「SecHack」は、SecurityとHackという二つの単語を組み合わせた造語です。一年間活動をともにしながら、参加者の皆さんがそれぞれ好きなものや関心のあるもの、それも、セキュリティに関するものを作ってみようというプログラムになります。

具体的には25歳以下の方を対象に40人を選抜し、一年を通してもの作りを進めます。単にアイデアを形にするだけでなく、それを「見せる」ことも特徴です。二ヶ月に一回の割合で定期的に「集合イベント」を行い、専門家であるトレーナーたちやSecHack365修了生であるアシスタント、あるいは同じトレーニーから「どこがいいか」「何が足りないか」といったレビューを受け、修正や改良を繰り返しながらよりよいものを作っていきます。

ハッカソンは元々アメリカで始まったムーブメントで、プログラムなどを作っていく「Hack」と、長距離を走る「Marathon」を組み合わせたキーワードです。技術が好きでたまらない人たちが集まって集中的に作業して何かを生み出し、さらにその成果を互いに見せ合ってフィードバックをもらいながらよりよいものを作っていくイベントのことをハッカソンと呼んでいます。

ただ、たいていのハッカソンの実施期間は1日か、長くても数日です。SecHack365はそれを一年かけて行うという点で、他に例を見ない取り組みだと思います。あえて言えば「学校」に近いかもしれませんが、年齢もバックグラウンドもばらばらで、社会人でも参加できるという意味でユニークな場ではないでしょうか。

私はセキュリティ人材の発掘・育成プログラムである「セキュリティ・キャンプ」にも携わっているのですが、15年ほど前からこのプログラムの中でも、もの作りに取り組むコースを実施してきました。しかし、4泊5日、事前学習を含めても数ヶ月という限られた期間では足りないなというのが実感で、思い切って一年かけて取り組んでみようと考えたのが最初のきっかけです。

サイバーセキュリティの問題は年々深刻になっています。ITが重要インフラや我々の生活を支える力になっているからこそ、セキュリティは非常に重要です。何か事故や侵害が起きてから対応するだけではなく、我々を支えるIT技術が生まれる部分にSecHack365の修了生が入っていくことで、足下を支える部分から安全が実現できていくのではないかと考えています。

「セキュリティ人材不足」という課題は、もう何十年も言われ続けてきました。何万人、何十万人足りないと叫ばれてきたにもかかわらず、むしろ需要が増え、不足感はいっそう高まるほどです。

どうすればこの課題を解決できるのか。先生が頑張って生徒を一人一人育てていったとしても、何万人、何十万人という規模には追いつきません。ならば、一人の能力にレバレッジをかけて十人分、百人分の働きができるような仕組みやシステムを作り、広めていける人を増やせば、人材不足という課題を解決できるパワーになるんじゃないかと考えたわけです。

たとえばいま、パスワードの運用で困っている人はたくさんいます。そこに新しい認証技術を一つ生み出すことができれば、社会のネガティブな部分を解消し、大きな効果をもたらすことができるでしょう。ですからSecHack365では技術を作るだけでなく、作ったものを広めていきたいと考えています。

加えて、いまITやDXを支えている技術の大半は、海外で作られたものです。中身がわからない状況ですと、何か脆弱性や欠陥があっても直すことができない恐れがあります。私たちの足下がITでできあがっている時代である以上、その足下の技術も自分たちで作れなければ、一定の品質やセキュリティは担保できないでしょう。

ですのでSecHack365には、国産のセキュリティ技術を生み出せるようなエンジニアはもちろん、それを支えるOSやコンパイラといった基礎的技術をしっかり押さえられるような力を持つ人材を育成していくことも意図の一つに含まれています。

私は、大学の研究室の教授からSecHack365を教えていただき、参加しました。

私は当時認証方式に関する研究をしていたのですが、近いテーマの学生が他におらず、「このままでは意見をもらう機会がなく、研究が行き詰まってしまうのではないか」という懸念がありました。SecHack365ではトレーナーやアシスタント、トレーニーとたくさん会話し、多くのブラッシュアップの機会が得られると聞き、研究室に閉じこもっていては得られない情報や意見を得て研究をよりよいものにしていくために参加しました。

自分は中三の時にセキュリティ・キャンプ全国大会に参加し、そこでRSA暗号方式に対する攻撃や防御を学んでセキュリティに興味を持つようになりました。その講師陣やチューターがSecHack365プログラムにも関わっていることを聞き、一年をかけてものづくりをする中で、全国トップクラスの学生と共創関係を作っていけることに魅力を感じました。実際、たくさんの刺激を受けましたし、有名なセキュリティ研究者やトレーナーからフィードバックをいただいて、自分の研究をよりよいものにできたと思っています。

参加に当たって、ハードルは感じませんでしたか？

当時は興味のあることに手当たり次第チャレンジしていたので、特にハードルは感じませんでした。SecHack365の中で教えられる言葉の一つに、いろいろなことに挑戦し、いろいろな人と出会う中から将来の自分によりよい影響が生じるという「計画的偶発性理論」というものがあります。僕は昔からそうしたマインドを持っていたタイプだったのだと思います。

