SecHack365 2018 最終章 成果発表会 2018 レポート

SecHack365 2018 最終章 成果発表会2019.4.1

こんにちは、NICT鎌田です。3月8日(金)、2018年度のSecHack365トレーニーたちによる成果発表会が、秋葉原のアキバ・スクエアで行われました。
長かったようで短かった1年間でした。ドキドキしながら応募結果を待った4月。5月の集合回から作りたいものを形にして、それを人に見せて作り直すことを繰り返した1年間。トレーナーや仲間からたくさんフィードバックをもらうことで形にした作品作り。各集合回やその過程での様々な思い出を胸に、この日、皆が東京・秋葉原に集まりました。
今回の成果発表会はこの1年間の集大成を世間にお披露目するという、とても重要な最終イベントです。トレーナーや仲間から受け取ったものをここで最後の形にするのです。
トレーニー達それぞれの発表内容や、前日の練習組や当日の雰囲気をレポートしたいと思います。

SecHack365-2018成果発表会_01

前日には、発表練習がありました

優秀に選ばれた6つのプロジェクトは、ステージ発表のために前日に練習を行いました。彼、彼女らに残された時間はほんのわずか。ギリギリまで改善点がないか、積極的にアドバイスを貰いに行き、トレーナーからコメントをもらうというサイクルで、何度も練習をする姿がありました。観客のすべてがITに詳しい訳ではありません。どこまで丁寧に説明すべきか、制作した機能の点数よりも努力したところや工夫にフォーカスするのか、改善するためにどんなプロセスを経たか、聞き手はどこまで理解していると位置づけるか、そしてどの順で説明するか、最後までディスカッションをしていました。

SecHack365-2018成果発表会_02

SecHack365事業で求められるセキュリティイノベーター

発表会の当日はお昼13時からスタートし、冒頭にはNICTナショナルサイバートレーニングセンターの衛藤室長より、SecHack365が始まったいきさつや、セキュリティエンジニアが不足している状況、SecHack365で求められている人材像やその育成の内容、選考から人数構成、年間プログラムなどの事業概要の説明がありました。
セキュリティ分野では、オペレーターとイノベーター、どちらも人手不足です。SecHack365で求められているU25のセキュリティイノベーターとは、セキュリティマインドを持ってモノづくりができる人材、さらにそのモノで世の中の問題を解決できるようになるところにあるのです。

SecHack365-2018成果発表会_03

ポスター展示には人がたくさん

関係者しか入場できなかった昨年とは違い、今年は一般の方々も参加できるようになりました。
ポスターブースではあちこちに人だかりが。来場者からの質問にうれしそうに回答したり、デモをするトレーニーの姿がたくさん見られました。

SecHack365-2018成果発表会_04 SecHack365-2018成果発表会_05 SecHack365-2018成果発表会_06

商業化コンテンツを目指した成果物

成果物には様々な「モノ」があります。ソフトウェアだけではなく、有形物として消費者の手のひらに届ける「商業化コンテンツ」を目指したトレーニー達が居ます。
関係者から資金を募って予算を作り、自分で印刷会社を探し、決めた仕様で発注し、発表当日までに納品させ、遊びながらセキュリティを学べるトランプの「形」にした人や、トレーナーと原稿を出版社へ持ち込み、なんと立派な「書籍」の形で発表した人も。
森幹太さんが執筆した「つくりながら学ぶ!Pythonセキュリティプログラミング」という書籍は、2月下旬に発売されすでに市場で人気となり、増刷が決まったそうです。学生が技術書を一般商流で出すこと自体がとても珍しいことですし、出版不況にある中で増刷ということも稀なケースだと思います。
コースで担当した坂井さんや監修を手伝ったトレーナーは大喜びです。手伝ってないトレーナーも大喜びです(笑)。

SecHack365-2018成果発表会_07
(左がマイナビから出版された書籍、右が森岡優太さんによるセキュリティ被害を減らすための啓発トランプ、「STLECK」)

あらためて増刷決定、おめでとうございます。この表紙のキャラクターは森さんが描いたとのこと、かわいいですよね。

優秀者によるプレゼン発表

それではいよいよ、優秀者の発表のご紹介に移りたいと思います。

トップバッター、宮口誠(みやぐちまこと)さん

宮口さんはQEMUというエミュレータをベースに、ソフトウェアの脆弱性を自動で防御するという機構を開発しました。タイトルは「QEMUによる自動バイナリ防御機構の開発」です。
脆弱性が壁となり先に進めない、プログラムを作った人に連絡ができないなどの対処が難しい、忙しくて時間の足りないソフトウェアエンジニアにとって、便利で助かるうれしい防御機構です。

