SecHack365 2025 / Report 2nd Event WeekReport 2nd Event Week
第2回イベント(2025年8月1日~3日)
自分のアイデアを見せ、他人のアイデアを見ることを楽しんだ二泊三日
1年365日をかけて、セキュリティに関連する「何か」を作り出していくSecHack365では、ゴールに向け、日々オンライン上でコミュニケーションを取るだけでなく、トレーニーとトレーナー、アシスタントが一堂に会する「オフラインイベント」が設けられています。
8月1日から3日にかけ、二泊三日で都内で行われた「第2回オフラインイベント」では、まず自分が何をやりたいのかをプレゼンする「展示」を中心に、コースごとにトレーナーやアシスタントと対話しながらプロジェクトを掘り下げていく「コースワーク」やいくつかの講演、そしてトレーナーが企画した「縁日」を織り交ぜたカリキュラムを通して、アイデアを深め、フィードバックから新たな視点を得ていきました。
SecHack365のプログラムには、めいめいに作ったモノを持ち寄り、「これ、いいね」「こんなのはどう?」と会話を交わし、より良いものへ高めていくきっかけとなる「イベントデー」が用意されています。加えて、豊富な知見を持つトレーナーや、自身も同じようにモノづくりの過程で試行錯誤した経験を持つアシスタントも、背中を押したり、引っ張ったりしながら365日を歩いて行きます。
2025年度は、のべ277名の応募がありました。その中からトレーナーたちが真剣に悩んだ選考を経て40名がスタートラインに立ち、オンラインで開催された第1回イベントに臨みました。
アイデアを見せることで得られた貴重なフィードバック
見せることを、そして見ることを楽しみましょう
第2回オフラインイベントは、横山 輝明トレーナーのこんな言葉に象徴される通り、トレーニーがそれぞれの問題意識や目標を発表し、他のトレーニーやトレーナー、アシスタントや見学者からの意見を受ける「展示」を中心に行われました。
トレーニーに用意されるのは長机一つとホワイトボード、そして一時間弱の時間です。事前に用意してきたチラシを印刷し、他の参加者に「何に取り組んでいるのか」「なぜこのテーマに取り組んでいるのか」「これによって何を実現したいのか」を説明していきます。手元の端末にデモ環境を用意し、プロトタイプを動かしながら質問に答えるトレーニーも目立ちました。
一日目に数回にわけて行われた展示を見ていくと、40人の中には似たような問題意識を持つトレーニーも多く、それぞれちょっとずつ異なる切り口で問題に取り組もうとしていることが浮かび上がってきました。
たとえば、私たちを脅かすサイバー脅威の多くが、既存のコンピュータアーキテクチャに存在する脆弱性に起因することは明らかです。それらを後付けで改善するのではなく、新たによりよいアーキテクチャを作り出す方がベターではないか、というアイデアが複数見られました。
もちろん、大枠は共通でも、着目点やアプローチが少しずつ異なっているのが興味深いところです。大堀 杏夏さん(開発駆動コース川合ゼミ)は、最初から特定の命令で守る「セキュリティ特化命令CPUアーキテクチャ」で不正な振る舞いを検知できないかと考え、榎本 舷希さん(開発駆動コース川合ゼミ)はサンドボックス機構を備えた「セキュアなOS」の実装に取り組んでいます。他にも、Rustでコンパイラやマイクロカーネルを実装することで、初めから安全な環境を作り出せないかーーというアイデアが紹介されていました。
また、今や誰にとっても身近になった「SNS」を安心して使える仕組み作りに取り組もうとするトレーニーも複数いました。LLMで投稿内容を精査し、「身バレ」や「炎上」を防ぐというアイデアが複数展示され、「例年、似通ったアイデアが出ることはよくあることだから、ぜひお互いに情報交換し、差分は何かを調べてみるといいのでは」とフィードバックを受けていました。
一人でもくもくコツコツとアイデアを形にしていくのは大事なことですが、このようにその内容を多くの人に見せ、フィードバックを受けることも同じくらい大切です。第2回イベントの展示を通して、トレーニーはそのことを痛感したのではないでしょうか。
