SecHack365 : REPORT 2019

SecHack365 2019 第5章 愛媛回2019.12.12

01 Sonoda Report

NICT園田です。今回愛媛回のレポートは福岡と同じ2部構成です。コンテンツゼミの進捗やら評価軸のことなど前半(というか大半)担当しました。修了生や招待したゲストのことなど。後半に筆者バトンタッチかつ、新規コンテンツでトレーニーのインタビューがあります。1月には説明会の様子もここのWEB上でお伝えしようかと企んでいます。

早いものでもう12月。SecHack365のオフラインイベントも終盤にさしかかりました。5月神奈川では顔合わせからアイディア出し、テーマ決め。6月の北海道ではそれらを深めてその場の全員に向けてプレゼンテーションを行って、8月には全員の前で長めのプレゼンテーション。10月の宮城では動くものを見せるところまで到達させる、という流れになっていました。それを受けて愛媛回では、発表(ポスター、プレゼンテーション)+デモンストレーションをさらに充実させることになります。こうした大枠の流れは基本なのですが、SecHack365というプログラムは固定化したものではなく、各コース、各ゼミによって多様な、そして独自のスケジュール感で動くので、愛媛回でもまだ模索している場合もあります。発表などは横並びで行うため、他のトレーニーやチームの完成度から来る焦りはあるはずですが、それを押し隠して自分たちのやり方、スケジュールで進めて行くことになります。逆に言えば、トレーナーはそうした焦りをネガティブに作用させないように気をつけながらアドバイスしなければならず、それがSecHack365の難しさでもあり楽しさでもあると言えるでしょう。

01.展示会場

コンテンツゼミとは

2019年度も目指す成果(物)は多様で、それを象徴している一つが筆者である園田が担当するコンテンツゼミでしょう。当ゼミでは啓発に活用するゲームや、光って攻撃検知機能を持つLANケーブルなどのセキュリティを表現するブツなどの作成を目指しています。LANケーブルは動画がツイートされましたが、その後の機能拡張含めすでに出来上がっていますし、ゲームもすでに動かしてさまざまなフィードバックをもらうフェイズに入っています。
ただ作るだけではなく作ったものをどう世の中に広めて行くか、というところにもチャレンジしつつあって、作るモノのバリエーションを増やしたりする中、どのように進めて行くのかを議論し、検討することになるわけです。光るLANケーブルはすでにオープンソースカンファレンス(サイト内の「セキュリティ博物館プロジェクト [ネットワーク/組み込み/教育]」)等でデモンストレーションデビューを飾っていて、今後もそうした露出機会を探っていくことになるでしょう。なお、愛媛回でお披露目された紹介動画はこちらです。

  • 02.展示に集うトレーニー3
  • 03.園田さん考え中

さまざまな成長曲線

このように既にものが出来上がっているコース(ゼミ)もあれば、まだまだ作るものを模索する段階のコースもあります。冒頭に説明したSecHack365全体の流れは、繰り返しますが大枠というだけであって、進み方は各コースに完全に任されています。そういう中で各回の発表やポスター展示になるわけですが、コースの中でも進み方は千差万別ですし、ぶっちゃけ沖縄回の最終発表になるまでどんな風に仕上がるかわくわくどきどきです(笑)。
最初からテーマがバッチリ決まっていて、そこに向けて着々と進めていく開発駆動、学習駆動、研究駆動のようなコースもあれば、ふわっと関心事があってテーマは決まらないけど、グループでいろいろやれるならやってみたいという感じの表現駆動、もっと間接的に世の中の課題を題材として議論しまくりながら、自分自身をセンサーにして課題解決の提案もできるようになっていくという思索駆動というコースもあります。成長曲線が右肩上がりの直線的なグラフになる場合もあれば、2次曲線のように最後にどどどっと上がってくるグラフになる場合もあります。成長曲線の特徴もコースごとのケースバイケースであるわけです。どのくらい千差万別なのか認識していただくには現状を見てもらうほかないのですが、進行中のものを詳しくはお見せできないところが残念です。チラ見的に少しだけ触れますと、ハードウエアベースのハッカブルな教育用コンテンツとか、障害者のための新しい認証の仕組みとか、際限なく拡散するIoTに良い感じのセキュリティを付加することを意図した仕組みとか、期待感のあるテーマが目白押しです。2020年3月の成果発表会(東京)ではその全貌が明らかになりますので、お楽しみに。

