はじめに
皆さんこんにちは!
今回は8/11~16日に開催されたセキュリティキャンプ全国大会2025へ参加しました。
今から参加した感想、講義で学んだことを伝えて行きたいと思います!
応募したきっかけ
応募したきっかけは、昨年の12月からセキュリティ分野&セキュリティキャンプに興味を持ち、DクラスのAIセキュリティクラスの内容を見て面白そうだなと思い応募しました。
また、セキュリティキャンプを通して自分を一歩成長させたい思いもあって応募しました。
Dクラスの講義について
Dクラスでは、AI for Security(セキュリティ戦略のためのAI活用)、Security for AI(AI特有の脅威・対策)、AIの生命線となる学習データの品質確保、AI時代におけるセキュリティ戦略及びキャリア観など、幅広い内容を座学・グループワーク・ハンズオン形式で学びました。
D1とD6「実践LLMアプリケーション・セキュリティ」
この講義ではLLMやLLMを組み込んだシステムに対する攻撃と防御をハンズオンで実施してLLM特有のセキュリティを学びました。
最初に生成AIの歴史やLLMアプリケーションに対するメジャーな攻撃を学びました。そのあとハンズオンを行いSQLインジェクションやプロンプトインジェクションの攻撃を実際に学びました。ハンズオンを通して分かったことは、インジェクション攻撃を行うためには生成AIへ上手く伝えるようにしないといけないことを学びました。また、インジェクション攻撃対策を行うために既存のセキュリティ対策と組み合わせた多層防御の観点で防御戦略を考えることが重要だということを学びました。
D6の講義では学んだことを活かしてインジェクション攻撃を使ったアタック&ディフェンスコンテストを行いました。このコンテストから学んだことは、相手から自分の情報を守ることと相手の情報を入手するためにはどのように攻撃すれば良いか、自分の情報を守るためにどのような攻撃の対策をすれば良いかなど学ぶことができました。
D2 「クラウドソーシングによる学習データ作成入門」
この講義ではクラウドソーシングについて学びました。
この授業で学んだことはAIに学習データを覚えさせるためにタスク設計やタスク割り当てなどを上手く行わなければならないことを知りました。タスク設計を行うにしても簡単に追加してしまうとデータ収集できなくなる恐れがあることやタスク割り当てでは、能力によってワーカを決めないといけないことも重要であることが分かりました。また、倫理問題もあり報酬(タスクに対する報酬が最低賃金を下回らないようにする)、データと結果(差別的、性的、暴力的なものはないか)、プラットフォーム固有の問題(報酬が支払われない場合に条件を明記しておく)があることも知りました。
D3「AI時代の大規模データ活用とセキュリティ戦略」
この講義ではセキュリティ監視におけるデータの管理の大切さを学びました。データ管理を行わないと何かしらの目的を達成することができなくなることや後で振り返りするのに必要なものだということが分かりました。また、セキュリティ監視に必要なデータを取得する難しさも知ることができました。APIから取得することができない、分析に不要な情報や扱うのに危険な個人情報がある、データを利用しにくい問題がある、フォーマットがバラバラであることなどの問題があることを知ることができました。
ハンズオンではDuckDBを使ってデータを使ったり管理したりしました。触ってみて上手くコマンドが実行できなかった時もあったけど、チューターや講師の方が優しく教えて頂いたおかげでコマンドを実行することができました。また、授業の後日にApache IcebergとDuckDBに関する書籍が発売されると聞いたので、今度買ってみてApache IcebergとDuckDBについて学んでいきたいと思いました。
D4「物理AIセキュリティ」
この講義ではAdversarial Example(敵対的サンプル)について学びました。画像や被写体にノイズを入れることでAIが誤判定を引き起こすことができるが、入れすぎると人間の目で分かってしまうので攻撃者も考えないといけないことを知ることができました。また、AIによる出力を盲目的に信じ切らずにあくまで人間のサポートツールとして使用するのが重要であることも学びました。
ハンズオンでは実際にAdversarial Example(敵対的サンプル)を行いました。実際にAIが画像で誤判定を起こすのにノイズをかけたのですが、上手く調整しないと人間の目で分かってしまうので、細かく調整しないといけないことを学ぶことができました。
