SecHack365 2024 / 6th Event Week / 成果発表会Report 6th Event Week / Presentation
第6回イベント+成果発表会(2025年3月8日・9日)
日本全国から、“セキュリティ”をキーワードに、熱意あるU25を公募し、年間を通して各自が設定したテーマを追求してきた、SecHack365。全国から集まった約40人のトレーニーと、多様なバックグラウンドを持つトレーナーたちが手を取り合い、またトレーニー同士でもお互いに影響を受け高め合って進めてきたプログラムも、いよいよこれでフィナーレを迎えます。
そんな2024年度生にとって最後のイベントとなる第6回イベントが、3月8日(土)に秋葉原UDXで開催されました。秋葉原といえば、日本を代表する電気街であり、アニメや漫画などのポップカルチャーの中心地でもあります。翌9日(日)には、1年間の成果を一般の方々に紹介する年に1回のイベント、成果発表会も控えています。最後のイベントに全力で向き合うトレーニーたちの様子をお届けします。
第6回イベント @秋葉原UDX
オープニング ―― 全員で築き上げた成果
イベントの幕開けを飾ったのは、横山トレーナーによる恒例のオープニングトーク。今回が最後のイベントとなるトレーニーたちに向け、「存分に楽しんでください」と温かいエールを送りました。その上で、この2日間を通じて“今後の自分”についても考える機会にしてほしいと語りかけました。
翌日に控える成果発表会では、「優秀修了生」に選出されたトレーニーが登壇し、発表を行います。しかし、横山トレーナーは「優秀修了生だけが特別なのではなく、このメンバー全員で取り組んだからこそ生まれた成果」と強調。1年間の努力を讃えるとともに、チームで築き上げた経験の価値を改めて伝えました。
コースワーク ―― 1年間過ごした仲間と、最後のワーク
今回のコースワークは、部屋ごとに分かれず、大広間で行われました。
一言で「1年間をかけて“何か新しいもの”を生み出す」と言っても、そのアプローチは人によっても、開発する対象によっても異なります。そのため、SecHack365では、トレーニーそれぞれの開発スタイルや開発対象に合わせて、「表現駆動コース」「学習駆動コース」「開発駆動コース」「思索駆動コース」「研究駆動コース」の5つが選べるようになっています。コースによっては、さらにいくつかのゼミに分かれて活動していたりします。
最後のコースワークもこれまでのイベントと同じく、コースやゼミごとに活動内容はさまざまです。
たとえば学習駆動コースの一部は、実際に街へ出向き、パーツ屋でセール品を購入するなど、秋葉原ならではの体験を取り入れた活動が展開されました。また、表現駆動コースでは、成果発表会に向けた発表練習を行いました。トレーニーたちは、ポスターの視認性やデモの見せ方など、一般来場者に、より効果的に伝える方法を模索しました。
すでに第5回のオンラインイベントで、年間の“まとめ”としての発表は終えているはずですが、それでもなお、さらに完成度を高めるため、あるいはその時に得た意見を反映するためなど、キリキリと、かつギリギリのタイミングで頑張っている人たちもちらほら。
表現駆動コースで「ボクプレ〜ボクのプレゼンテーション家庭教師〜」の開発に携わった大塚由奈さんに話を伺うと、発表前日にデモが動かないというトラブルに直面したことを明かしてくれました。しかし、そんな緊急事態にもかかわらず、チームメンバーは焦ることなく問題を解決できたといいます。「これまで表現駆動コースで、『短期間でとにかく形にする』経験を積んできたので、最終的には必ず解決できるという共通認識がありました」と彼女は振り返ります。
SecHack365で唯一のチーム開発を行う表現駆動コースでは、オフラインイベント時に3日間限定のハッカソン「ナイトチャレンジ」を実施しています。限られた時間の中で作品を完成させる経験を積んできたことが、トラブル対応の際にも大きな自信につながっていたのです。
コースでの活動を振り返り、大塚さんは「アイデアを出すことやチーム開発の難しさを実感し、普段接点のない人の価値観に触れる貴重な機会になりました」と語ります。「イノベーションを起こせるアイデアを生み出したい」という思いでSecHack365に参加した彼女は、活動を通じてアイデア創出の難しさや、チームで協力することの重要性を改めて実感したといいます。