SecHack365-2018成果発表会_08

2番目、藤田優貴(ふじたゆうき)さん

藤田さんはマイナンバーカードを活用して、日本のどこでもセキュアな認証ができるシステムを作りました。タイトルは「マイナンバーカードで描くCivicTechの未来~Webで使える認証機構を作ってみた~」です。
カードの仕様を徹底的に調査したりドライバを自ら書くなどして、最終的に、マイナンバーカードでインターネット越しにユーザー認証ができるシステムを作り上げました。また、こういったシステムを開発者が作れるように仕様の公開をしてほしいとの要望がありました。(エストニアでは仕様が公開されているなど、他国の状況を補足をしたうえで)藤田さんは、仕様がオープンになることとセキュアなシステムは両立すると主張し、むしろそこがオープンになると技術者のやれることがもっと増えて世の中が便利になるのではないかと考えています。カードの仕様が公開されたら、興味を持つ開発者集めてハッカソンをやりたいそうです。

SecHack365-2018成果発表会_09

3番目、ExGDBの宮川大星(みやがわたいせい)さん

宮川さんは、GDBというプログラム動作を解析するツールを、もっと使いやすくする機能群やコマンド群を制作しました。タイトルは「ExGDB -GDBを用いた動的なバイナリ解析の効率化-」です。デモを軸に披露した発表でした。宮川さんはもともとCTF好きであり、それが高じてこのようなものを作るに至りました。韓国で開催されたセキュリティイベントに赴き、実際そこに居たGDBのプラグインの開発者にも使ってもらって「これは使いやすい!」とコメントを貰ったのだとか。

SecHack365-2018成果発表会_10

4番目、安浪涼花(やすなみすずか)さん、臼崎翔太郎(うすざきしょうたろう)さん、片山源太郎(かたやまげんたろう)さん、平田秀平(ひらたしゅうへい)さんらによるチーム

このチームのタイトルは「PEACE プライバシーに配慮したTwitterクライアント~安心・安全なSNSを目指して~」です。SNSの普及とともにITリテラシーのない人がどんどん犯罪に巻き込まれる社会になったことを憂いていた思索駆動コースの安浪さん。他コースから仲間を集めてシステムを作りました。
この「PEACE」というアプリは、ITリテラシーのない人の投稿をサポートします。Twitterとアプリを連携させると、このアプリは投稿時に文言解析や画像認識をして、自動的に投稿内容を修正・加工してくれます。さらに、アプリ利用者は、その自動的に行われた修正点をひとつずつ学んでいくことで、SNSリテラシー力をも向上させていくことができるという、一石二鳥な内容でした。
継続し利用してもらえるように、かわいいイラストを使うなどの工夫もされていました。利用者を一般人に想定しているものなので、多くの関心が集まっています。

SecHack365-2018成果発表会_11

5番目、朱義文(しゅよしふみ)さん

朱さんは、現在高校2年生。まだ高校生であるにも関わらず、ハイパーバイザを一人で作りました。タイトルは「組込み向けハイパーバイザを用いたCPU命令擬似拡張によるセキュリティ機能の開発」です。
ハイパーバイザというのは、カーネルの下にあり、このハイパーバイザの上に仮想マシンを置くことができます。ハイパーバイザについて詳しくはWikiをご参照ください。
繰り返しになりますが、朱さんは高校生です。開発の方針は完全独自実装、フルスクラッチ開発。オープンかつ軽量(1万行以内を条件)で、セキュリティ機能も追加しました。ROPという攻撃手法から守るセキュリティ機能をアセンブリで実装して高速化を図り、その技術を彼の作った組み込みハイパーバイザ上で実現しました。
底知れぬ技術力とポテンシャルが伺えます。

SecHack365-2018成果発表会_12

最後に、山本悠介(やまもとゆうすけ)さん

山本さんは、宇宙を目指す初心者向けのCanSatの開発キットをパッケージ化しました。タイトルは「CanSat(カンサット)をはじめよう」です。
CanSatというのは、「缶」と「サテライト(衛星)」を掛け合わせた造語です。山形回のときにはCanSatの本場、米国の競技にも参加されている服部聖彦さんにご講演いただき、その後も支援してもらいました。この模擬衛星ロケットを誰でも手軽に試せるように、できるだけ安価な部品をリスト化し、誰でも作れるようにマニュアルをGitHubに載せました。彼自身が制作したCanSatはコストがわずか数千円。セキュアな設計技術をも学びながら、宇宙技術の体験教育ができること。そして安価であることで誰でも製作可能にしました。CanSat 初学者の間口を限りなく広くしたところがポイントです。

