SecHack365 Returns 2024Report Returns 2024
Returns 2024レポート(2024年12月14日)
発表あり、かるたあり、歌あり ―― 思い思いにアイデアを交換した年に一度のお祭り
(取材・ライター 高橋睦美)
久しぶりに同級生と集まる機会があれば、「久しぶり! 最近、どうしてる?」と近況を報告し合うものでしょう。SecHack365にもそんな同窓会があります。一年間を走り通した経験を持つトレーニーたちが一堂に会する「SecHack365 Returns」です。
2024年12月14日(土)に東京・日本橋のNICTイノベーションセンターで開催された「SecHack365 Returns 2024」には、77名の修了生に加え、トレーナーやアシスタント、そして外部のコミュニティや企業関係者らが数集まり、それぞれの最近の取り組みを、思い思いに闊達に報告し合いました。
一年に一度のお祭り「SecHack365 Returns」
7回目を迎えたSecHack365 Returnsですが、昨年からは修了生自身がイベントを企画・運営しています。今回は、白倉 大河さん(2018年度)、池田 雄翔さん(2020年度)、堀田 竜誠さん(2021年度)、福田 海優さん(2023年度)の4名の修了生がリードしながら準備を進めてきました。
花田トレーナーによると、SecHack365 Returnsのコンセプトは「一年に一度のお祭り」です。同窓会であり、カンファレンスやLTの場でもあり、また協力する複数のセキュリティコミュニティや企業からの参加者とコミュニケーションし、新たなつながりを作る場ともなっています。
SecHack365 Returns 2024は13時半の「オープニング」にはじまり、3つのトラックにわかれての「CFX」(Call for X=ワークショップやプレゼンテーション、車座などの場)をはじめとする公式プログラムが用意されました。ですが当日になってみると、展示ブースで突発的にイベントが行われたり、交流用スペースで車座になって旧交を温めたり、思い思いに作業に取り組んだりという具合に、集まった参加者が自分の興味に沿って過ごせる半日となりました。
CFXでは、自ら考え、手を動かす形の企画が多かったことが印象的でした。新しい何かを作り出していくSecHack365ならではの企画と言えるでしょう。
たとえば、OSINT CTFの企画者でもある石川 琉聖さん(2020年度修了生)は、「OSINT CTFのリアル作問環境を体験してみよう!」というタイトルで、ある画像から場所を特定するOSINT問題作成のハンズオンを実施していました。
また高名 典雅さん(2019年度修了生)「バイナリアンへの“道” 第一回 ASCII表を覚えよう!」というCFXでは、まずASCII文字列について座学で学んだ後に、ASCII写経に取り組む人がいたり、会場の一角でASCIIカルタ、ASCII七並べで盛り上がり、見学者も交えて年齢を問わず盛り上がっていました。
また、さまざまなコミュニティの協力を得て交流の輪が広がっていったことも特徴と言えるでしょう。
秋田 賢さん(2018年度修了生)は、自分の「推し」の勉強会やコミュニティを付箋に記して紹介していく「お勧めの勉強会・プログラムを紹介し合おう!」というブースを企画しました。
足を止めた参加者がどんどん情報を追加していくことで「こんなにいろいろな場があったんだ」ということが可視化されたこの企画は、最後の表彰式で佐藤公信トレーナーによって表彰されていました。
また「『セキュリティ若手の会』の立ち上げ話と今後の展望をみんなでディスカッションする会」と題するCFXでは、佐田 淳史(2023年度修了生)さんが、自身がコミュニティを立ち上げた経緯や思いを紹介していました。
この会は、「セキュリティエンジニアになりたいけれども、学校での勉強やネットの検索では出てこない情報を互いに集め、深い解像度で知りたい」という思いで企画されたイベントです。先日開催された第一回には想定の倍以上の申し込みが集まり、愛知県や三重県からの参加者もいるほどでした。オンラインではなく、オフラインでの直接交流を通して、ひとくくりにされがちな「セキュリティの仕事」だけれど、実際にはいろんなものがあると知る機会になったといいます。3⽉16⽇には第⼆回も開催され、SecHack365を一つのきっかけにして、新たなコミュニティが広がっていく可能性が感じられます。
思い思いのアイデアを紹介するだけでなく、活発な交流も
SecHack365 Returns 2024の会場では、CFX以外にも多数のポスター展示が行われたほか、アメリカのDEFCONでおなじみのアルミホイルで帽子を作って楽しむ「Tin Foil Hat Contest」や、書籍やジャンク機器を交換できる「フリーマーケット」といった企画が行われました。また、ライトニングトークの時間も設けられ、幅広いテーマでの発表に加え、その場のセッションによる弾き語りも登場しました。
展示の中でも、多くの注目を集めていた発表が「特定くんーー写真からの位置推定AI」です。ある任意の画像が取られた場所を特定するAIで、画像の特徴量と緯度・経度情報の類似度を照合することで、現地に近いであろう場所を示す仕組みとなっています。
開発者の平田 麟太朗さん(2022年度修了生)によると、特定くんは、人間の「なんとなくわかる」という暗黙知をいかにAIにしていくかーーという課題にチャレンジしているものだそうです。
この展示は、多くの来場者の興味を引いており、足を止めたトレーナーや関係者との間で、AIの精度向上のためにどんな取り組みが可能かについて議論が繰り広げられていました。また、話がこの先のキャリアにまで広がり、来場者と「どんな働き方をしていけばいいのか」について相談しているうちに、さくさくっと「今度、人を紹介しましょう」と話が進展する場面までありました。
著名OSSへのコミットにつながったSecHack365の経験
クロージングのセッションでは、これまたSecHack365らしい取り組みが実を結んだ例が紹介されました。