最後に、大塚さんは「意見の食い違いや、良いアイデアが浮かばず苦しんだ時期もありました。しかし、最後にはコースメンバー全員で楽しく修了を迎えることができたという達成感があります」と、語ってくれました。
優秀修了生の作品発表
今年度の優秀修了生には6人(6作品)が選出されました。選出されたトレーニーは、第6回イベント当日まで、何度も練習を重ねてきました。その成果は、声の大きさや抑揚の付け方、話の展開の仕方など、細かい工夫が随所に見られ、聞き手を引き込むプレゼンテーションとなっていました。
法律と倫理 ―― 改めて技術者の倫理を考える
セキュリティを考えるうえで、実は欠かすことができない法律と倫理。SecHack365のイベントでは“定番のコマ”となっている北條トレーナーによる講義ですが、それも今回でいよいよ今年度の最終回です。
サイバーセキュリティの技術と法律に詳しい弁護士として第一線で活躍する北條トレーナー、最終回では、これまでの振り返りと改めて「技術者の倫理」の重要性に焦点を当てました。
今回、北條トレーナーが紹介したのは、自身が専門委員を務める日本シーサート協議会が掲げる行動指針、「正義の味方」、「自由と責務」、「チャレンジと自己研鑽」、「Open Door」です。技術を正しく使うことはもちろんのこと、「知識のない人を馬鹿にせず、支援すること」も大切な行動のひとつです。互いに学び合い、支え合う文化を築くことで、技術の発展につながるといいます。
さらに、北條トレーナーは、倫理を守ることをブレーキのような「制限」と捉えるのではなく、「ガードレール」のような存在と考えるべきだと説きます。倫理は、技術の発展を阻むものではなく、安全に発展させるための指針であり、誤った方向へ進まないための支えとなるもの。そして最後には、「SecHack365を通して多くの技術的な知識と経験が身についたと思いますが、それをどのように使うかを考えることが重要です。最終的に社会にどう役立てるのかを意識することで、技術はより価値あるものになるはずです」と、これから技術の一線に立っていくであろうトレーニーたちにエールを送りました。
修了生講演 ―― 「IT界のさかなクン」を目指す修了生
「法律と倫理」の講義に続いては、過去のSecHack365の修了生が登壇する「修了生講演」。SecHack365で得たもの、それがその後の活動にどんな恩恵を与えてくれているのか、そんなロールモデルを現在のトレーニーたちに示してもらう時間です。
2019年度に学習駆動コースを修了したアスースン・オンラインさんは、現在では「セキュリティ芸人」として広く知られています。しかし、SecHack365を修了してしばらくの間は、自分らしいエンジニアのスタイルを追い求め、様々なことに挑戦していたといいます。
そんな彼の人生を大きく変えたのは、R-1グランプリへの挑戦でした。もともとSecHack365の発表でもユーモアを交えたプレゼンを行うことが多かったアスースンさんは、思いきってR-1グランプリに挑戦。セキュリティをテーマにしたネタが予想以上に評価され、なんと1回戦を突破。プロの芸人たちと同じ舞台に立つという貴重な経験を得ることになりました。
この出来事をきっかけに、YouTube(脆弱エンジニアの日常)での情報発信を本格的にスタート。「こだわりすぎず、数を出すこと」を意識しながら動画を投稿し続けるうちに、セキュリティの専門家向けコンテンツが大きな話題を呼び、チャンネル登録者数は急増しました。
さらに、彼は「IT界のさかなクン」を目指し、コントや漫才、ゲーム実況など、幅広いジャンルにも挑戦。独自のスタイルを確立していきました。その結果、メディアからの取材依頼が増え、さらには警察や企業から講演の依頼を受けるようになり、活動の幅が大きく広がりました。
現在、アスースンさんは「Eテレのような教育番組を作る」という新たな目標を掲げ、YouTubeを活用しながらその実現に向けて準備を進めています。彼はトレーニーたちに向けて、「夢を掲げて、楽しくものづくりを続けてください」と、継続することの大切さを力強く語りました。
習慣化講義 ―― セキュリティと〇〇の掛け算
休憩後に行われたのは、これもSecHack365のイベントではおなじみとなった、佳山トレーナーによる「習慣化」講義です
最終回となる今回は、これまでの講義とはちょっと趣を変えて、〈サイバーセキュリティ×〇〇〉というテーマで、異なる分野とサイバーセキュリティを掛け合わせたキャリアを持つ専門家の話を聞く機会が設けられました。