この授業ではDクラスの受講生と楽しくやることができました。またGCIやG検定などの話もあり、自分はやったことがないのでやってみようかなと思いました。
D5「AIエージェントで作るセキュリティ支援ツール」
この講義では、LLMを活用してセキュリティ業務を自動化するAIエージェントの開発をハンズオン形式で学びました。話を聞いている中でHuman-in-the-Loopの仕組みを取り入れ、人間とAIを上手く扱っていくことが重要であること、自動化のゴールは「人間を排除すること」ではなく、「人間が本来やるべき高度な判断に集中できる環境をつくる」こと、「何をAIに任せ、何を人間に担うか」を設計できる人材が重要であること、AIが自律的に動くのではなく、人間がチェックポイントとして関与すること、特に重要な意思決定やリスクが伴う処理では必須であることを学びました。
授業の最後にはグループワークで1つの問題を決めて、その問題をどのようにAIを使って解決するかのという問題をやりました。自分はこの問題のテーマをIT業界だけで考えてしまってせいで上手く答えを見つけることができませんでした。しかし、できていなくても講師の方が優しく教えてくれました。講師が「一つのことに注目するのではなく、広い視野で見ることが大切だよ」と教えてくれました。最初は自分の視野の狭さに気づいて落ち込んでしまったけど、気づけたおかげでこれから広く視野を持っていきたいと思いました。
この講義は自分を一歩成長させてくれました。
その他
専門講義や共通講義以外にも、ラジオ体操やBoF(類は友を呼ぶ座談会)、LT大会、企業イベント・懇親会などがありました。今回はラジオ体操やBoF、企業イベント・交流会について軽く話します。
ラジオ体操
ラジオ体操は12~15日の4日間の毎朝6:45に行われました。自分は4日間参加したことで眠気から目覚めることができました。また、4日間参加したことで景品ももらうことができました。(皆勤賞26名のうちの一人になれました。)
BoF(類は友を呼ぶ座談会)
BoFは受講生やチューターがテーマを決めて、そのテーマに興味がある人たちで話し合いをしました。自分は「セキュキャン応募課題の解答を語るの会」と「面白かった・学びになったCTF問題を共有しよう」というテーマに参加しました。
「セキュキャン応募課題の解答を語るの会」では、受講生やチューターが書いた課題内容やどのように課題を解いていったのかについて知ることができました。また、このテーマをきっかけに自分のQiitaのアカウントを作って応募課題さらしをしました。自分が書いた課題は以下の記事から見ることができます。
「面白かった・学びになったCTF問題を共有しよう」ではさまざまなCTFの問題を見て、面白そうだなと思いました。また、CTFに参加していきたいと思うようになりました。
企業イベントと交流会
企業イベントではセキュリティキャンプの協賛企業の話や協賛企業に就職しているセキュリティキャンプ修了生の話を聞くことができました。このイベントを通じて、企業を知ることや人脈を築くことができました。また、自分もセキュリティキャンプの協賛企業に就職したいなと思いました。
交流会では企業の方や受講生の皆さんと食事をしながら雑談することができました。自分のセキュリティキャンプに参加した理由や学んだこと、これから頑張りたいことなど話をたくさんしました。このときの時間はとても楽しかった時間でした。また、時間が過ぎてもうすぐでセキュリティキャンプも終わるのかと寂しい気持ちにもなりました。
参加した感想
6日間を通して最初は不安な気持ちが大きかったのですが、最終日には不安な気持ちよりも楽しかったことや勉強になったこと、受講生やチューター、講師たちに負けないよう頑張っていこうという気持ちが強くなりました。学んだことでは技術だけでなく法律や倫理、AIとセキュリティの関係、視野を広げる大切さ、エンジニアとしてのキャリアなど学ぶことが多くありました。
セキュリティキャンプは修了がゴールじゃなくて新しい自分のスタートの一歩だと分かりました。これからは学んだ知識を生活に活かしていき、一歩一歩踏み出していきたいです。また、自分は今後、セキュリティやAIのイベント、CTF、勉強会などにも参加していきたいです。
最後に
セキュリティキャンプは今書いてあることだけでなく、多くのことを経験することができます。技術だけでなく、全国から集まる仲間や企業の方との出会い、交流など貴重な経験を得ることができます。
是非挑戦してみてください!
そして、セキュリティキャンプに関わった皆様、本当にありがとうございました!