04.展示に集うトレーニー2

コースの違い

そしてコース毎の違いと言えば、そもそも求める人材像というものがけっこう異なっています。応募書類の設問にもその人材像に近いのかどうかを測る設問を載せているので、自分がどのコースのものが書きやすいか、という視点で応募書類を見てもらうと人材像とのフィット率が高まるのではないでしょうか。今回来てくれたOBの小松くんはまさに、応募用紙をながめてみて自分が書けるかどうかで応募するコースを決めた、と言っていましたが、そのアプローチはとても適切だと思います。たくさんのご応募お待ちしております(宣伝)。
コースワークは愛媛回が最後で、沖縄回ではもう発表するだけです。全員の発表を全員で見て、それに加えてトレーナーは審査をしなければなりません。トレーナーにとっては休憩時間も惜しんで爆裂タイピングが必要になるハードなイベントが、青い海、白い砂浜というパラダイス風な土地で待ち受けているのです。

模索する評価軸

ちなみに審査となると、軸があまりにもふわっとしていると拠り所がなさ過ぎて比較がたいへんなので、SecHack365では今年度は技術、アイディア、表現という枠をはめて評価をしています。まぁこのレベルでもふわっとしているのですが(笑)、その枠の中で評価して無理矢理感や不足感が出たら改善していくというサイクルを回しています。ハッカソンに良くあるようにプレゼンテーションが上手かったら優勝、みたいにもしたくないですし、といって新規性とか技術のみを重視してしまうようなバランス感もちょっと違う。さまざまな人材像が混ざり合う中でどのように評価をしていくべきなのか、コースがだんだんと増えていったりしてさらに考慮すべき要素が増える予感に怯えつつも(笑)、評価者にとっても、評価される側にとってもわかりやすく納得感のある評価とは何か。そういうことを模索し続けています。

05.プレゼン大会1
  • 06.展示に集うトレーニー1
  • 07.エリオット

修了生LT 〜チーム開発は能動的にコミュニケーションを!〜

オフライン回では毎回修了生に来てもらって、経験談や現在の研究開発テーマなどについて話してもらっていますが、今回は2018年度の修了生である、安浪涼花さん、小松聖矢さん、井上勢大さんがゲストで来てくれました。
トップバッターの安浪さん(成果は「PEACE:プライバシーに配慮したtwitterクライアント」)は、グループ開発の醍醐味と難しさについて、実体験に基づいて話してくれました。今年度のSecHack365でもグループ開発プロジェクトがいくつかありますが、普段は離れた場所で暮らしていることもあって能動的にコミュニケーションしないと時間ばかりが過ぎてしまいます。安浪さんのプロジェクトも1ヶ月くらい無為に過ごしてしまったり、その結果として作っているものがそれぞれバラバラで連携できていないなどと厳しい評価を浴びて、目が覚めたとのことです。そして、追い込み時は毎週、喧喧囂囂(けんけんごうごう)議論して優秀賞を取りに行って見事獲得するまでになったとのこと。

小松さんの発表は安浪さんとは対極で、一人で研究開発していたときの気持ちのもちようとか繋げ方について触れてくれました。小松さんは愛媛回の直前、Cybertech Tokyo 2019というカンファレンスでもSecHack365での成果として「ダークネットにおける深層学習を用いたボットネット協調動作の解析」という内容で発表してくれましたが、このLTでもその苦労やSecHack365の感想などを話してくれました。
井上さんは「ツールチェインの連携によるセキュリティ機能の開発」について詳しく説明してくれました。井上さんは2018年度の途中に1ヶ月間カナダに留学していたり、空白の期間を持ちながらもかなり規模の大きな開発をやり遂げていますが、進め方のコツや追い込み方について触れてくれました。
2018年度修了生の成果物の紹介ポスターはこちらのリンクから見ることができます。