今、セキュリティの領域では脆弱性管理が一つのトピックとなっています。OSやシステムに含まれる脆弱性を検出し、適切に対応・運用していくためのベストプラクティスが模索される中、注目を集めているオープンソースソフトウェアの一つが、コンテナイメージの脆弱性スキャンを行う「Trivy」です。
実はこのTrivyに、SecHack365修了生の成果が、なんと二つ取り込まれています。
一つは、2020年度のSecHack365で仮想マシンの静的解析ツール「Molysis」を開発した藤村 匡弘さん(2020年修了生)の成果物です。AMIやVDIといった仮想マシンイメージの脆弱性検知機能を追加し、Trivyにマージされ、今では2万人を越えるユーザーに利用されています。
藤村さんがここに行き着くまでには、さまざまな試行錯誤があり、「停滞期」や「迷走期」も経験したそうです。SecHack365終了時点では「最低限の実装で、最適化もされていない状態」でしたが、さまざまなソースコードを読み込んで知識を深めるだけでなく幅も広げ、時には有識者に意見を乞い、アーキテクチャの全面的な見直しも数度繰り返した上でマージにたどり着きました。
「手を止めて知識を高める時期、似たようなものに触れて理解を深める時期、そして最後にそれらのすべてを動員してすべてを作り直す時期を経てきました。未知のことに取り組むに当たって、そのすべてが重要だったと思っています」(藤村さん)
一方、藤田 優貴さん(2018年度修了生)は脆弱性管理という普段の業務でTrivyを活用できないかと考え、検証を進めていました。すると、10年ものの古いEC2でうまく脆弱性スキャンができないケースがある、という不具合に気が付きました。
調査してみると、Trivyではext3形式のファイルシステムへの対応が不十分であることがわかりました。その部分をさらにデバッグしていくと見覚えのあるコードが出てきて、「あれ? これ、SecHack365の成果物じゃない?」と思ったそうです。
藤田さんは、ext3形式のファイルシステムのパーサーを自分が実装し、Trivyにマージしてもらえばいいのではないかと考え、早速作業に取り組み始めました。「プルリクを作成したところ、藤村さんからがっつりレビューをもらいました。年度は異なるけれども同じSecHack365の修了生どうしということで、一定の信頼の元でスムーズにやりとりができました」(藤田さん)
こうして藤田さんのパーサーもTrivyにマージされ、広く活用されています。「こんなふうに、SecHack365で身につけてきた技術や成果物が、セキュリティの現場ですごく役にたっています」(藤田さん)
偶然同じOSSにコントリビュートした二人ですが、図らずもSecHack365の経験が生かされたものと言っていいでしょう。
支えられる側から支える側で、アシスタントたちの大切な役割
一年かけてものづくりに取り組むSecHack365での経験を次の世代にも伝えるべく、アシスタントとして活躍している若手エンジニアもいます。
その一人で、今回のSecHack365 Returnsの企画に携わった野本 一輝さん(2020年度修了生)は、「研究、生活習慣、仕事という三つの観点すべてで、SecHack365での経験が生きています」と振り返りました。
「いろんなトレーナー、いろんな同期からいろんな話を聞く中で、どんなアプローチで研究に取り組み、どんな考え方をすべきなのかを学びました」(野本さん)
野本さんは社会人生活に入ってからも、必ず自分自身の研究の時間を作りつつ、散歩をして思索するといった習慣を実践しています。そうした習慣が身に付いたこと、そして一からもの作りに取り組み、その成果を広く知らせていくというアプローチを実践できたことなど、いろいろな面でSecHack365の一年間が大きな糧になっているそうです。
その経験を生かし、今度はトレーニーを支える立場から、よりよいもの作りを手助けしようと、毎年複数人のアシスタントがSecHack365をサポートしています。
ただ、問題に直面するたびにアシスタントが代わりに解決してあげてはトレーニー自身の成長につながりません。かといって、獅子を崖に突き落とす方式では行き詰まりを脱却できないかもしれません。そのバランスをいかに取るかを考えながら、一年間のプログラムに伴走しているそうです。
アシスタントはある意味、自らももの作りの過程で躓き、悩んだ経験を持つ、トレーニーの同志です。「トレーニーと近い距離で、上からではなく対話目線で彼らが次に進めるよう支援してもらえればと思います」(井上博之トレーナー)
幅広い人たちとアイデアを交換し、連携することでこれからの課題解決を
こうして半日間、さまざまな形で自分たちの興味ある事柄を発表し、コミュニケーションを通して刺激を得たSecHack365 Returns 2024。最後の挨拶では、NICTの矢野 博之理事が次のように呼びかけました。
「我々が学生だった頃は、先生が問題を与えてくれ、それに対する回答もわかっていました。しかし皆さんをはじめとするこれからの世代では、問題をまず見つけ、それに対する回答も見つけていかなければいけません」(矢野氏)
しかも世の中が複雑化した今、その課題解決は、ただ一人の天才がいればできるものではないといいます。
矢野氏は、「文系も含め、自分の専門分野以外の幅広い人たちと皆で連携することによってはじめて社会課題が解決でき、世の中がよくなることを実感できるのではないでしょうか。そのための場としてSecHack365を、そしてReturnsを活用いただければと思います」と述べ、トレーナーはもちろん、年度を越えてトレーニー同志、そしてそれを取り巻く企業やコミュニティの人々とつながり、活動し続けていってほしいと呼びかけました。
SecHack365というプログラム自体には一年間という期間が設けられています。しかし、そこで身に付いた経験とつながりは、SecHack365 Returnsも含め、さまざまな場面でこの先もずっと役に立つに違いありません。
