セキュリティ・ミニキャンプ オンライン 2022に参加したので、その前に参加したセキュリティ・ミニキャンプ in 山梨 2022と一緒に記録を書いておきます。
セキュリティ・ミニキャンプ in 山梨 2022
応募課題があり、参加したい動機や学んだことをどうするかなどを書きました。
私の場合は、セキュリティに最近興味が出たことやセキュリティ・キャンプを知ったときは年齢制限で応募すらできなかったので参加してみたいなどのことを書いたと思います。
講義は9/23(金)で三村さんの午前の講義では『ディスクに残る証跡について調べよう』という題でファイルシステムの構造体の仕組みやファイルを消したときにどうなるかをFATをベースに学びました。
内容としては入門的なものでしたが、ファイルシステムの概要を理解することが出来ました。
芦田さんの午後の講義では、ブロックチェーンを色々いじってみて出力を見ると行った感じでした。
事前課題でブロックチェーンの上に乗っている情報について調べる課題があったのですが、詳しい内部の仕組みについて書いている日本語の文献が少なくて、英語の文献から探す必要があり検索力を求められました。しかし自分で調べたおかげでどのような情報がどのようにチェーン上に載っているかをなんとなく知ることが出来ました。
参加してから日にちが経っていて忘れた部分も多いので山梨の回についてはこれまでにしてオンラインの回について振り返ります。
セキュリティ・ミニキャンプ オンライン 2022
今回のキャンプに参加した主なきっかけはkubernetesについて知りたかったのと、前回の山梨のキャンプと比べてもっとセキュリティ要素が多い授業があるのが面白そうだと思ったからです。
こちらも応募課題がありました。上とだいたい似たような志望動機などを書きました。
また、課題を4つから2つ以上提出するということでAI以外の3つの課題を解いて提出しました。コンテナの課題はコンテナの仕組みや歴史などについてまとめる課題。
IoTの課題はサイドチャネル攻撃の例としてmeltdown脆弱性について調べてまとめました。Webとクラウドの課題はSSRFについてとAWS上にそれがあるときの問題点についてまとめました。
提出してから数日後に連絡があって参加できることになりました。
今回のミニキャンプは梅内さんのコンテナの講義がテキストと課題ベースの講義になっていて、ミニキャンプ講義日前に4回分の課題がありました。ミニキャンプで初めての取り組みだそうですが、テキストがとても充実していて勉強になりました。
また、2日目終了後に懇親会がありNonpiのフードデリバリーサービスを利用したご飯をいただくことが出来たり、グループワークとしてミニキャンプが終わったあとに取り組むことについてをグループで話し合うといった時間があるというように山梨のミニキャンプと比べて講義の日程が多い分いろいろな要素が追加されていました。
また、一番の大きな追加要素として、講義最終日に終了問題と題して講義に関連した問題のCTFがありました。景品があり、1位はアマギフとパーカー2,3位はパーカー,4-6位はTシャツでした。私は4位だったのでTシャツをもらえることになりました。やったね。
各講義の内容をまとめて書いておきます。(あまり詳しい内容は書けないので概要のみです)
『特別講義(倫理)~ハッカーの倫理~』 北條 孝佳 氏
気をつけるべき倫理の内容についてわかりやすく解説してもらう講義でした。
素人には法律は難しいです笑。
『AIを騙すテクニックと対策を学ぼう ~敵対的サンプル入門~』
高江洲 勲 氏 三井物産セキュアディレクション株式会社
google Colabtoryを使った講義でした。画像認識などのAIに対しても攻撃が可能であるということは知らなかったので勉強になりました。
『シミュレーションを用いたIoT機器の解析体験』 土井 康平 氏 電気通信大学 情報学専攻在学
chipwhisperを使った講義でした。こちらの内容も完全には理解できたとは言えませんが、暗号化していても消費電力などから内容が漏れる可能性があるのは危険だなと感じました。
『WebとCloudにおけるセキュリティの基礎と実践』 森岡 優太 氏 情報科学専門学校在学
とにかく内容盛りだくさんの授業でした。事前課題から内容が多めだなとは思いましたが、講義は絶対に3時間の内容ではなかったです笑。何ならWebセキュリティとクラウドセキュリティそれぞれで3時間でもいいぐらいでした。内容としてはWebセキュリティはOwasp Juice Shopという脆弱性がたくさんあるサイト(100個)を使いました。
クラウドセキュリティはAWSを利用したサービスに対する攻撃に対して気をつけるべき点などを学びました。実習型の講義でとても楽しかったです。
『コンテナ技術に着目したクラウドネイティブセキュリティ入門』 梅内 翼 氏 株式会社サイバーエージェント
上でも軽く述べましたが、テキストベースの講義でした。毎回盛りだくさんの内容でした。最初が環境構築、1週目はDockerfileの書き方やkubectlのYamlマニフェストの書き方やkubectlの使い方などを学びました。
2週目はCI・CDツールについて学びました。GitHub Actionsやcircle ciなどは触ったことがありましたが、ArgoCD などのGitOpsの CD専用ツールは初めて触りました。
3週目はコンテナの脆弱性スキャンツールなどについて学びました。コンテナの仕組みについての理解も深まりました。
4週目はPolicy as Codeについて学びました。具体的にはOpen Policy Agent(OPA)の提供しているGatekeeperというkubernetes用のツールを使ったセキュリティポリシーの管理について学びました。gatekeeperを使うためにRegoという言語についても学びました。
毎週毎週内容が濃くて楽しかったです。去年度は普通の講義形式だったようですが、講義時間内だとこんなにいろいろなことを試せないと思うので、テキストベースの講義で本当に良かったです。
最後になりましたが、開催してくださったIPAやセキュリティ・キャンプ協議会事務局のかたや講義してくださった先生方、ありがとうございました。