この講義には、森・濱田松本法律事務所外国法共同事業の弁護士・蔦大輔氏と、大阪地方裁判所・大阪簡易裁判所の判事・西尾太一氏が登壇。どちらもサイバーセキュリティを得意とする法律の専門家であり、法曹界でも非常に珍しい存在です。
パネルディスカッションでは、弁護士事務所のセキュリティ事情など、「実は……?」と驚くようなエピソードが次々と披露されました。普段なかなか聞くことのできないエピソードの連続に、会場からは「ええええ?」という驚き交じりの笑いやどよめきも。修了後の活動に悩むトレーニーたちにとって、「セキュリティ×自分の専門分野」という新たな可能性を考えるきっかけになったかもしれません。
「習慣化」講義が終わると、第6回イベントもあっという間に終わり。外では雪も降り始めました。翌9日は、同じ会場で朝からリハーサルを行い、成果発表会に備えます。
成果発表会
前日の天気から一変。気持ちのいい天気に恵まれた、成果発表会当日。そんな天気にも助けられて、会場には150名を超える一般来場者が訪れ、トレーニーたちの1年間の成果を見届けました。
昨年度の修了生からは、「僕らの年とは、また全然違う内容や方向性のものが多くあって、刺激になりますね。やはりこれがSecHack365のすごいところ、という気がします」という声を聞くことができました。
山内統括官は、SecHack365の取り組みが広がり、応援する人々やトレーナーがさらに増えることを期待していると述べました。また、トレーニーたちに向けて「SecHack365で得た知識や技術、仲間、そして高い倫理観を活かし、社会に貢献してほしい」とエールを送りました。
横山トレーナー長は、SecHack365が単なる技術研鑽の場ではなく、「クリエイティブとセキュリティをどのように両立させるか」を重視したプログラムであると説明。〈作る〉〈見せる〉を繰り返すことで、実践的なスキルを習得できることを強調しました。さらに、来場者の中にはトレーニーの活躍を求める企業関係者も多く、今後の技術創出人材の活用について共に考えていきたいと語りました。
6名の優秀修了生が登壇し、それぞれが制作した作品を来場者に向けて紹介しました。彼らの成果や感想については、後ほど詳しくご紹介します。
会場の一角では、今回初の試みとして、15歳以下を対象にした「セックハッコーアイデアコンクール授賞式」が開催されました。SecHack365の対象年齢である25歳以下よりもさらに若い世代に、セキュリティを取り入れた未来の社会を考えてもらうことを目的とした企画です。子どもたちが描いた未来予想図には、大人たちも思わず「なるほど」とうなるようなアイデアが詰まっていました。
1年間、ハッカソンを続けてきた8期生のトレーニーたちに園田センター長から、修了証を授与されました
徳田理事長は、トレーニーたちが開発したツールやサービス、コンテンツを高く評価し、「より安全・安心な未来社会を実現するための素晴らしい成果を拝見し、明るい未来を感じることができました」とコメント。さらに、「SecHack365での学びを活かし、修了後も次のフェーズに向けて歩みを進めてほしい」と期待を寄せました。
閉会挨拶が終わり、一般来場者が会場を後にする中、横山トレーナー長はトレーニーたちに向けて、次のような言葉を残しました。
「自分がどうなりたいかを考えることも大切ですが、同時に他者にどのように喜んでもらえるかを意識することも重要です」
これは決して他人に迎合するという意味ではなく、「私はこういう人間です」と自分の個性を大切にしながら、社会にどのように貢献できるかを考えることが重要だと説明しました。そして、「この考えを持ち続ければ、5年後、10年後には非常に面白い立場になっていることでしょう。ぜひ、世のため人のために尽力してほしい」と力強く締めくくりました。
いま、世界の潮流を見ると、“じっくりと時間をかけて何かを作り上げる”というよりも、まずはどんどん開発し、その中で優れたものが生き残っていくという姿勢が主流となりつつあります。
トレーニーたちが「研究、開発、発表と評価」のサイクルを繰り返しながら成長していくように、SecHack365もまた成長していきます。来年度のSecHack365がどのような新たな姿を見せてくれるのか、今から楽しみです。
優秀修了生のプロダクト
最後に
大盛況のまま終了した成果発表会。トレーニーたちはこの1年間、イベント内外で精力的に活動し、セキュリティや表現を学んできました。彼らがこの1年間、何を考え、どのような取り組みをしてきたのか、最後に優秀修了生のプロダクトと共に紹介します。
2段階分類侵入検知モデルとは?