私は文字列ではなく、人の「おもかげ」を使った画像を選択することで認証ができる「おもかげパスワード」という認証方式を研究しました。

実際やってみると、うまくいかないこともたくさんありました。おもかげといっても、目元におもかげを感じる人もいれば、口元におもかげを感じる人もいます。思ったような評価が出ない時期もあり、いかに皆さんが使えるような形にしていくかという産みの苦しみを味わいました。

ですが、研究を進める中で多様な視点からフィードバックをいただけたことは、非常に貴重でありがたい経験でした。39名のトレーニーはもちろんのこと、ほぼすべての関係者の方々からコメントをいただき、その都度研究をブラッシュアップし続けることができました。北條孝佳先生からは法律の観点からアドバイスをいただけましたし、大手家電メーカーの方にもレビューの機会をいただきました。この研究を社会実装したいという思いがあったため、企業に所属する方に真剣に見てもらうことができ、当時学生だった自分にとって本当に良い経験になりました。

［村上さんの作品］盗まれにくく、忘れにくい　面影の選択による認証手法「おもかげパスワード」

SecHack365という場を「使い切って」くれた好例ですね。

自分は最初、コンパイラやOSの自作に取り組んでいました。CPUもコンパイラもOSも全部自分で作って動かしたいという欲求を持っている人って、けっこういると思うんです（笑）。そういう人が集まる坂井ゼミに所属して開発に取り組んでいたのですが、学業や他のイベントと両立させながら作っていくのは難しいと感じ、もう一つ興味を持っていた自然言語処理に関連する研究にシフトチェンジしました。

［竹内さんの作品］ERUSTA: 有用な技術記事を推薦する拡張機能

SecHack365では途中でテーマを変えることも珍しくないんですよね。一年かけて考え、議論していくうちにアラが見えてきて、ちょっと違うことをやってみようと考え、当初とは全然違うものが出てくることはよくあります。テーマというと重くとらえられがちですが、最初の考えにこだわる必要はなくて、面白いと思うアイデアがあればどんどん「浮気」していくのもありですよね。ふわっとしたアイデアしかない、というのでも全然大丈夫です。

今はシステムインテグレーターの研究開発本部に勤務しながら、会社の20％ルールを生かして引き続きおもかげパスワードの研究に取り組んでいます。

SecHack365では、自らものづくりに取り組み、それを多くの人に見せて意見をもらうという貴重な経験を積みました。この経験は、既存技術や自社製品を組み合わせて新しい価値を生み出す、現在の仕事にも生きています。自身のチームに限らず、他部署やお客さまなど、さまざまな立場・視点を持つ方々から、率直なフィードバックをいただきながら、皆でより良いものを作り上げていく、そうした姿勢にSecHack365で培った経験が活きていると感じています。

日本人って、ウォーターフォール的にしっかり仕様を決め、その通りにきちんと作っていくという作り方をしがちですが、SecHack365では二ヶ月ごとに成果を見せる、いわゆるアジャイル方式における仮説検証を繰り返すことで、そうした考え方を意図的に壊そうとしています。トレーニーには、「何を見せたいのか」だけはしっかり意識しながらも、「開き直れ」と伝えています。このサイクルを繰り返して慣れてくると、逆に「見せない方が怖い」という感覚を持ってもらうことができますね。

まさに今はその感覚です。それに、さまざまな方の観点を取り入れることで、自分では思いつかなかったアイデアが生まれる面白さも経験できたと思います。

自分も年に6回ある集合イベントに向け、締め切りまでにアウトプットを出し、レビューをもらって改善するというPDCAサイクルを回しながら、最初のぼんやりとしたアイデアをブラッシュアップし、よりよいものを作っていく経験ができたことが、一番大きかったと思います。何かをやるときにはフィードバックをもらって改善するという癖も付きました。

また、純粋にいろいろなレイヤの技術に興味を持ち、楽しめる「ギーク」な仲間ができたのも楽しかったですね。いま自分は大学に入学したばかりで本格的な研究はこれからなのですが、学業の傍ら、今でも実験や開発を続けています。

受験でしばらく参加できない時期もありましたが、SecHack365の修了生の同期やアシスタントの方々と一緒にチームを作ってCTFに参加することもありますし、SecHack365修了生が運営する「TsukuCTF」の運営にも参加していました。さらに、日本最大級のCTFであるSECCONのイベント「SECCON電脳会議」で暗号に関するハンズオンの講師を務めたり、日本で最も参加人数の多いCTF「SECCON Beginners」の運営やライターもしています。

こんな風にSecHack365で知り合った人たちが、年度などの壁を越えて仲良くなり、次のステップにチャレンジしてくれるのもうれしいですね。とても健全なサイクルが回り始めていると思います。

応募するという経験だけからもいろいろなことが学べますから、倍率に臆せず、まず応募してみることが大事だと思っています。

SecHack365に参加することで、さまざまな分野の方々と交流し、生涯にわたる仲間と出会える貴重な機会を得られると思います。やりたいことがある方は、ぜひ自信を持って応募してほしいと思います。

セキュリティに興味を持っている人はもちろん、セキュリティに実は興味がない人でも、「何かを作ってみたい、生み出してみたい」という人は大歓迎です。ぜひチャレンジしてほしいと思います。