SecHack365 Returns 2023Report Returns 2023

SecHack365 Returns 2023が、12月9日（土）に東京・日本橋のNICTイノベーションセンターで開催されました。「Returns」は、今年度のSecHack365とは別に、過去のSecHack365の修了生を対象に年1回開かれる、特別なイベントです。

SecHack365は2017年に始まっていますが、翌2018年度から「Returns」も毎年開催されており、今回で6回目の開催となります。今回を含めた直近3回のイベントは、2020年度まで行われていた形式（修了生の発表を審査し、奨励賞などを授与するといったもの）から大きく転換したもので、修了生が自らの成果や想いを自由に発表できる場となっています。

この変化は、修了生にもっと気軽に参加してほしいという想いが込められたものです。さらに今年からは、新たに招待制度を導入し、外部見学者を受け入れ、修了生の皆さんと交流してもらう試みも始まりました。これは、セキュリティに関する人材が、実際にどのような現場で、どのような活躍をしているのかを、修了生の皆さんに知ってもらい、そうした「活躍場所」の選択肢を示す意味もあります。昨今、人手不足で人材発掘の重要度が増していることから、企業が社外にも目を向け、幅広い人材に活躍の場を与える人材エコシステム注1が注目されはじめています。企業と修了生という新たなつながりを作ることで、両者にとって有意義なイベントを目指します。

また、「Returns」は、NICTが前面に立って御膳立てするのではなく、修了生自身が“イベントづくり”を行っている点にも特色があります。今年度の「Returns」では、藤田 優貴さん（2018年度修了生 思索駆動コース）、池田 雄翔さん（2020年度修了生 学習駆動コース）、加納 源基さん（2022年度修了生 思索駆動コース）、遠藤 千大さん（2022年度修了生 思索駆動コース）の4人の修了生が企画・運営しています。より自由に発表して欲しいという想いから、会場のさまざまな場所に修了生が集まり、修了後の活動について発表したり情報を共有したりすることができる場を設けたのは、今年特に新たに導入された工夫です。

修了生78人、招待見学者22名が来場した今回のイベント。修了生となった元トレーニーたちはいま何を考え、どんなことをやっているのでしょうか？　レポートしていきます。

イベント開始時間の10時になると、会場のあちこちで各プログラムが始まります。会場入り口で来場者を最初に迎えるのは、アルミホイルを使って自由に帽子を作る、「Tin Foil Hat Contest」というブースです。

このTin Foil Hat Contestとは、DEFCONでもお祭り気分でやっていたものです。来場者の皆さんもノリノリで、立派な既存の帽子をかたどったものから、ケモミミ、カチューシャ系、おどろおどろしい造形のものまで、自分で作った個性的なティンホイル・ハットを被ってイベントに参加する人が多数現れました。

会場には、壁面やパーティション、机を使った展示ブースと、ホワイトボードやスクリーンを設置した4つの大きな発表ブースが設けられています。他にもトレーニーへのビデオメッセージを撮影するブースがありました。ビデオメッセージは、12月の終わりにオンラインで行われるトレーニー同士の交流会で流されるとのことです。

発表ブースのひとつでは、自分が伝えたいことをそれぞれ20分前後で発表する「Presentation Village」が開催されました。ここではそのうち3人の発表を簡単に紹介します。

志智 友海さん（2020年度修了生 思索駆動コース）は、「修了後の進捗とメディアアート見聞録」というテーマで発表を行いましたが、その中では、修了後の自身の葛藤に言及しました。

彼女は現在、インフラ関連の仕事に従事しながらも、アルゴリズムや数学的手法等から生まれる偶然性を利用したデジタルアート、いわゆるジェネラティブアートをはじめとしたメディアアートに関する情報収集などに取り組んでいます。

ところがジェネラティブアートは、インフラとは異なる分野であり、業務との繋がりが見えづらく続けることに悩みを抱えているといいます。このように、修了生全員が情報セキュリティ系の仕事に就くとは限りません。自身の興味と業務への関心に、どうやって折り合いをつけていけばいいのか……。志智さんの悩みは、他の修了生たちにも響いたようです。

川原 弘暉さん（2022年度修了生 学習駆動コース）は、「オープンデータについて」というテーマで発表を行いました。誰もが利用可能な、いわば“公共資産”であるオープンデータは、現在ますます普及が進みつつあり、特に国や地方公共団体による公開も盛んになっています。今回は港区のオープンデータを使って、どんなサービスを提供できるか――単なる発表ではなく、ワークショップ形式で即席で作ったグループごとに考えました。

