セキュリティ・キャンプミニとは
上位存在であるセキュリティキャンプ全国大会により多くの学生にチャレンジしてもらえるように、2日間で比較的易しい?内容の情報セキュリティの実習を体験できるようしている取り組み。主催はIPA。
自分は25年度の広島回に参加しました。
参加後の報告もこちらで見ることができます(専門講座の 2日目 のみ)。
一日目(公開講座)
25年 10月24日(金)
この日は公開講座と呼ばれる類のもので、現地参加50名、オンライン参加200名のハイブリッド形式で開催された。私は埼玉住みなので、東京駅まで移動して、構内のカフェで視聴した。
時間は13:00から17:40まで。受付開始が12:30なのだが、東京駅なんかそう行かないので、Wifiのあるカフェの場所がなかなか見つけられずかなり焦った。
テーマはサイバー犯罪とそれに関する現実的な防御策、証券口座乗っ取りの事例の紹介。そして、生成AIとセキュリティ業務の自動化について話があった。
三部構成だったが、どれも 便利になった社会は、そのまま新しい攻撃面も増やしている ということを伝えていた。
内容を見出しのようにまとめてしまうと、
・セキュリティ対策が手薄になりやすいのは、中小企業
・入口防御だけでなく、内部設計そのものに防御を織り込む「セキュリティ・バイ・デザイン」
・防ぐ ことと同じくらい、後から 追える 状態にしておくことはセキュリティでは重要
証券口座乗っ取りは、金を抜くだけでは終わらず、相場操縦のための道具としても使われてしまう
・AIエージェントによる 自律化 により、セキュリティ業務も変わる
・RAG のような、正しい資料やデータを参照させながら回答させる仕組みが重要
・人が「書く」から、人が設計するへと移っている感じがある
(人間が自然言語で指示し、AIがコードを書く。あるいは、人間は仕様書を整え、実装はAIに寄せていく。といった感じ)
AIにもまとめてもらいました。
講義が終わった後は、新幹線に乗り広島駅で前泊を!
二日目
10月25日 (土)
受付開始は、8:40
なのですが、
会場を広島市立大学の本キャンパスと勘違いするという痛恨のミスを犯してしまい、40分ほど遅刻してしまった。。。
もちろん本部には連絡しました。事前に書いた宣誓書には「最初に行われる倫理講座に出席しないと受講を認めない」と明記されていたため、強制帰還も覚悟していましたが、何とか参加が認められ一安心。
運営の方々の粋な計らいに、改めて深く感謝を。
講義のラインナップは、少し専門的なものになっており
・TLSプロトコルの仕組みを学ぼう
・開発スタイルの変化とセキュリティについて
といったものでした。
これらの講義を受ける前に、倫理に関する講義を受けました。
ここで印象的だったのは「カップルの相手のSNSを勝手に覗く行為はプライバシー侵害になりそうで、実際にはならない」ということ。法律と感覚のズレを実感しました。
あと、「この講座で得た知識は悪用すれば犯罪になる」という言葉を聞いて、改めて気が引き締まりました。
TLS について
Transport Layer Security といい、これは、インターネット通信を安全に保つための仕組みです。
TLS通信は、次の 3つの安全性 を保証しています。
| 要素 | 意味 |
|---|---|
| 秘密性 | 第三者に通信内容を盗聴されない |
| 完全性 | 通信内容が改ざんされていない |
| 認証 | 通信相手が本物であることの確認 |
これらが欠けると、盗聴・改ざん・なりすましのリスクが一気に高まります。
講義の中での実習では、2人で協力して暗号の復号をして、仕組みを考察しました。自分は2年後期の講義ですでにやっていたので、個人的には復習にちょうど良かったです。
その後、TLS 1.3というインターネット通信を保護する最新のプロトコルが紹介されました。
このバージョンでは、「暗号化」と「改ざん検知」を同時に行う AEAD(認証付き暗号) が必須となったようです。
講義の最後には、関連書籍の紹介や JANOG Meeting というイベントの紹介もありました。
参加者の方もジャノグの若者支援に参加しているのを知ったので、次回は参加しようと思いました。
セキュリティの実践 について
開発スタイルの変化
| 時代 | スタイル | 特徴 |
|---|---|---|
| 2000年代 | ウォーターフォール型 | 計画通りに順番に開発。変更が難しい |
| 2020年代 | アジャイル型 | 小さく素早くリリース。柔軟に変更できる |
| 近未来 | AI自動生成 | 便利な反面、AIが脆弱なコードを生成するリスクも |
ただ、前提として、AIがコードを書く時代になったとしても、セキュリティの最終確認は人間が責任を持つ必要があります。
そのために、
設計・実装の早い段階からセキュリティを意識することで、コストとリリース時間を大幅に削減できるShift-Left(シフトレフト) や 開発(Dev)・セキュリティ(Sec)・運用(Ops)が協力し合いながら、テストを自動化しつつ安全なシステムを素早く作る DevSecOps という取り組みが広まりつつあるようです。
「自社で最も守るべき情報は何か」を見極め、優先順位をつけて継続的に改善していく姿勢が大切です。
実習では、AIの力も借りてコードの脆弱性を調査しました。
時間が足りず原因の特定まではできませんでしたが、ログの分析方法や狙われやすい脆弱性の箇所の特徴を実際に見られたのが面白かったです。
当たり前ですが、テストデータで本物のデータを使うことは厳禁です。
データのマスキングや合成データの生成ツールを活用するようにしましょう。
感想
唯一の関東勢ということで、普段は関われない広島の学生の方々とお話をすることが刺激になりました。
課外活動などで開発をしている方が多くて、自主開発をするために、どんな工夫をしているのかが少し見えた(ような気がした)のがよい収穫でした。
二日間ありがとうございました!
応募課題の回答については、こちらから!
