたな」と思った。
D2-3 「カーネルエクスプロイトによるシステム権限奪取」
今回の講義の中で一番ヤバそうだったるくすさんの講義。
トラックD:木村さんより
— セキュリティ・キャンプ (@security_camp) 2017年8月15日
「カーネルエクスプロイットによるシステム権限奪取」 #spcamp #seccamp pic.twitter.com/AtOfZF0j1H
なぜこの講義を取ったのかは全く覚えていなくて、応募課題でもこのジャンルの問題は避けていたのでますます謎。ただ、自分の知らない世界をかなり広げてくれたように思う。
事前課題からなかなか激しい内容であったが、「技術不足を時間量でカバー」をモットーにキャンプ前の予習をほぼこれに充てた。予習部分については課題を達成しある程度理解を深められたものの、そんな付け焼き刃では太刀打ちできなかった。
ただ、全くついて行けない分からないポカーンではなく、事前学習の成果もあってかある程度講義内容は掴めた。掴んだつもりでいる。
終始胃が痛くて帰りたい気持ちになったが、結果として技術的に楽しむことが出来たと思う。思いたい。
間に食事休憩があったが、胃が痛すぎて何も食べられなかった。
講師のるくすさんは講義で苦しむ学生の姿を見て終始嬉しそう満足げだった。
後日の食事タイムに「一番辛かった講義は何でしたか?」なんて質問を飛ばしていたもんだから、
「一番キャンプを満喫しているな」と思った。
3日目のお話 (8/16)
3日目にもなると大分この生活に慣れてきた。毎朝のけものフレンズが日課。
C4 「IoT時代のセキュアなクラウドインフラ構築術」
別イベントでIoT関係を勉強しているため、講義タイトルでこれを選んだ。
トラックC6:仲山より
— セキュリティ・キャンプ (@security_camp) 2017年8月16日
「IoT時代のセキュアなクラウドインフラ構築術」 #spcamp #seccamp pic.twitter.com/f1etRVXGfe
わかりやすいスライドでクラウドインフラの現状を教わった。
前半はスライドによる座学で、後半は実際にIoTデバイスからのパケット(を模したもの)をクラウドに流してグラフ処理を行うハンズオンが行われた。
会員登録から行わなければならないものの、クレジットカード認証と組織メールアカウントの認証が必要でなかなか皆さん違う意味で手こずっていた。
最終的には各テーブルで再現に成功した人のものを共有する形で内容を閲覧できた。
関係ないところで時間が取られてしまい、肝心の部分に時間を余りさけなくて悲しかったが、前半のスライド座学だけでも大分得るものがあった。
「見た目と声のギャップが激しいな」と思った。
A5 「Availability Challenge ~サービスの可用性を確保せよ~」
第2希望が通って受けることになったこの講義、とても楽しむことが出来たので受けられてとても良かった。
トラックA5:川口さんより
— セキュリティ・キャンプ (@security_camp) 2017年8月16日
「Availability Challenge -サービスの可用性を確保せよ-」 #spcamp #seccamp pic.twitter.com/DNCKirHeol
Hardening を体験できるシステムを使った講義。
参加者は2つのチームに分けられて(1チーム4人)、それぞれサーバを与えられる。ショッピングサイトを運営しながらサーバへの攻撃に対応しましょうという内容。
白浜のコンテストがタイムラインで流れているのを見て「面白そうだな」と思ったのが選んだきっかけ。キャンプ2日前に事前課題が出される驚きの展開だった。
同じ内容で3セットほど行い、攻撃をどのように把握してどう対応していくのかをチームで話し合いつつ最終スコアを伸ばしていった。
学生よりも見学の大人の盛り上がりの方が目立っていた印象。チームメンバーから自分の知らない手法を沢山学べて実りある時間に出来た。
「グループでの協力いいな」と思った。
BoF
Buffer OverFlow の略だと話題だったこの時間の正体は受けた後も謎だった。
昨年までは名物としてCTFがあったみたいで若干期待していたのだが、
今年は少し趣向を変えて選択制のミニ講義が前半と後半に分けて行われた。
内容も当日配布の紙で発表で、選択する時間は殆ど与えられなかった。
BoF 前半 #spcamp #seccamp pic.twitter.com/UL3izPJmRE