あるグループでは、「区立・私立保育園空き状況」と「港区立小・中学校通学区域情報」を組み合わせて、待機児童問題の解決＋その後の進路をあらかじめ決めることができるサービスを提案しました。別のグループでは、「港区バリアフリー観光ルート」を活用して、抱えている障害に応じて目的地まで案内してくれるサービスを考案しました。

このように、今回の発表／ワークショップは、「既存のオープンデータを使うことで、どのようなサービスが提供できるか」を考えるものでしたが、その一方では、具体的なサービスを構築するためには、必要なデータがまだ公開されていないという課題を見つけることができました。オープンデータにはまだまだ発展の余地があり、今後の可能性を感じた修了生も多かったことでしょう。

中屋 飛人さん（2022年度修了生 開発駆動コース）は、「Returnsから始める技術書執筆」というテーマで、難しいと思われがちな技術書の執筆をアピールしました。彼は実際に仲間とともに技術書を制作して技書博などにも参加し、500円で販売しているといいます。

技術書執筆のハードルを高く感じる要因の一つ目は、「書くネタが見当たらない」ことかもしれません。しかし、「これを書こう」というネタを思いついた人も、それに続けて、「果たして自身が伝える情報が書籍にする価値があるのか」という疑念に捉われ、二の足を踏んでしまうことがしばしばあります。中屋さんはこのような不安は、SecHack365で行った自分たちの研究を執筆テーマにすれば克服できると考えています。SecHack365で学び、積み上げてきた研究には確実に他人に伝えるだけの価値があるためで、それを必要とする人に技術書という形で届ければ良いのだと励まします。

技術書執筆のメリットは、形として残ることや広範囲に情報を発信できることだけでなく、知識の整理や新しい学びの機会を得ること、さらに成果物を完成させた達成感を得られることが挙げられます。また、他者からフィードバックをもらうことで、自分のスキルや知識の向上にも繋がります。そして、執筆した技術書は名刺代わりに使うこともできます。

発表では、自身の技術書執筆の背景についても詳細に語りました。15人で1冊の技術書を執筆したという情報も、必ずしも「一人で大量の原稿を書かなければいけない」わけではないことを示し、技術書執筆の心理的なハードルを下げたのではないでしょうか。最後に中屋さんは、一緒に技術書を執筆しようと全員に呼びかけました。

今回のイベントで目立ったのは、生成AIに関する発表です。近年急速に発達する生成AIは、日常的な会話に出てくるほど、私たちの生活に浸透しました。今後私たちは、AIにどのように関わっていくべきなのでしょうか。

宮川 慎也さん（2018年度修了生 思索駆動コース）は、「なんでもアウトプット共有会と地域や子ども達へのセキュリティ啓蒙を考える会」と「生成AI利活用に向けた理解・促進事例のための情報交流会」という発表を参加者との会話を交えながら行いました。

コミュニティ学習・運営を通して、多くの世代や若者達にセキュリティを啓蒙しているという宮川さん。実際、技術コミュニティ向けなどに、持続的にセキュリティを学ぶ機会を作っているといいます。

こうした活動のなかで、生成AIについて子どもたちに教える機会もあったといいます。そんな場合、「生成AIとは何か」を、言葉を尽くして説明するよりも、まずはChatGPTのロゴを見せると一瞬で理解してくれたといいます。まさに「習うより慣れよ」の姿勢が生成AIを理解するのに手っ取り早いことがわかります。

彼の活動はコミュニティの運営に留まりません。運営を通して得られたデータを論文という形でまとめるなど、学問の領域からもアプローチしているといいます。発表では、論文に関する話題が参加者と交わされ、社会人や大学院生といった幅広い年齢層と立場の修了生が集まる今回のイベントならではの醍醐味を味わうことができました。

小島 伊織さん（2019年度修了生 学習駆動コース）・長野 陸さん（2019年度修了生 学習駆動コース）は、「AGI（Artificial General Intelligence）と人類はどのように共存共栄を進めるべきか」というテーマで発表を行いました。

よく知られるAIは、人の指示や設計のもとで、タスクを実行するというものですが、さらに進化したAGI（汎用人工知能）は、人間が実現可能なあらゆる知的作業を理解・学習・実行することができます。つまり、より人間に近づいた存在になるといいます。