第2回イベントには、トレーナーの他、セキュリティ業界で実際に働く社会人や研究者も見学に訪れていました。情報危機管理コンテストに参加し、インシデント対応にまつわる工数の多さを実感したことをきっかけに「SOCアナリスト補助ツール」の作成に取り組んでいる森悠 仁さん(学習駆動コース社会実装ゼミ)は、実際に火事場を経験している専門家から、過検知・誤検知の扱いやSOC担当者のスキルの違いに関してガチのコメントを受け、休憩を挟む間もなく真剣に意見を交換していました。
また、1,000行で動作するデコンパイラの自作に取り組み、さらにその経緯を同人誌にまとめて技術書典で頒布する目標を立てている齊藤 遼太さん(学習駆動コース坂井ゼミ)には、国内最大のCTF「SECCON」にも携わる花田 智洋トレーナーから「せっかくだから、SECCONのワークショップで『デコンパイラ自作ゼミ』のような形で成果を紹介してみては」とスカウトを受けていたようです。
この経験を経て、二日目に行われたコースワークや、三日目に行われたトレーナーとの一対一での相談会では、「ビジョンが固まっていないところがあり、うまく説明できなかった」「この方法ではこんな抜け道があるよという指摘を受け、改善の必要性を感じた」、そして「作った後にどうするのか、どう社会展開していくのかに対する答えが曖昧だった」といった声が漏れ聞こえ、貴重なフィードバックを受けてさらにブラッシュアップしたい、という声が上がっていました。
大学院生は別として、こうした形でプレゼンを行い、自分のアイデアを説明していく体験はトレーニーたちにとっておそらく初めてのことでしょう。他のトレーニーの姿も参考に、プレゼン方法や資料の作り方、準備物について、「あれを持ってくれば良かった」といった学びも得たようです。
作ったモノはゴールではなくむしろ始まり、繰り返しぶつけ、改善を
講演を行った笠間 貴弘氏(NICTサイバーセキュリティ研究所サイバーセキュリティ研究室室長)は、「SecHackでは、ポスター展示やデモでいろいろな人と話す機会が多いでしょう。その中で、自分の関係ないテーマに興味を持つことが大事なことだと思います」と述べました。今回の展示は、まさにそんな場として機能したようです
NICT自体、暗号などの基礎的な部分からさまざまな角度のサイバー攻撃可視化・分析システム、あるいはルータなどのIoT機器のセキュリティなど、幅広い領域で研究を進めています。そんな背景を踏まえて笠間氏はトレーニーに向け「セキュリティはどの分野にも関係しているため、テーマは無限です。その中で勘所をうまく見つけ、本当に何をやるべきかを見出すため、他人のテーマに興味を持つことが大事なのではないかと思います」とアドバイスしていました。
なお、笠間氏が5Gのセキュリティ検証基盤やウェアラブルデバイスでの脈拍データ偽造にまつわる研究を紹介したことから、講演後には早速関連するテーマを考えているトレーニーが飛んでいき、詳しく質問する場面もありました。
最近はYouTuberとしての活動に力を入れている久保田 達也トレーナーは、サンリオや東急ハンズ、東京ディズニーランドといったこれまで携わった主なプロジェクトを紹介し、「会議からはアイデアは生まれません。こんなのがあったらいいな、というものをぼんやり考えていく、イメージする力が重要です」とアドバイスしました。まずは自分一人で考え、その後でそれを持ち寄ってブレストしたり、あるいは最近めざましく進化しているAIにぶつけることで、どんどん具体化できていくといいます。
いざアイデアを他人にぶつけてみると、自分ではいかに素晴らしいアイデアだと思っていても、鋭い指摘を受けたり、先行する素晴らしいアイデアがあったりで、軌道修正を強いられることは珍しくありません。むしろその方が当たり前と言ってもいいでしょう。
SecHack365の2018年度修了生で、今は慶応大学大学院で学びつつNICTセキュリティ基盤研究室の研究員でもある赤間 滉星さんは、自分がトレーニーだった時には「基本的には、アイデアを説明し、実装してはリジェクトされることを延々と繰り返していました」と振り返りました。