— セキュリティ・キャンプ (@security_camp) 2017年8月16日
前半は部屋を間違えてヤフー株式会社による
「インターネットサービスでのセキュリティ対策プロダクトの必要性」を受けた。
丁度私の研究室の先輩がyahooに就職予定のため興味本位で覗いてみた。
内容は技術紹介メインで宣伝ちょこっとといった感じで、現場の生の声を聞けた楽しむことが出来た。
質問コーナーで「社食でTポイントがたまると伺ったのですが、貯まったTポイントは皆さん何に使いますか?」と聞きたかったが、他の人の質問が技術寄りで素晴らしかったため質問する勇気が出なかった。
「黒い服の人ももう少し喋って欲しかったな」と思った。
BoF 後半 #spcamp #seccamp pic.twitter.com/5XSQ1VA3AA
— セキュリティ・キャンプ (@security_camp) 2017年8月16日
後半は今岡さんによる「NN系の学習済みモデルをFPGAへ実装してみた」を受けた。
興味本位で参加したこの講義であったが、タイトル詐欺と言わざるを得ない内容で「FPGAを崇め奉る会」だった。
結構砕けた感じで終始進行され、結果としては楽しんで参加することが出来た。講師陣のレベルが素晴らしすぎたため、もはやどの講演を選んでも楽しめたと思う。
公演中今岡さんが何度も使っていたが、
「神ってるって死語じゃないか?」と思った。
交流夕食会・企業プレゼン
もうかなり慣れてきた夕食タイムであったが、この日は「交流夕食会」というなの講師・チューター・参加者の強制一緒にご飯イベントだった。
夕食は協賛企業・講師・チューターとの交流夕食会。 #spcamp #seccamp pic.twitter.com/5p7TyPM4up
— セキュリティ・キャンプ (@security_camp) 2017年8月16日
個人的に講師・チューターは内輪でキャッキャウフフしている印象があったので、このような強制イベントはアリだと思った。
コミュ障に優しい「話のネタカード」が各テーブルに置かれていた。
そしてこの日は確か1回目の企業プレゼンがあった。
企業プレゼンテーション #spcamp #seccamp pic.twitter.com/QascekYqaO
— セキュリティ・キャンプ (@security_camp) 2017年8月16日
企業プレゼンはその企業のキャンプ出身者などが企業のセキュリティ部門の紹介を行う感じであった。そうそうたる顔ぶれで何処の企業の話も気になる感じだった。
残念なことに企業プレゼンの概要が選択アンケートの段階で出そろっておらず、企業名で選んでるような状態になってしまったため、「知っていればあっちを聞いていたのに…」みたいな部分が大きかった。
4日目のお話 (8/17)
ここまで来るとそろそろ睡眠では庇いきれない疲労が見えてきた。
E6-7 「インシデントレスポンスで攻撃者を追いかけろ」
なんだかんだ受けた講義の中で一番これが自分に合っていて面白かった。
トラックE6-7:鈴木さん、梨和さん、小林さんより「インシデントレスポンスで攻撃者を追いかけろ」 pic.twitter.com/iwTNUWEfuK
— セキュリティ・キャンプ (@security_camp) 2017年8月17日
るくすさんの講義を受けてしまったせいか、
いきなり被害ディスクのデータを渡されて「はい、さがしてね」って突き放されることを想定して身構えていたが、
ふたを開けてみれば丁寧な解説付きでとてもわかりやすい講義であった。
講師の方が3人もいて三者三様でいい感じにやりとりを楽しめた。
座学と演習を繰り返していく形式で、現場で使われているものが紹介されたが、始めて使うようなソフトばかりだった。
技術的に強い方々は座学がつまらないのか轟沈していたようだが、基本から扱ってくれたために私は余すこと無く堪能することが出来た。
トラックE6-7:インシデントレスポンスハンズオン中 #spcamp #seccamp pic.twitter.com/xjQF24M65A
— セキュリティ・キャンプ (@security_camp) 2017年8月18日
親指の自己主張が激しい写真が使われていた。
3人で講義を楽しそうに進めていく様を見て
「仲間っていいな」と思った。
企業プレゼンテーション
この日は2回目の企業プレゼンテーションが行われた。