小島さんが生成AIの代表的な存在であるChatGPTにAIの未来について聞いてみると、ChatGPTは、「協力」というキーワードを返してきたといいます。協力というと対等な関係を示しますが、果たしてAIと人間は対等な関係になるのでしょうか。

話題はOpenAIが開発したChatGPTと発表されたばかりのGoogle Geminiにも及びました。OpenAIは既存の情報をもとに回答するのに対して、GeminiはGoogleが収集した大量のデータを用いることで、汎用性と専門性を兼ね備えたAIになると期待されています。しかし、ここでも個人情報をどこまで預けることができるのか、このまま進化させて良いのかという心配の声があがりました。そうして出てきた結論は、AIに頼り切ってはいけないというもの。しばしば言われることではありますが、AIのサポートは今後ますます有用性を増していくのは確かであるにしろ、やはり、最終的には自分の頭で考えることが大切というわけです。

工藤 蒔大さん（2020年度修了生 学習駆動コース）らは、「OSINTからのプライバシー保護を学ぼう〜TsukuCTF 2023 開催中〜」というテーマで発表を行いました。OSINT（Open Source Intelligence）とは、一般に公開されている情報から独自の情報を得る手法のことです。例えば、写真から場所を特定したり、パケットを解析して接続元を特定したり、SNSアカウントから個人情報を特定したりといったことが挙げられます。

今回は3枚の写真を使って、特定の情報を探し出すワークが行われました。最初の公園の写真では、その公園がモチーフとなった映画を見つける課題が出されました。これはGoogle Lensを使って似た構図の写真を検索することで、簡単に見つけることができました。

次にラーメンの写真が提示され、そこから写真のラーメンを提供する店を探します。ここで必要になったのは、Exif（Exchangeable Image File Format）情報です。デジタルカメラやスマートフォンで撮影した写真には、通常、カメラの設定データのほか、撮影日や撮影場所などが自動で付け加えられます。これがExif情報です。実際にこの写真からは、付随するExif情報にある緯度・経度をもとに簡単にラーメン店を見つけ出すことができました。

Exif情報があれば簡単に日時や位置情報を特定することができますが、これは逆に、個人情報の流出に繋がる危険性もあるため、Exif情報は設定や後の編集で消去することも可能です。そこで3枚目、最後に提示された薬局やマンションが写っている町の写真では、Exif情報を使わずに、位置情報が割り出せるかどうかを試してみることにします。まず、写真に写り込んでいる薬局の名前を調べてみると、東北地方にしかないお店であることがわかります。その薬局を、GoogleMapsやストリートビューを使ってしらみ潰し的に探しても良いですが、薬局のホームページにある店舗一覧から効率的に見つけることもできます。今回は一緒に写っているマンションの位置関係から、比較的簡単に店舗を特定することができました。

こうしたワークを通して、一枚の写真があれば、そこからいろいろな情報が読み取られてしまう危険性を学ぶことができました。個人情報を守るには、撮影した写真の扱いにも注意が必要です。

今回のイベントでは、楽しくセキュリティを学ぶにはどうすれば良いか考えていた修了生が多くいました。例えば、麻生 航平さん（2019年度修了生 学習駆動コース）は、セキュリティ芸人としても活躍しています。2023年のR-1グランプリにも出場して、1回戦を突破したといいます。

その麻生さんは、今回、「技術系YouTube動画のおすすめを教え合う会」という発表を行いました。内容は表題のままで、参加者が薦めるYouTube動画をスクリーンに映し、みんなで見るというもの。「それだけ？」と思う人もいるかもしれませんが、ワイワイガヤガヤ、リラックスしながら動画を見る時間も決して無駄ではありません。楽しく学ぶことで、よりよく理解し、効果的に記憶することができるからです。実際、一人で漫然と動画を流しているより、ずっと強く印象に残ったという人も多かったようです。

公式イベントの最後には、「修了生キャリア語り 〜時代を繋げるLT（reLay Talk）〜」として、2017年から2021年までの各年1人ずつが代表し、計5人の修了生がリレー形式でライトニングトーク（LT）を行いました。

2017年度の修了生、竹村 太一さんは、トレーニー時代の成果物である「LOG VISUALIZATION 〜攻撃の脅威度の分析と可視化〜」を紹介しました。攻撃の脅威度を数種類のモンスターのイメージで表現することで、どれだけ危険なのか、わかりやすく利用者に伝えることができるといいます。