高度な暗号化や認証機構の実装が困難なIoTデバイスでも攻撃からクライアントを守ることができる検知モデルです(詳細は第5回イベントレポート参照)。
このモデルを考案するきっかけとなったのは、大学の講義でMQTTプロトコルを用いたビルの遠隔制御について学んだことでした。IoT技術の発展により、さまざまなデバイスを便利に管理できる一方で、セキュリティリスクも伴います。その中でも特に、不正アクセスや攻撃を検知できる仕組みの重要性を強く感じ、侵入検知システム(IDS)の導入を検討、開発を進めてきました。
研究の一連の流れを身につけることができました。論文の読み方、課題の発見方法、実装、実験、論文執筆など、一通りのプロセスを経験しました。また、問題に直面した際に誰かに相談する力を育むことができたのも大きな収穫です。発表方法の工夫についても多く学びました。
後悔はありません!! 初めての経験ばかりでしたが、振り返ってみるとよく頑張ったなと思っています。
今後も意欲的にサイバーセキュリティに関する研究活動を続けていきたいと考えています。
RFRaptor(アールエフ・ラプター)とは?
Wi-FiやBluetoothといった特定の無線規格に依存せず、任意の無線プロトコルの脆弱性を診断するプラットフォームです。今までは、診断に特殊な機器や専用のテスト環境が必要でした。しかし、RFRaptorを使うと、ボタンを押すだけで簡単に無線機器の安全チェックができるようになります。また、学習・研究にも応用することができ、可能性は無限大です。
このプロジェクトの発想は、HackRFというソフトウェア無線(SDR:Software Defined Radio)を使ってBluetoothのデバッグを行っていた際に、「もっと使いやすく、さまざまな無線に対応できるツールがあればいいのに」と感じたことがきっかけでした。当時、GNURadioを使用していましたが、処理速度の面や脆弱性診断の機能に物足りなさを感じていました。そこで、「それなら自分で作ってしまおう!」と開発を開始。拡張性やデザインにもこだわりながら改良を重ねた結果、この作品が誕生しました。
SDRを実際に操作することで、技術的な面で成長できました。しかし、それ以上に大きかったのは、自分の作品を“伝える”という表現力の向上です。スライドやポスターのデザインについて基礎から学び、細かい部分まで気を配るようになりました。発表では、声量の調整や抑揚のつけ方を意識し、単に作品を作るだけでは得られないスキルを身につけました。SecHack365では、ものを作るだけでなく、それをどのように伝えるかを学べる点が非常に良かったです。
プロジェクトの見通しの甘さが反省点です。作品や表現にこだわるあまり時間が足りなくなり、結局、直前に作業を詰め込むという“いつものパターン”を改善できませんでした。
活動自体はこれまでと変わらず、CTFや研究を続けながらセキュリティに関わっていきます。ただ、表現方法についてはSecHack365を通して大きく変わると思います。これまでのように、要点だけを適当に伝えるスライドは作らず、しっかりと伝わる表現を心がけていきたいと思います。
「Open-VE」とは?
