Capr1です．

セキュリティキャンプ2019全国大会に参加してきました！

すごく貴重で、かつ濃密であっという間な五日間でした．

ただの参加記みたいなもですが、読んでくださると嬉しいです．

• 受講した講義
• キャンプ期間中
  • Day 0
  • Day 1
  • Day 2
    • B1~3:クラウド時代における大規模分散Webシステムの信頼性制御 
  • Day 3
    • B4:認証の課題とID連携の実装 
    • B5:体系的に学ぶモダンWebセキュリティ
  • Day 4
    • B6:つくって学ぶ、インターネットのアーキテクチャと運用
    • E7:実践トラフィック解析
  • Day 5
• キャンプを通じて感じたこと 
• キャンプを終えた後
• まとめ
• おまけ
  • (講義とは関係ない余談)

受講した講義

受講した講義は以下の通りです．

B1~3:クラウド時代における大規模分散Webシステムの信頼性制御

B4:認証の課題とID連携の実装

B5:体系的に学ぶモダンWebセキュリティ

B6:つくって学ぶ、インターネットのアーキテクチャと運用

E7:実践トラフィック解析

(本当はE4:クラウド・ホスティングサービスのセキュリティと運用技術の研究も聞きたかった...今は講義資料をコツコツと読み進めています)

キャンプ期間中

Day 0

友達とスマブラしてました、うんち！w

Day 1

クロスウェーブ府中に着弾しました！

#seccamp pic.twitter.com/O73Nptvxiy

— Capr1/カプリ (@_Capr1_) August 13, 2019

着いた後はホテルの中で昼食を食べました．そこで色んな人に話しかけられ名刺をたくさん交換しました．中にはtwitterでフォローさせていただいている人もいたのでSNSってすごいなーって思いました．

その後は講義がありました．

一つ目の講義はセキュリティ基礎といって、現代のサイバーセキュリティ分野の未解決の問題を掲示していき、それについて議論していくといったものでした．自分はセキュリティに対する意識は周りと比べて高いと思っていたのですが、その講義を聞いていくうちに周りの受講生のセキュリティへの意識の高さや、自分のセキュリティに対する意識の低さを感じました．

二つ目の講義はセキュリティに関する法律と倫理の講義でした．一見正しいようにみえるハッキング行為でも、別の観点からするとNGな部分があったりなど、色んな物事の見方といったものが学べてとても為になりました．

三つ目の講義はITのコミュニティに関する講義でした．コミュニティ活動に参加することで色んな知見が得られたり、あわよくば転職とかで有利に働いたりとコミュニティ活動には色々なメリットがあることが学べました．自分もこれからはコミュニティ活動に積極的に参加していきたいと考えています．

夕食を食べた後はチューターさん達によるLT大会がありました．そこでは僕が所属している研究室の後輩がゲームのセキュリティについて話していたり、研究室の先輩がGoでDockerを用いたルーティングシュミレーションツールを開発した話をしていたり、さらにBトラックのチューターをやられていたAzara(@a_zara_n)さんがSecHack365で開発しているものについての話を聞いて、自分も来年SecHack365に参加してゴリゴリ開発してやろうと思いました．

LT大会の後はグループワークを行いました．グループワークのテーマは「セキュリティキャンプが終わった後の活動」というもので、セキュリティキャンプは参加することが目的ではなく、あくまできっかけにすぎず参加した後が大事であると．

そこで今回のグループワークではキャンプの後にやりたいことが同じもの同士でグループを作り、そこで具体的にキャンプ 修了後に何をしていくのかについてスタッフや講師の方のお話を聞きつつ話し合いました．

Day 2

B1~3:クラウド時代における大規模分散Webシステムの信頼性制御 

この講義はクラウド全振りなWebシステムをいかに高信頼に設計・開発・運用していくかについての講義で、前半は座学で、Webシステムのアーキテクチャやスケーリング、SREの基礎についての学びました．後半ではハッカソン形式で、講師の方が事前に用意してくださったサンプルWebアプリケーションをチームでより高信頼なものに作り変えていくといったものでした ．が、僕の技術力不足のせいで実装までにはいたらず設計だけで終わってしまい、しかもその設計も詳細を突き詰める部分が甘く、NoSQLやクエリへの理解もできていなかった為に、あまりいいものではなかったので、非常に悔しかったです．

技術力、もといコーディング力が欲しい．

Day 3

B4:認証の課題とID連携の実装 

前半はそもそもIDや認証とは?といった概念的な話が中心で、後半は認証技術であるFIDOやOpenIDについてのフローの説明や、それらの実装、および脆弱性についての理解を実際にサンプルを使い手を動かしながら学びました．応募課題でOpenIDについての課題があり、それを解いていた時にわからなかった事がここではっきり理解できたので非常によかったです．

B5:体系的に学ぶモダンWebセキュリティ

前半ではWebの境界性の必要性、ブラウザについてのセキュリティを体系的に学び、 後半ではCSSinjectionのデモを行い、それをテーマにしたCTFを行いました．結局僕は最後の答えまでたどり着くことはできませんでしたが、このスクリプトを埋め込んだら具体的にどういう動きをするのかについて学べたので非常に楽しかったです．また講師の方から「単純なスクリプトを書く際にPythonとかでワンライナーを書くとかして自動化や効率化をすると幸せになれる」とのコメントをいただき、単純な作業とかはどんどん自動化してもっと効率的に作業をしていくことの重要性を学びました．