2018年度の修了生、朱 義文さんは、自身の経験を赤裸々に語りました。自分のしたいことと大学が求めるものにギャップを感じたという朱さんは、外部のイベントに積極的に参加したといいます。セキュリティ・キャンプ全国大会2017での坂井トレーナーとの出会いからSecHack365に参加するまでの過程、そして組み込みOSの第一人者である名古屋大学大学院情報学研究科情報システム学専攻の高田 広章教授に師事したことなど、その活動力には修了生も驚かされました。

2019年度の修了生、竹本 七海さんは、文系大学出身者です。そんな彼女がSecHack365の存在を知ったのは、学生時代にアルバイトをしていた会社にそのまま就職し、ITに関わるようになったのがきっかけでした。仕事を通じてITとセキュリティにますます興味を抱くようになっていた彼女は、会社に直談判し、SecHack365の参加費用を負担してもらったのだとか。修了後は理系大学へ進学し直すなど、竹本さんの飽くなき探究心に参加者は驚かされました。そして、これからの目標として、運営に関わっているコミュニティの拡大や予備自衛官補への挑戦を考えていることも述べられました。

2020年度の修了生、中嶋 桃香さんは、トレーニー時代の経験やSecHack365以外のイベント参加について話しました。チームで開発する体験や新しい技術に触れる機会を得た一方で、周りが凄すぎて不安になり、何をすればいいのかわからなくなってしまったと反省します。修了後は、女子学生の理系進学を支援する財団の活動にも参加していたそうです。

2021年度の修了生、納本 穂高さんは、自身が開発した「Yandereca」について語りました。ToDoリストのタスクが完了したり、進捗率が上がったりすると、ヤンデレのキャラクターをブラウザ上に出現するというこのプロダクト。キャラクターに褒めてもらうことで、ユーザのやる気を刺激するというヤンデレ要素とタスク管理を組み合わせたユニークなアプローチには、他の修了生たちも興味津々でした。

このLTで発表した修了生に共通していたのは、興味関心が人一倍強いということ。これから何をしたいのか考え、そのために何をするべきか明確に伝えました。

公式イベントは修了生のLTで終わりましたが、トレーナーたちも負けていません。追加の交流企画では、自分たちが持っているガジェットを持ち寄った「ガジェット交換会」や横山トレーナーによる「インターネットの裏側を知ろう! AS間ネットワーク」、川合トレーナーによる「小学生低学年にC言語を教えるにはどうしたらいいのか？ 〜Scratchを越えよう！〜」という発表が行われました。

今回は、小学2年生と4年生の愛娘にプログラミングの英才教育を施したいという川合トレーナーの発表を簡単にレポートします。子供のプログラミング教育には、一般的に判りやすい「Scratch」注2がよく使われ、教育本も多数出版されています。しかし、現在主流となっているプログラミング言語との関連性は薄く、せっかく覚えても将来的にあまり役に立たないという欠点もあります。そこで川合トレーナーは、子供にも判りやすいように、簡略化した教育用C言語（「easy-C」）を独自に開発し、それを用いた教育プログラムを編み出しました。

まずは、タイピング練習を行うといいます。1行目に教育者が大文字でAからZまで入力し、下の行に同じように子供がタイピングする。30秒で入力できるようになるまで、1日15分間練習すると、３日でクリアしたのだとか。キーボードのアルファベットを見ながらタイピングすることで、アルファベットが読めない子供もできるようになります。

続いては、ドレミを文字に置き換えるPLAY文（MML：Music Macro Language）で音楽演奏を行います。変数や制御構文は一切使わずに、ド→C、レ→D、ミ→E、休符→R……、と置き換えます。簡単な曲を５から10程度作ると、入力→保存→実行という操作に慣れていったといいます。

それができるようになると、いよいよC言語を扱います。C言語には、小文字入力が必要不可欠ですが、川合トレーナーが独自開発した「easy-C」というプログラミング言語では、大文字の入力だけで済みます。子供たちは、「easy-C」を使って選択肢によって物語が変わるアドベンチャーゲームなどを作れるようになり、その成長スピードだけでなく、大人が思いつかないようなストーリー構成にも驚いたといいます。

この学びの過程で大切にしているのは、情報や知識を詰め込みすぎないことだと川合トレーナーは語ります。実際、長男に対してプログラミングを強制的に詰め込んで、逆にプログラミング嫌いにさせてしまった経験があるといいます。その教訓から、楽しみながら学べるように試行錯誤してきたのが、この教育プログラミングなのです。