企業プレゼンテーション #spcamp #seccamp pic.twitter.com/WZ1nfp2BvM
— セキュリティ・キャンプ (@security_camp) 2017年8月17日
富士通株式会社の講演を聴いたが、スライドをまとめる技術が強くて感動した。
質疑応答は殆ど坂井さんが答えていた気がする。
サプライズ
噂には聞いていたが、講師陣から技術書やノベルティグッズが提供された。
講師・チューターからの特別プレゼント! #spcamp #seccamp pic.twitter.com/U7XWX4n6yz
— セキュリティ・キャンプ (@security_camp) 2017年8月18日
廊下に本がずらっと並べられ、全員が一周して内容を確認。二周目で欲しいものを選んでいくらしかった。
何を基準に選ぶ順番を決めるのか疑問に思っていたが、年齢順と聞いて「公平ね」と思った。
頂いた本を抱えて笑顔の小中学生を見るとこちらまで嬉しくなる。
若干何の本がもらえるか期待していたのだが、その考えは甘かった。
参加者中最高齢の私が二周目に行くと、既に用意されていたグッズは跡形も無く持って行かれていた。どうやら20歳を超えるあたりからグッズはもらえなかったらしい。
大人は自分のお金で買いなさいという現実を見せられた。数くらい事前に確認しておこうよ
来年参加予定の方は20歳以上の場合サプライズに期待してはいけない。
5日目のお話 (8/18)
いよいよ最終日。寝坊する人間が後を絶たなかった。
グループワーク
発表前にまとめる時間が取られた。
最終日午前は、グループワーク。最後のまとめです! #spcamp #seccamp pic.twitter.com/RTNH3KiyZi
— セキュリティ・キャンプ (@security_camp) 2017年8月18日
ヒアリングを終えて情報を整理し、皆で方針をすり合わせて妥協点を探り、スライド作成にも取りかかった。
自分たちの班は意見討論の内容をHackMDにまとめ、スライド作成はGoogleスライドで全員一斉に取りかかるスタイルで行った。
「時代は進歩したな」と思った。
全員で作ったスライドをデザインセンスのある方がデザイン統一し、発表者となった3人が原稿を考えて本番に備えた。
グループワーク終了しました!(晴れ晴れ) #spcamp #seccamp pic.twitter.com/S1rYyeJn74
— セキュリティ・キャンプ (@security_camp) 2017年8月20日
発表はどのチームもクオリティが高く、内容に説得力があるものばかりであった。
グループワークの発表!!! #spcamp #seccamp pic.twitter.com/Yoag3p55It
— セキュリティ・キャンプ (@security_camp) 2017年8月20日
どのグループの発表者もプレゼンの仕方がうまく、何処でそんなスキルを身につけたのか気になるレベルだった。
全体的に深夜テンションが存在感を出し、NOCチーム愛用の5000兆円フォントが至るところで使われていた。
結局結果は、会場を一番沸かせていたイキリストの皆さんが優勝していた。
グループワーク表彰 グループAの皆さんおめでとうございます! #spcamp #seccamp pic.twitter.com/zn8uxPQOAC
— セキュリティ・キャンプ (@security_camp) 2017年8月20日
さいごに
講師・チューターの方々を把握し切れていなかったため、一緒にカレーを食べていた気さくな人が実はSECCONのトップだったり、受けた講義の講師が実は超有名な方だったりと後で「あのとき話しかけるチャンスだったのに」と後悔しそうなくらいであった。
今後参加を考えている人は講師について早めにググってまとめておいた方が将来の自分のためになるかもしれない。
ここで過ごした5泊6日は興味の幅を広げるきっかけにもなり、今後の学生生活のモチベーションを構築してくれた。持ち帰った講義の資料をうまく使って、講義で吸収しきれなかった部分の復習を行い役立てていきたい。
衣食が提供されて参加者は受ける講義だけに集中できる環境におかれるため、普段では味わえない濃い1週間を満喫することが出来た。
来年からは応募資格が無くなってしまうので残念であるが、腕を磨いてミニキャンプやチューターサイドとして参加出来るように残りの学生生活を有意義に過ごしていきたい。