セキュリティキャンプ全国大会オンラインに参加した
セキュリティキャンプとは
情報処理推進機構が開催している、情報セキュリティの人材育成プログラムである。
詳しくは公式ページに説明がある。
この中でも、セキュリティ地方大会とセキュリティ全国大会があり、一回地方大会にも参加したことがある。
講師陣が豪華で他参加者もハイレベル。
私も今まで散々参加記を参考にしてきたので、全国大会についての応募についてのことや参加記を書く。
セキュリティキャンプ全国大会の応募
地方大会も応募課題があるが、難易度や回答量的に、一般的には全国大会の方がハードルが高いと言われている。
ちなみに以下の内容は、全国大会の応募に限らず地方大会についても同様のことが言えると思う。
応募時に評価される点として、技術的なアウトプットや、熱意、応募の明確な動機があると良さそう。
ちなみに私は去年も応募して落ちたのだが、なにもアウトプットがなかったので応募を機にこのQiitaを始めた。
このきっかけには、とても感謝している。
また、応募課題の中には調べながら解く必要があるものも多く(少なくとも私の技術力的には)、応募するだけでもかなりいい勉強になる。
ので、応募しない理由はないだろうというのが私の意見だ。
応募課題にどう回答したか
私は今回XトラックのIoTセキュリティコースに応募した。
このコースは、IoT機器を分解したりしてリバースエンジニアリングしてしまおう!というものである。
内容は後述する。
応募課題は、
- リバースエンジニアリングの体験ある?
- リバースエンジニアリングしたいと思っているものは?
- 技術用語の説明をしてね(調べてok)
- ファームウェアの安全なアップデートって何?あと、攻撃手法や事例の説明をしてね
- 本コースへの熱意を書いてね
- アピールしたいこと何でも書いてね
というものである。
ちなみに課題は公開されていたものなので、ここに書いても大丈夫。
むしろ応募を含めた参加のプロセスを書いてね、と講師の方が仰っている。
自分個人の体験談をかなり踏まえて応募しており、文章を晒してもあまり意味がないかと思うので、私が気を付けていたことを記す。
- (これは長期的な準備が必要だし、自ずと発生するものかと思うが)興味がある分野の勉強会に足を運ぶ(今はオンラインな時代なので指でしょうか)
- 上の項目などで得た具体的な体験や感想をもとに、熱意を伝える
- 調べものも一個のwebページだけではなく、せめて複数調べる(図書館とか行けたらベストかも、今年は行けなかったが)
- 当たり前だが、読みやすい文章を心がける
自分の回答内容は以上に尽きる。
キャンプの内容
例年5日くらいの合宿形式のところ、今年は2カ月ほどのオンライン形式であった。
これについて話すと長くなりそうだが、オンラインとオフラインどっちも良いところがあるよね、みたいな話は誰もがどこかしらで議論している話かと思うので省略する。
全体の講義と、グループワーク、それぞれ専門講義か選択講義のコース、の大きく分けて三種類の授業が受けられる。
私は、
- XトラックIoTセキュリティコース
- AWSインシデントレスポンス
- 事例と法律
の講義を取った。例年、一つ目の専門講座か二つ目以降の選択講義かどちらかのようであるが、今年はオンラインだからか、各コース枠の制限はあったが追加受講が許された。
IoTセキュリティコース
リバースエンジニアリングはプロダクトの販売者が想定する使用方法ではないため、それによって何か問題を起こしてしまった場合に、その製品を扱っている人たちに迷惑がかかってしまうというリスクを考慮して、詳細を伏せる必要があることは最初に書いておく。
二個くらいのIoT機器を送っていただき(返却の必要はあり)、それを分解したりファームウェアを取り出したりした。
その中で必要になったので、たまたま家に半田ごてやテスターがあったのが幸いだった。
チューターさんには恐ろしいくらいお世話になった。
他の参加者の中に普段からリバースエンジニアリングをしているような人たちがいて、知識量やLT慣れした話し方、分解して分かったことのまとめ方に非常に刺激を受けた。
AWSインシデントレスポンス
個人的には、インスタンスis何?状態で参加してしまったことがある、AWSセキュリティのイベントのリベンジという感じだった。
講師の方の説明に感動した。わかりやすい。
最も記憶に残っているのは、講師の方のこの言葉である。
「他の脆弱性はフレーバーとして入れました」
事例と法律
端的に言うと、裁判官の講師の方にいじめられた。:)(良い意味で)
が、この辛い(?笑)経験はとても記憶に残り、いい経験だった。
また、この講義は法律に詳しくない受講生に向けて丁寧な解説や事前課題を用意してくださり、本当に助かったし、とても理解が深まった。
だが正直に言うと、考えすぎて分からなくなってきて、ダニングクルーガー効果の最下点で講義が終わった感じ。
来年のチューターで自信と理解を向上させていこうかなと思ったり。
おわり
やっぱりセキュリティキャンプは参加して良かったと思うし、参加できなかったとしても応募課題は解く価値があると思う(去年落ちた私の実体験)。
私も今まで過去の参加者の参加記を参考にしてきたので、これが誰かの参考になれば幸いです。
何か私が書きそびれたことや、ご意見・質問あればコメントください;)