始めに
2022/8/9~2022/8/12 でセキュリティキャンプに参加したのでその感想を参加記録として記事にしました。本記事では講義内容に焦点をあてるため、応募課題や事前課題についてはかなり省いております。
セキュリティキャンプとは
「セキュリティ・キャンプ」は、学生に対して情報セキュリティに関する高度な技術教育を実施し、次代を担う情報セキュリティ人材を発掘・育成する事業です。
引用先:https://www.ipa.go.jp/jinzai/camp/index.html
IPAが主催されているイベントで、今年はオンラインで5日間集中的に講義が行われました。セキュリティに興味のある方はぜひおすすめします!
キーワード
- 多層防御
- サプライチェーン
- 歴史的事情
講義内容
セキュリティキャンプの中でもハードウェアやIoT、AIなどいくつかテーマがあります。自分はその中でも今回Webセキュリティコースを選択し、それぞれ以下の「学んだこと」で紹介する6つの講義を受講しました。
学んだこと
-
B1 作って学ぶWebブラウザ
ブラウザの仕組みを学びつつ、ブラウザの事前課題ではRustで講師の方が用意してくださったプログラムを改変したりしました。そしてそこからブラウザに潜む脆弱性などに関して学びました。 -
B2 マイクロサービス・分散モノリス的アーキテクチャへの攻撃手法
ハンズオンでのアクティビティがメインでした。そしてマイクロサービスシステムに対してどのように攻撃が行われるかを見ました。講義後半ではそれらに対してどのように防御できるかを学びました。 -
B3 Policy as Code入門
「Rego を使ってポリシーをコードでまとめてみよう」をコンセプトにしたハンズオン形式の講義でした。ポリシー策定の重要性からAWSキーのポリシー策定をテーマにした実用的な内容まで幅広く学びました。 -
B4 モダンな開発環境のセキュリティ及びCI/CDパイプラインのセキュア化
Google cloud と GitHub を使った CI/CDパイプラインに対して攻撃をハンズオンで行い、それに対する対策を考える講義でした。チームで開発するときに今まではソフトの脆弱性のことだけでCI/CDについてはあまり考えてこなかったので「気を付けないと」と思わされました。 -
B5&B7 ソフトウェアサプライチェーンセキュリティのこれから
2回に分けて講義がありました。1回目はSigstoreについてどのような仕組みなのか、またサプライチェーンにどのように攻撃者は攻撃するかを学びました。その後2回目で実際に手を動かしてみて Docker イメージに署名をかけて、自分がそのファイルを編集したことを確認しました。 -
B6 実践Linuxコンテナ実行基盤セキュリティ
Container と Kubernetes それぞれについて学んだ後、それらに対してどのように攻撃が行われているのか、これもまたハンズオン形式で学びました。そしてそれらの攻撃に対してどのように対処できるかを最後に教えて頂きました。
これから
- 学ぶ量が多く消化不良を起こしているので、今後公開された資料をよく見直して理解を深めていくことが目標です。
- B1 でのブラウザの改良や B5, B7 で学んだことを自分の開発環境にも組み込みたいです。
- グループワークで CTF に取り組むことになったのでそれの準備もします。
まとめ
全体を通してとても濃い5日間でした。高レイヤだけでなく、コンテナなどの低レイヤを触る良いきっかけになり、参加して良かったなとすごく思いました。
別のイベントにもぜひ参加していき、様々な技術を学んでいきたいです。
この場で改めてIPAの方々や講師陣、その他大勢の関係者の皆様に感謝を申し上げます。