SecHack365-2018成果発表会_13

スペシャルゲスト、佐藤ゆかり総務副大臣

総務省から佐藤総務副大臣にご来場いただきました。ポスターを見て回り、熱心にトレーニーからも話を聞かれ、ご挨拶もいただきました。総務省のホームページにも当日のご様子が掲載されています。佐藤総務副大臣、温かいお言葉、ありがとうございました。

SecHack365-2018成果発表会_14

個性豊かなトレーナー達によるパネルディスカッション

パネルディスカッションには、横山さんをモデレーターとし、パネリストに開発駆動コースの川合さん坂井さん、思索駆動コースの柏崎さん、表現駆動コースの安田さんが登壇しました。
2018年度のSecHack365は〇〇駆動コースと、トレーナーが分かれたことで、各コースに特色が出ていました。このパネルディスカッションの会話の様子で、その色がすこし伺えるかと思います。
お話しした一部をご紹介いたします。

SecHack365-2018成果発表会_15
横山さん 「トレーニー達に求めていたことは?」
川合さん 「進捗と思われていたかもしれませんが、実は楽しんでいたかどうかなんです」
柏崎さん 「成功体験を提供できないかもと前置きして、『友達』ができることを約束しました。なぜなら思索は対話せざるをえないですから」
安田さん 「表現は自主性を重んじていましたね」
坂井さん 「わたしはこれが作品だと言えば作品になると思っています」
横山さん 「次年度はどんな人に来てもらいたいですか?」
柏崎さん 「去年も今年も泣いた人がいましたね。理由としては悔しさがあるからで、かまわないんです。かっこつけは開き直って泣かないんです。かっこつける人はいらないな」
川合さん 「プログラミングが好きな人にきてもらいたいな」
坂井さん 「寝ても冷めてもご飯食べてるときでも物作りを考えてしまうような人に来てもらいたい」
安田さん 「物作りのプロセスを楽しんで回せる人に来てもらいたい。高い能力は求めてないけど、コツコツやることを前向きに楽しめる人に来てもらいたい。そして人に説明するのが苦でないこと」
横山さん 「トレーニーからの質問で『辛辣なコメントが少ない気がしたけど、どうして?』と質問がありました。どうでしょうか」
柏崎さん 「こっちを本気にさせてないだけだよね、それなりのモノを作ってきたら別」
安田さん 「先に進められなくなってしまうので、ぼくはタイミングや相手を見て判断している」
坂井さん 「モチベーションが最大の財産だと思ってるから、辛辣なことは思わない。『いいじゃん、もっとがんばんなよ』と。だから辛辣にはならない」

などなど。トレーナーのみなさんてほんと個性的で面白いですね。
トレーナーにとっての成果物は、365日後のトレーニーそのものなのかもしれませんね。

次年度の募集について

毎年4月初旬に募集を開始、約2週間で課題提出、4月中に選考を終えます。
SecHack365のトレーニー候補にはたくさん集まってもらいたいのです。
もしこれを読まれている方が25歳以下で応募要件に満たす方でしたら是非迷わずご応募ください。
また、これを読まれている方が学校の先生であったり、コンピューター好きのお子さんをお持ちの親御さんまたはご親戚の方でしたら、是非推薦してあげてください。
学生のみなさんには旅費や経費をNICTが補助しています。
社会人の方は年間で50万円程度の旅費負担で参加可能です。
もちろん選考に通る必要があるのですが・・・25歳までの時間はあっという間です。
このチャンスをお見逃しなく!

「SecHack365トレーナーから、愛のメッセージ!」
開発駆動コースを担当していた、川合です。 03/08(金)の成果発表会で、ついに2018年度のSecHack365が終わってしまいました。SecHack365では、誰にどのような指導をするかの裁量がトレーナーにかなり任されており、だからトレーナーはほぼ思い通りの指導ができます。その結果は沖縄回で白黒がはっきりして、あの時ああ言えばよかったのではないかとか、いやでも長期的に考えたらやっぱり自分のやり方はあれしかないよなとか、でも何か他にできたことはなかっただろうかとか、いろんな反省をしていたのですが、でもやっぱり成果発表会のときもどうしてもまた反省してしまいました。・・・それで結論が変わることはなかったのですが・・・。
さあ4月から2019年度が始まります!コースが増えてさらにいろんなやり方での開発が始まります。私も負けるつもりはありませんので、一番楽しそうで開発も進んだコースだといわれるようにがんばります。とても楽しみです!!
レポートの一覧へ

お問い合わせContact