  • 08.安浪さん★修了生
  • 09.小島さん.★修了生
10.井上さん★修了生

北條先生による法律の専門家から見たサイバーセキュリティの先端研究

愛媛回から実行委員として御参加いただいた弁護士の北條先生(西村あさひ法律事務所)に講演していただきました。ご講演のタイトルは「サイバーセキュリティ研究の注意点」。
サイバーセキュリティは犯罪行為とも近い領域なので、知識不足から簡単に道を間違えてしまう可能性があります。攻撃をしてはいけない、というようなことは自明とも言えるのですが、掘り下げてみると何が攻撃に当たるのか、攻撃の研究はどういう形で行えば良いのか等々、専門家の知見に照らして議論していかなければならない課題が多数見えて来ます。SecHack365では当初より法律や技術の専門家にお願いしてご講演いただいたり、議論を重ねてきていますが、各方面でご活躍の北條先生にjoinしていただいたことはたいへん心強いところです。

老舗車メーカのセキュリティに対する想い

今回は愛媛松山での開催でしたが、ご近所ということで広島から、超有名企業マツダ株式会社の中でセキュリティをやっておられる山﨑雅史さんに講演していただきました。ご講演のタイトルは「クルマを取り巻くセキュリティ」。 マツダという会社の成り立ちや歴史から、ハイテク化、コネクテッド化が著しいクルマというものを取り巻く、個体を守るセキュリティやネットワークを守るセキュリティ、そして法整備など幅広い領域についてお話していただきましたが、個体を守るセキュリティというものに目がいきがちな若者にとってはとても勉強になったのではないでしょうか。それほど現在のクルマを取り巻くセキュリティは複雑であり広範囲であり、特にサプライチェーン問題は複雑怪奇と言っても過言では無いくらいです。社会全体としても解決すべき課題が山積みなのですが、そうした中で世界の先端を走る企業の中や外、そして業界でどういう取り組みが行われているのかをご紹介いただき、セキュリティというものの抗いがたい性質であるとも言える「すべてのものにセキュリティが必要」ということを改めて考えさせられました。 そして、QAの時間には多くの質問が出ていました。トレーナーに密かに居たマツダファンからお約束?、ロータリーエンジンの質問が出ていましたね(笑)。

  • 11.MAZDA概要
  • 12.MAZDA山崎さん

 

 

02 Kamata Report

こんにちはNICT鎌田です。後半は愛媛回の外部ゲストやトレーニーのインタビューをご紹介します。また、落語家による表現のアドバイスなどなど。今回は分量が多いのですが、最後までお付き合いください(笑)。

NISC参事官来訪

内閣サイバーセキュリティセンター(NISC) 内閣参事官の上田 光幸さんと、同じく参事官補佐の小林 信博さんが視察にいらっしゃいました。
未来のセキュリティイノベーターとなる若者たちが、どんな様子でものづくりに励んでいるか好奇心を持って見に来られたとのことで、とても心待ちにされていたご様子でした。
愛媛回はデモを動かす最終ブラッシュアップの回です。このタイミングで日本のサイバーセキュリティを守るNISCの方々に見ていただくことは、トレーニー達の励みになると思います。上田さん、小林さん、ご来場ありがとうございました。

13.上田参事官.小林参事補佐

落語家による表現のアドバイス

去年に続き今年も落語家の桂三幸さんにご来場いただき、落語の一席や新作ネタ、そして歌も披露していただきました。落語が終わった後に、進行役でSecHack365をまとめているNICTの横山さんからズバリな質問が飛びました。

横山さん「うけないときもあるの?」
三幸さん「うけないときもある。波があるのは普通で、その波が安定してくるのがプロ、若い子は上下が激しくて、波が高い位置で上がっていくのが名人。みんな発表の時は緊張するでしょ?負け方は自己ベストの時も有るしそうじゃない時もある。10対9で負けるときもあるじゃないですか。自分のペースで上がっていくのが大事じゃないかなと思うんだよね」
横山さん「売れる人ってどう違うの?」
三幸さん「自分で挑戦し続ける人かな。人間が光るかどうか。光ってる時期というのはずっとではなくて、“見てるだけでええな”と思える期間はだいたい短い。最初ググッと売れるのは勢いみたいなものが大きいけど、松本人志さんも言っていたけど1度売れる人はピカっと光るだけ。セカンドブレイカーになれるかどうかがポイント。これらのことから言えるのは、人生楽しむしかないちゅうこと。プロを目指すのが一番楽しいと思う。宇宙の歴史の中で100年なんてとても短いやないですか。だからちっちゃなことで幸せを感じて欲しい」
横山さん「緊張ってするんですか?」
三幸さん「緊張とかするだけ無駄だと思う。前よりちょっとでも良い、自己ベストを目指すと緊張しない。今が自己ベストやと言える人生を歩んで欲しい」

表現の光ったアドバイス、ありがとうございました。

  • 14.さんこうさん
  • 15.落語鑑賞

現役トレーニーの声!