この経験を通して、果たしてこのテーマは意味があるものなのか、適切なのかをひたすら考え続ける「深い反芻思考」が身に付いたそうです。「食事中も、お風呂に入っているときも、意識して生活の至るところで頭の中でコロコロ転がし続けることで、たまにコロッと回答が見つかったりします」と、諦めず考え続けることが重要だと述べました。
一方で時には、潔く諦めることも必要です。たとえ実装が進み、コードが完成してどんなにもったいなくても、「このテーマでは絶対にだめだ」と思い至ったならば捨てることも必要だと言います。「作って、見せて、捨てるくらいの気持ちで進めるのがいいのではないでしょうか。僕自身も半年間で三回作り直しをした覚えがあります」(赤間さん)
なお、横山トレーナーとしては決して赤間さんのアイデアをむげにリジェクトしていたつもりはないそうです。「高専三年生が相手でしたが、ただわからないところをわからないと真剣にぶつけていっただけです」と言います。
横山トレーナーはミニ講演の中で、「昔は作ることがゴールでした。しかし今は、AIやフレームワークが整い、作ること自体は簡単になっています。これによってゴールの意味がガラッと変わり、作ってからが大変な時代になっています」とも述べています。
作ったモノはゴールではなく、むしろスタートです。それを他人や社会に投げかけてみると、自分ではできると思っていたにもかかわらず壁にぶつかる体験がこの先やってきます。そこをいかに乗り越え、更新し続けるかが重要です。
横山トレーナーは「だから一緒にやるんです。互いに意見を言い、言われましょう」と語り、何度も試し、社会にノックし続けて欲しいと呼び掛けました。これこそ、学校でも習わないSecHack365ならではのやり方と言えるでしょう。
共通の興味や関心を持つトレーニー同士がつながりを深める場に
オフラインイベントは、佳山 こうせつトレーナーが言うとおり、成長と同時に新しい友人を作る場でもあります。
もともと共通の関心を持つトレーニー同士が顔を合わせる場ということもあり、最初のオリエンテーションの前からあちこちで話に花が咲いていました。お土産として地元のお菓子を持参して同じコースのメンバーと交換しているテーブルがあるかと思えば、会場に到着する早々にパソコンを開き、自分の成果物を互いに見せ合うテーブルがある、という具合です。
二泊三日のオフラインイベントの間、それぞれのマンダラートを見てコメントをしたり、コースワークなどで絆を深めていきました。果てはVRデバイスやルービックキューブ、趣味の楽器を持ち込んだりと、気付くとまるで放課後か学園祭のような雰囲気となっていきました。
休憩の間の話題もSecHack365ならではでした。特に、低レイヤに興味を持つトレーニーの間ではmain関数の扱いや割り込み処理とロックの関係、あるいはLinuxコンテナといった話題で盛り上がっていたようです。エレベーターに乗ったら乗ったで、RustやGoに関する会話が耳に入ってくるような状況でした。
二日目の夜のフリートークでは、年齢が近く、過去に同じようにモノづくりに取り組む一年間を経験したアシスタントと、テーマごとに分かれてフランクに話し合う交流の時間が設けられました。
「食べ物」「東京観光」といった気楽な話題も用意されましたが、やはり多くのトレーニーにとって切実なテーマは進学・研究や就職のようです。「どのように研究テーマを探すか」「インターン先の選び方は」「資格は評価されるのか」といった具体的に掘り下げた会話が、退室時間ギリギリまで続いていました。なお、「エディター」という、物議を醸すに違いないと思われたテーブルでは、想像に反して終始和やかな意見交換が繰り広げられました。
長期間モノづくりに取り組むには健康な体も大事……ということで、朝一番に佳山トレーナーの引率で近所の「散歩」も行われるのも、SecHack365オフラインイベントの恒例行事です。