下記が公開されている講義資料です．

speakerdeck.com

Day 4

B6:つくって学ぶ、インターネットのアーキテクチャと運用

この講義ではインターネットの仕組みとその考え方について実際に手を動かしながら学びました．具体的には講義内容としては、世界中のネットワークが具体的にどのようにして繋がっているのか、DNSの仕組みや名前解決がどのように行われるのか、BGPについての講義内容の後に、PC上で仮想ネットワークを構築し、BGPの設定を行って、小規模なインターネットを構築し、実際にBGPの通信の挙動を確認するという事をしました．BGPの概念だけ理解していた自分にとっては手を動かして体系的に学べたという事で、BGPについての理解度が深まりました．

E7:実践トラフィック解析

前半ではパケット解析の基礎を学び、後半は実際にキャンプ会場内のトラフィックとダークネットのトラフィックをキャプチャし、それらを解析してわかったことを発表していきました．ダークネットのトラフィックを解析したことのない自分にとって、普通のトラフィックとは違うものであふれていたダークネットのトラフィックはとても新鮮で解析していて楽しかったです．

また講義が終わり夕食を食べた後はラストナイトイベントがあり、そこで会員企業様や講師の方々から提供して頂いたグッズや本の配布会が行われました．例年は若い順みたいですが、今年はグループワークのグループ名のハッシュ値順でした笑．僕たちのグループは頭から5番目とかなり早い順番でしたが、皆中々どの本をもらうか迷ってしまい、スタッフの方から早く決めて〜と注意を受けてしまいました...w

チーム内での順序決定もhash使ったけど、結局決断力でした #seccamp pic.twitter.com/N056TZD7uX

— mikit🥭 (@m1kit) August 16, 2019

↓ 貰った本

セキュキャンでPHPの本を貰ったのでPHPerになるしかない#seccamp #secaamp2019 pic.twitter.com/EixgkEHOTb

— Capr1/カプリ (@_Capr1_) August 17, 2019

その後は会員企業様のお仕事紹介の後、グループワークがありました．そこでも１日目と同じようにキャンプ修了後に何をしていくのかについてスタッフや講師の方のお話を聞きつつ話し合いました．

Day 5

最終日です．本当にあっという間でした．起きてからグループワークをした後、写真撮影をした後、講義の成果報告を行いました．集中コースの成果報告が凄かったです．リバエンゼミやべえ．

リバエンゼミやべえ #seccamp

— Capr1/カプリ (@_Capr1_) August 17, 2019

特にジュニア開発ゼミの成果報告では、中学生とは思えないほどのアウトプットをしていてヤベェ...と思いました．俺中学生の頃ずっとスマブラしてたよ... 

キャンプを通じて感じたこと 

まずは、自分をセキュリティキャンプに参加させてくれた運営側に感謝．そしてセキュリティキャンプを知るきっかけを作ってくれた同じ研究室の先輩に感謝しています．

まず感じたことは自分自身の力不足です．自分はまだ井の中の蛙だったんだなぁと痛感させられました．非常に悔しかったです．ただ今回のキャンプは、自分にとってきっかけづくりでもあるのかなと今では思います．レベルを実感し、どこに、どう進んでいけばいいかなどを考えるきっかけに、そして改めて自分自身を見つめ直すきっかけになりました．すごく勉強になりました．講義中はわからないことだらけで、今もう一度講義資料を見て１人で説明できるかは正直微妙です．ですが、諦めずにできるところまではやってみようと思います．このキャンプを糧にこれから精進していきたいです．

キャンプを終えた後

キャンプを終えた後は自身の技術力を上げるべく必死に手を動かしています．具体的にはBトラックのチューターをやられていたAzara(@a_zara_n)さんからオススメされた資料を読みながらGoによるWebアプリの実装について実際にコードを書いて勉強しています．

またそれ以外にもノベルティでさくらのVPSのクーポンを貰ったので、ログ分析をやる為にハニーポットの構築も行っていこうと考えています．

まとめ

やっぱりあっという間な五日間でしたね．他にも受けたい講義があったり、まだ関われてない人もいたりと思い残すこともちょっとはあります．それでも自分自身の実力不足を実感させてくれたセキュリティキャンプに参加して良かったと思っています．また何らかの形でセキュリティキャンプに関わりたいと考えています．

セキュリティキャンプに興味がある方、そしてまだ今の自分に自信がない方も来年応募してみてください！

セキュリティキャンプ2019お疲れ様でした。
技術的な話とかは全然できませんでしたが、周りの受講者や様々な講義に刺激を受け、自分を見つめ直すことができたり、もっと勉強しないとなぁって思うようになりました
皆さんありがとうございました！ pic.twitter.com/gjyM57LpRI

— Capr1/カプリ (@_Capr1_) August 17, 2019

「セキュリティ・キャンプ 全国大会 2019」「セキュリティ・ネクストキャンプ 2019」の全ての日程が無事に終了しました。また来年もよろしくお願いいたします！ #seccamp pic.twitter.com/q4ymhy8D6Y

— セキュリティ・キャンプ (@security_camp) August 17, 2019

おまけ

(講義とは関係ない余談)

二日目の講義が終わった後の夜、やわらかくまさん(@yawarakakuma3)と待ち合わせをし、マジカルミライ2019という初音ミクのライブのチケットを譲っていただきました．(やわらかくまさんありがとうございます)

いやー、セキュキャンに参加するとこんないいこともあるんだなぁ〜笑

セキュキャン参加者のなかでマジミラ行きたい人いなさそうだから，余ったチケットどうしようか悩んでる

— Softbear (@yawarakakuma3) July 13, 2019

余ったチケットは9/1の昼なので，よかったらDMください(セキュキャン参加者さんのみで)

— Softbear (@yawarakakuma3) July 13, 2019

magicalmirai.com