分散アーキテクチャにおけるバリデーションの煩雑さを解決するためのミドルウェアです。一般的なWebアプリケーションでは、分散した複数のシステムを類似したデータが流れていきます。しかし、それぞれのシステムでバラバラのバリデーションを実装すると、プログラミング言語ごとのロジックのズレや実装漏れが発生しやすいという課題があります。そのような課題を解決するために、中央集権的にバリデーションロジックを管理することができるミドルウェアとしてOpen-VEを開発しました。これにより、システム全体で統一したバリデーションロジックを提供することができ、よりセキュアで一貫性のあるアプリケーション開発が可能になります。
開発のヒントになったのは、Googleがつくった「Zanzibar」というシステムでした。これは、いろいろなサービスをまとめて管理するための“アクセスルール”を統一してくれる仕組みです。この考え方を見たときに、「他にも応用できるんじゃないか?」と思い、実際の業務で煩雑さを感じていた「バリデーションロジック管理」にフォーカスして、開発を進めてきました。
この1年で、特に表現力の向上を実感しました。SecHack365では何度もポスター発表の機会があり、限られた紙面の中に、いかに重要な情報を的確に詰め込むかを試行錯誤しました。その過程で、伝えたい内容を簡潔かつ分かりやすく整理するスキルが身についたと感じています。さらに、動画発表では、「ゆっくり実況動画」というユニークな形式に挑戦することで聴衆の関心を引きつけることができました。
技術的に大きな挑戦ができなかった点は、やや心残りです。これまで関連技術に多く触れてきたため、新しい技術への挑戦の機会は限られていました。しかし、その一方で既存のスキルを最大限に活かし、プロダクトの完成度を高めることに注力しました。特に、開発者支援機能やパフォーマンステストなどの機能開発を通じて、プロダクトの品質向上を実現できたことは大きな成果だと感じています。
SecHack365を通じて、ひとつのプロダクトを作り上げる力を身につけることができたと実感しています。この経験を活かし、今後は自分自身が開発の中で直面する課題やペインポイントを解決するプロダクトを積極的に生み出していきたいと考えています。
「fubuki」とは?
GSLB(Global Server Load Balancing)は、分散配置されたエッジサーバ群に対して、権威DNSサーバを制御点としてトラフィックを動的に振り分ける負荷分散システムです。具体的には、ヘルスチェック、負荷状況、レイテンシ、地理的近接性などの要素を基に、最適なサーバへとトラフィックを誘導します。しかし、個人がGSLBを自前で構築するのは非常に難易度が高く、素晴らしい負荷分散システムがとてももったいない状況に置かれているのが現状です。そこで、「よりGSLBを自由に味わえるソフトウェア」を目指し、「fubuki」を開発しました。
私は当初、CDN(Content Delivery Network)に注目し、エッジサーバ上で動的コンテンツの配信を行うシステム開発を目指していました。しかし、自分のやりたいことともズレがあったため、CDNの根幹技術であるGSLBの開発へとテーマを変更しました。「fubuki」を用いることで、GSLBの運用をより柔軟かつ自由に行うことが可能になります。
いくつもありますが、まず思いついたのは問題解決能力です。1年間を通して、テーマを設定し、開発を継続するプロセスの中で、何度も課題に直面しました。そのたびに、問題の発見、現状の分析、解決策の立案、実現という一連の流れを繰り返し実践しました。これらの経験を通じて、問題を的確に見極め、効果的な解決策を導き出す力が身についたと思います。
「締め切り駆動」になってしまったことが、反省点のひとつです。締め切りが迫るまでタスクに身が入らず、結局、締め切り直前の朝に終わらせることが多々ありました。そのため、タスクの質も量もかなり劣悪で、結果的に未来の自分を苦しめていました。もっと計画的にタスクに取り組むべきだったと思います。
SecHack365で得た問題解決能力・人に伝える力・開発経験を活かし、オフェンシブセキュリティの分野で活動していきたいと考えています。また「fubuki」のように自分の興味の赴くままにソフトウェアを開発し続けたいという思いもあります。将来的にはネットワークとオフェンシブセキュリティの両方の側面をもつプロダクトを立ち上げてみたいです。
「SecPassBox」とは?