佳山トレーナーは「習慣化」の講義を担当しています。何かをアウトプットすることで、新たなコミュニケーションとインプットが生まれ、それが「楽しい」と感じられるようになれば、自ずと継続できるようになるわけです。
ただ、その最初の一歩はどうすればいいのでしょう。人間である以上、なかなかやる気が生まれず、集中力を作るゾーンに入れない、ということもあるはずです。
そのゾーンに入るための方法の例として、「この動作をしたら集中する」という具合にルーティンを決めること、ほどよいストレスがかかっているときに一番高いパフォーマンスが出ることを理解し、ストレスを感じる要因をあえて少しずつ意識すること、そして、とにかく小さくても一歩走り出すことを挙げました。
「長距離走が苦手な人でも、5キロや1キロは無理でも、500メートルならばいけるかもしれません。初めの500メートルならいけると思って走り始めるとモチベーションが高まり、どんどん先へ走っていくことができます。やる前にやる気なんて生まれません。やる気というのは、やっていくと生まれるものなんです」(佳山トレーナー)
トレーナー自身がアイデアや知見を見せる「縁日」も
今回はトレーニーによる展示だけでなく、トレーナーが自分の取り組みや知見をワークショップ形式で紹介する「縁日」も行われました。
前日のトレーニーと同じように、今度はトレーナーが長机を前にプレゼンを行い、自らが今夢中になって取り組んでいる独自言語やバイナリプログラミングなどの成果を見せてフィードバックを募っていました。
また別室では、手を動かす企画として、竹迫 良範トレーナーの指導の下でBadUSBの動作原理を理解し、オリジナルのコマンドを動作させる「BadUSBを作ってみよう」や、佐藤 公信トレーナーによる「ペンテスト入門」が行われ、トレーニーが熱心に取り組んでいました。
ペンテスト入門は、演習用サーバ内に用意された脆弱性を見つけ出していくワークショップです。実は、最初の説明で共有されたスプレッドシートに一つ、仕掛けがありました。あえて、画面に表示されたURLと実際のリンク先を別のものにしておき、最初のログイン画面にアクセスできないーーという参加者が発生したのです。
「見た目のURLとリンク先が実は異なることがあります。こうやってフィッシング詐欺にだまされることがあるので注意してくださいね」(佐藤トレーナー)
また、北條 孝佳トレーナーによる講義も踏まえつつ、「こうした検証を行う際には第三者に攻撃を行ってはいけません。不正アクセス禁止法をはじめとする法律を理解し、守りながらやりましょう」と呼び掛けていました。
個人的に縁日の中で刺さった内容が、花田トレーナーによるプロジェクト管理のワークショップです。
「進捗はどうですか」と聞かれても、そもそもの計画がなければ答えようがありません。ですから、ざっくりスケジュールを立てることが大切だと花田トレーナーは言います。ただ、「粒度を細かくし、完璧な計画を立てるところに力を注ぎすぎると、管理のための管理になってしまい、失敗してしまいます」
また、一度計画を立てても、バグ発覚や仕様変更、手戻りといった想定外の出来事が起こります。そうしたリスク自体は避けられません。ですから、「何をしたらどうなったか」「どんな理由でこうしたのか」といったメモや記録を残していくことも、プロジェクト管理においては重要だとアドバイスしていました。
時間が足りない? 次回に向けいっそうの進歩を
こうして盛りだくさんのプログラムで進められた第2回オフラインイベント。最後に、この二泊三日を振り返り、足りなかった点や良かった点を踏まえ、9月に開催される第3回オフラインイベントに向けて何を進めるかを考えようと呼び掛け、すべてのプログラムを終えました。
早速、自分のアイデアをよりわかりやすく伝えるために映える動画を作ったり、よく聞かれる質問をQ&A集としてまとめておこうかな、といった具体的なアイデアが聞こえてきた一方で、「このままでは時間が足りない、ヤバいヤバい」という声も聞こえてきます。SecHackならぬ「四苦八苦」が待っているかもしれませんが、まさに「0を1にした」(横山トレーナー)と言える3日間を経て、さらなる進歩が期待できそうです。
(取材・ライター 高橋睦美)
