はじめに
セキュリティ・キャンプ2026ミニ(東京開催) Aトラックのチューター(以下、TAとも表記する)を務めてきました。ここでは、そのチューターを通じて、気づいたことを記します。セキュリティキャンプのチューターを検討している方やセキュリティキャンプに興味を持っている方に向けて記します。
気づいたこと
無意識に前提条件を置いている点に注意
Aトラック『Infostealerの手法と対策を学ぼう』に関する話です。
アクセス制御のあるWebサービスの通信をWiresharkで傍受し、セッションIDを取得するハンズオンを行った時のことでした。Wiresharkで取得したセッションIDを使ってcurlでAPIリクエストを発行しても、認可が通りません。さらに、ログアウト・ログインを繰り返す、クッキーを手動で削除するなどを試しましたが、セッションIDがなぜか変わらないのです。
講師に見てもらったところ、URLの間違いを指摘しました。なんと、セッション認証を使ったWebアプリではなく、前のセクションで使っていた別のBasic認証の方を使ってずっと試していたのでした。これではパケットが飛ぶわけありません。
セッション認証を使ったWebアプリのURLにアクセスしたところ、無事WiresharkでセッションIDを取得できました。
ここから学べることは、無意識のうちに前提条件を置いてしまっているのを自覚するべきということです。講義がセッション認証まで進んでおり、私は受講生がセッション認証の方のWebアプリを試していると無意識に考えていました。しかし、その無意識の前提に気づいていれば、もっと早く解決できたはずです。
ちなみに、この話は不自然な点が多いのです。例えば、Basic認証のWebサービスをずっと使っていたなら、なぜ最初のセッションIDのパケットがあったのか(私の勘違い?)、なぜ、Wireshrkのパケットが流れていないことに気付かなかったのか、などなどです。
当時の私は詳しく原因を究明するわけにもいかず、受講生のキャッチアップ支援に追われていました。ただ、この記事を書くにあたって、この現象は何だったのか気になっています。何だったんだ…。
シェルやターミナルのショートカットを活用していないと難しい
今回のミニキャンプでは、多くのトラックもLinuxのシェルとターミナルを使用しました。しかし、ショートカットを使っていない受講生が何人か、見受けられました1。以下、目視で確認した例を挙げます。
- タブ補完を使わずパスをすべて手打ちしている
- 矢印キーのコマンド実行履歴を使わず、再度コマンドを手打ちしている
- 先頭に近いコマンドライン引数を変更するのに、Ctrl-aを使わず、矢印キーを長押しをしている
もちろん、見下しているわけでも、批判しているわけでもありません。ただ、こういったショートカットを使わずコマンドを打ってしまうと、時間が足りなくなってしまいます。コマンド入力の時間は本質ではなく、非常にもったいないです。
今後、セキュリティミニキャンプにおいて、Linuxのシェルやターミナルを使う場面は大変多いと考えられます。受講生に効率よく学習していただくために、Linuxのシェルやターミナルのショートカットキー集を事前にアナウンスするべきだと思いました。
私もTAとして、ショートカットが使える場面では、積極的に介入し、受講生の方にショートカットを使用していただきました。2
どう受講生のコミュニケーションをサポートするか
受講生の班のコミュニケーションが行き詰った時、助け舟を出すのがTAの仕事です。ここでは、特に初日のアイスブレイクに関する話です。
しかし、案外、受講生同士で話が弾んでいて、助け舟を出す必要な場面が少なく、TAがどうふるまうべきか悩ましいところでした。もう一方のTAの方は、そこに関係なく積極的に班に話しかけていました。私個人としては、受講生の同士の絆を重視したいと思っていて、話がはずんでいる班にTAが介入するのはあんまり受講生のユーザ体験がよろしくないのでは、と考えています。
もちろん、これはトレードオフで、どちらが正しいとかではないです。受講生に積極的にコミュニケーションをとっていくことが、より良いユーザ体験に繋がることが多いのも事実ですし、私も積極性を見習わないといけないと思っています。悩ましいところです。
どう受講生のハンズオン進捗をサポートするか
講義の終わり、ハンズオンの進みがとても遅い受講生がいました。その受講生には講義を聴いてもらい、その間に私がハンズオンを進めておきました。その後、出来上がったハンズオンを目の前で実践しながら、説明を行いました。
私は、受講者の主体性を奪うことになるので、こういうやり方が好きではないです。ただ、講義も終盤に近付いており時間がなく、終盤までキャッチアップをしてもらったほうが、学びが多いだろうということで行いました。
では、そうなる前に介入するべき、というのはその通りで、私も見るからに行き詰っている受講生には積極的に介入しました。
しかし、受講生が試行錯誤しているように見えるケースが多いです。試行錯誤をしている受講生に介入するのもユーザ体験よろしくないだろうということで、あんまり介入しづらいわけです。ここはトレードオフというか悩ましいところです。
解法としては、受講生のハンズオンの進捗状況をちゃんと把握しておいて、極端に遅れていたら介入することかなと思います。しかし、講義終盤はたいてい色々な場所でトラブル発生が起き拘束されるので、全体の進捗状況を把握しておくのは至難の業です。
ファーストペンギンになるということ
Aトラック3『OAuth 2.0 / OpenID Connectのセキュリティ・ベストプラクティスと実践的防御対策』では、OAuth2.0やOIDCの講義を行いました。私が受講生だったセキュリティキャンプ全国大会2025 Bトラックで同様の講義を受けたので、個人的に復習になってありがたいです。
講義の途中、認証・認可の話をしていないのではと気付きました。認証・認可の違いが分からなければ、講義を理解するのが難しくなるでしょう。そこで、質問タイムに手を挙げて、その趣旨の質問をしました。
講師から認証・認可の話を既に説明した趣旨の回答が得られ、再度、認証・認可の話をしていただきました。
オチは、単に私が説明を聞き逃していただけということでした。確かに、初心者向けにOAuthの話するのに、認証・認可の話をしないわけないですよね…。質問していて、奇妙だなと思いました。
受講生に覚えて帰ってもらうという点ではよかったかもしれません。
誰かがやらないといけないがやりづらいことを、ファーストペンギンとして積極的に取り組むのもTAの役割なのかなと思いました。もちろん、他のTAにこの考えを強要したいとは全く思っていませんが、個人的に実践していきたいですね。
感謝されるのは嬉しい
受講生のトラブルを解決できたときに、お礼を言われました。また、帰り際に、エレベーターが閉まる際、受講生から「ありがとうございました!」と言われました。セキュリティキャンプ運営の方からもお礼を言われました。こうして、お礼を言われるのはとても嬉しいです。
TAのやりがいというのはこういうところなのかなと思いました。
おわりに
以上、セキュリティ・キャンプ2026ミニ(東京開催) チューター 体験記を書きました。受講生を支えることは、受講生の立場では得られない新しい体験でした。受講生にどう良い体験良い学びをしてもらうのかは、難しいところですが、やりがいのあることだと感じました。また、やはり、自分自身が学びを深めておくことが大切だと感じました。