齋藤 徳秀さん(@a_zara_n)インタビュー

鎌田「どうやってSecHack365を知りましたか?」
齋藤さん「昨年度修了生の miyagaw61(@miyagaw61/宮川大星) さんが学校の先輩で紹介してもらいました。また、同じく修了生の白倉大河さん、tokina(@_tokina23/手柴瑞基)さんのLTを見て、楽しそうなことをしているなと思って興味を持ちました。」
鎌田「セキュリティエンジニアに対する想いは。」
齋藤さん「セキュリティエンジニアには漠然とかっこいいなというのと、お金稼げそうという憧れがありました。黒いコンソール画面開く姿や、『BLOODY MONDAY(漫画)』のような脚色されたとはいえ、サイバー空間で活躍する人たちがかっこいいというのがありました。今はただ、コンピューターに対して熱意を持って何かをやる人がかっこいいなって思います。」
鎌田「今はなにを作っているんですか?」
齋藤さん「思い立ったらすぐに使えるWebアプリケーションセキュリティスキャンツールと題し、DASTと呼ばれる動的なセキュリティテストツールを開発者向けに作っています。」
鎌田「どうして作りたいと思ったのでしょうか。」
齋藤さん「作りたいと思った理由は2つあり、1つは自分自身でDASTを作って、既存のDASTに対する理解をしたかった。もう1つは今までのDASTの課題である開発者への浸透、つまりCIやもっとDAST操作の抽象化を目指したいと思い開発を始めました。」
鎌田「ふだんはどんなツールで情報収集していますか?」
齋藤さん「基本はGithubで気になる単語を検索すると「POC(Proof of Concept)」のようなものが落ちていたり、あとはTwitterの活用ですね。RSSを集約するためにDiscordサーバを立てて情報収集もしています。」
鎌田「ものすごい情報量だと思うのですが、それはタイトルだけ目を通すのでしょうか。英語もある?」
齋藤さん「そうですね英語もありますね。Twitterはある程度タグを用意するんです。“バグバウンティ”や“CTF”など。Discordもそうですが、できる限り自動化したいんです(笑)。RSSのほうはタイトルを見て危なそうなものだったら見るようにしています。」
鎌田「タイトルが危なそうなものとは。」
齋藤さん「そうですね、僕はセキュリティ関連のアルバイトをしているのでそこからの説明になりますが、脆弱性情報のトリアージをするという作業がありまして、情報収集に関しては量が必要となるんです。どの情報が正しくて新鮮かなどを見てますね。」
鎌田「将来の夢がありましたらお聞かせください。10年後、どうなっていたいですか?」
齋藤さん「ものづくりができるエンジニアになっていたいです。何か必要なときにサクッとコードを書いて自動化で対応するみたいなことができるといいな。この時代にはそういう人が求められているんじゃないですかね。」
16.斎藤さん
  • 17.斎藤さん
  • 18.斎藤さんとDiscords

 

「SecHack365トレーナーから、愛のメッセージ!」
SecHack365 研究駆動コースのトレーナーの衛藤です。
SecHack365 の一年間におけるモノづくりの進め方は、5 つのコースごとに大きく異なりますが、研究駆動コースでは、研究的なアウトプット(外部への論文発表等) を目指したモノづくりに取り組んでいます。
「一指導員」対「一学生」という構図が一般的な大学等の研究室とは違い、研究駆動コースではトレーニーのそれぞれのテーマについて、複数人のトレーナーがこぞって議論に参加し、みんなで知恵を出し合いながらモノづくりに取り組む形を取っています。
これは「指導」よりもトレーナーによる「協力」という表現が適切かも知れません。トレーニー達が自主的に研究開発に取り組むからこそ、このようなスタイルが成立するのだと思います。
SecHack365 の一年間というのは、研究成果を出すにはとても短いものですが、すでに今年も興味深くてユニークな研究がいくつも出てきています。短くも充実した一年間を過ごせる貴重な機会に、ぜひ挑戦してみてください!
レポートの一覧へ