従来のパスワードマネージャーは、多くのデバイス間での同期や設定の複雑さから、使いづらいと感じる人も少なくありません。そこで、USBやBluetooth経由でパスワードを入力できる小型デバイスを開発しました。このデバイスを使用することで、オフライン環境でもパスワードを安全に管理でき、脆弱なパスワードの使用や使い回しを防ぐことができます。
開発のきっかけは、私自身が既存のパスワード管理ソフトを使用していた際に感じた不便さでした。そんな時、マイコンをUSBキーボードとして認識させ、任意のキーストロークを入力する手法を知り、この技術を応用すれば、シンプルで安全なパスワード管理デバイスを実現できるのではないかと考えました。その結果、オフラインでも手軽にパスワードを管理・入力できる「SecPassBox」の開発に至りました。
長期間にわたってひとつのプロジェクトの開発をやり通す力がついたと思います。このプログラムでは、2カ月に1回のペースで行われるイベントはもちろん、毎週の定例があり、短期的な目標と長期的な目標を設定して、開発を続けることができました。また、未完成のものを見せてフィードバックをもらう勇気がつき、軌道修正を行うことができました。
もっと積極的に他の参加者と交流を深めるべきだったと感じています。所属するゼミがハードウェア寄りで少し変わっていたこともあり、他コースのトレーニーとの交流をあまりしていませんでした。表現駆動コースの開発にも携わっていれば、多様な参加者から刺激をもらえたかもしれないと思いました。
まずは、今回作ったデバイスを実際に使⽤できるレベルになるまで改良し続けたいと思います。その後の活動としては、引き続きセキュリティ分野の知識を深め、セキュリティ業界との関わりを持ち続けたいです。そのうえで、研究や就職を視野に⼊れながら、セキュリティのどの分野が⾃分に合っているのか、楽しさや社会貢献を実感できるのかを⾒極めていきたいと思います。
「SSH with Passkeys」とは?
企業が貸与するパソコンや社内ネットワークは安全なものと言えるでしょうか? 実は、サプライチェーン型攻撃の増加やゼロトラストの概念の登場により、従来のセキュリティ対策では不十分であることが明らかになっています。そこで、私は開発者を狙った攻撃に着目し、SSH(Secure Shell)における新しいセキュアな認証方法を実現しました。
アイデアの原点は、バイト先でのサーバー管理の経験にあります。複数台のサーバーを管理する中で、踏み台サーバーを経由する際の煩雑さや、公開鍵の管理(特に退職時の処理)が大きな課題であると感じました。そこで、アカウント管理を行うサーバーと、ログイン先のサーバーを分離する仕組みを考案し、より安全で効率的なSSH認証を実現しました。
思考力とチーム開発のスキルが身につきました。コースワークでは、ひとつのものを作るときに、「どういう人が使うのか」「どういう目的で作るのか」といったことを考え、思考力を養いました。また、表現駆動コースの作品にも参加していたので、そこで複数人で開発を進めるといった力が成長したと思います。
佳山トレーナーの「習慣化」講義では、継続的な成長を促すためにマンダラートを作成し、目標を持続的に達成していくという取り組みを行いました。しかし、継続力のないボクにとっては、それが一番難しく、成長できなかった後悔はあります。とはいえ、SecHack365を修了しても、学んだ内容が消えるわけではありません。これからも毎日地道に頑張っていこうと思ってます
言うまでもなく、セキュリティ人材としていろんなイベントやプロジェクトにも関わっていこうと思ってます。また、関西圏のSecHack365トレーニーの数が、首都圏や九州に比べて、まだまだ少ないので、SecHack365の面白さを発信し、関西でもより多くの人に興味を持ってもらえるような活動をしていきたいと考えています。 なので、ここでも宣伝します。SecHack365の魅力は圧倒的な人脈ができます!! みんな応募しよう!
