かすてらすねお。(hateblo)

見聞録的ななにか。

セキュリティ・キャンプ2013報告

 

セキュリティ・キャンプ中央大会2013にWebセキュリティ・クラスとして参加しました!

まず初めに、セキュキャンの企画・準備と実行に携わったすべての方々、キャンプ生とチューター、講師の間で交流しやすい環境を作り、コミュニティに迎え入れてくださった皆様に感謝。

Q. 気分はどうですか?


HEYEAYEAYEA - YouTube

 ヘーwwwwwイェーwwwwwイェーwwwwwイェイェーwww

 

Q. 誰向けとしての記事ですか?

セキュキャンに興味がある人、セキュキャンに参加・協力した方々、suneoが何をしているのか気になる人。

Q. 前置きしたいことがあるようですね?

今まで在籍してきた場所や普段の活動から、ボクは技術系の人として見られていると思います。しかしその一方で、技術と人間の関係性を社会現象やメディアやコミュニティといった視点から考えることが好きな人文社会系っぽい人でもあります。そういう意味ではセキュキャンは格好の観察対象でしたし、独特の楽しみ方を味わうことが出来ました。

Q. 例えばどこに注目していたのですか?

ひとつはコミュニティ形成です。キャンプ開始前はグループウェアを利用して連絡やコミュニケーションを行っていましたが、キャンプ開始後はTwitterで解けあい初め、終了後はFacebookでの解けあいが急速に進みました。

Q. それで何が分かるのですか?

キャンプ中に、少し前のセキュキャンではメーリングリストを作ってコミュニティの維持を図ったというお話を聞きました。それを聞いて初めて、メーリングリストはただの連絡網ではなく現在のGoogleグループやSNS上に展開されるコミュニティと同等の機能を果たしていたことに気が付きました。

あるサービスについて理解するとき、1.機能に注目するアプローチと2.使用場面(文脈)に注目するアプローチが考えられます。1は2に先立つ理解ですが、理想的な理解は1から2へと進むことと考えてよいでしょう。キャンプを経てFacebookを使い出して間もない人や慣れない人は、その問題にメタになるためのヒントとなりうるでしょう。

キャンプに参加した人は、キャンプ前と現在でグループウェア上の人々に対する印象がどのように変化し、そのきっかけとは何か、きっかけのきっかけらしさとは何か、今回手にしたきっかけを全く別のコミュニティでどのように活かせるか、などを振り返って考えてみると、非常に面白いのではないでしょうか。

Q. 前置き長くないですか?

ごめんなさい、キャンプの話をしないといけませんでしたね。

大まかにこの三つ。

  1. 前置きみたいな事でわっほい
  2. セキュリティの印象がとっつきやすいものになった
  3. レイヤは違えど、どの分野も楽しい!ヾ(@⌒ー⌒@)ノ

 Q. 1はもういいですから、2の「とっつきやす」くなる前の印象とは何ですか?

セキュキャンに来る前は、開発者がセキュリティについて高い意識を持つ必要はあんまりない、という考え方をしていました。普段はWebアプリケーションを作るためのフレームワークスクリプト言語の勉強をしていますが、セキュリティを守ることは「最小限の操作でセキュリティを守る機能を使い、開発者はアプリを開発することに集中すればよい」ぐらいの印象でした。それはフレームワークとしての目的を満たしていますが、ボク自信のセキュリティに対する問題意識を低める要因でした。

その状態からセキュリティを勉強することについては、正直何をどう勉強すればいいのか、その学習に明確なゴールは存在するのかという学習方法と学習量に関する不安が阻んでいました。

Q. その状態からどのように「とっつきやす」くなりましたか?

ひとつは専門講師の方々のカジュアルさではないでしょうか。見かけに気を取られているのかもしれませんが、「こんな堅くない感じの人(失敬!)がWebセキュリティのことやってんだ!」と思った瞬間に参加しやすい世界のように感じられ、見方が変わりました。同様に、チューターさん達や実行委員の花田さん、まっちゃだいふくさんのノリは安心感を与えてくださり、柔らかい姿勢でセキュリティに向き合うことができました。

Q. 3について違うレイヤに興味・関心を持った瞬間とは?

ボクはWebセキュリティ・クラスで、Web・ネットワーク・バイナリ・OSの中では最上層です。普段やっていることもWebです。従って下層の技術を知る機会はほとんどなく、大まかにアーキテクチャは理解しているとはいえ謎の領域でした。

しかし、グループワークやCTFその他の場面で自分達の専門領域について真面目に話し合う姿は、すっっっっごく楽しそうに見えました。特に、3日目のチューター講義で @ntddk さんがWindows解析について語るひたむきな姿には半分惚れかけました。憧れと表現するのが正解でしょう。

Webセキュリティの業界で活躍する講師の方々や、知識・技術を持って課題に取り組む同じWebクラスの友人達に限らず、違うレイヤの人々とも、そこに追いついてみたい、追い抜きたい、競り合いたいと強く思った次第です。

Q. これから違うレイヤの勉強をする予定などは?

献本で坂井弘亮氏の「12ステップで作る組込みOS自作入門」を頂きました。カットシステムさん、ありがとうございます!この本は最小限のコストでOSを自作しようというコンセプトで書かれているので、低レイヤの入り口にはもってこいかもしれません。夏休みのうちに作りたいな٩(๑>◡<๑)۶

12ステップで作る組込みOS自作入門

12ステップで作る組込みOS自作入門

あれこれ一気には無理なので、まずはOSから、ですかね。

Q. Webのレイヤではどうするの?というかWebはどうだったの?

Webセキュリティクラスの専門講義では、node.jsで実装された簡単なSNSのWebアプリケーションの脆弱性を探して修正する実習に取り組みました。node.jsは初見で不安でしたがJavaScriptは読めたので「えっ、こんな風にサーバとアプリが実装できるんだ!?」と驚きました。

配属研究室はWebベースのデータマイニングが専門なので、まず基盤となるWebアプリケーションの作成をしなければならないなと思っていたので、node.jsを勉強してみようと思います。もちろん、Webアプリの作成過程で専門講義で教わったことを振り返る事は何度もあると思います。同期の友人にもWebセキュリティのアドバイスをして、Webセキュリティに関心を持ってほしいな、と思います。

Q. 「周りにセキュリティ好きな人を増やしたい」って言ってましたよね?

もちろんです。静岡大学情報学部の学生は良くも悪くも大人しいので、とりあえずはCTFやJOIやろうよ!って呼びかけるところから始めようかなと思います。あと後輩に「セキュキャン参加しない?」って今日早速言ってみました。仲間がいないので心許ないけれど、地道にやってみようと思います。

Q. あと何か自由にどうぞ

・献本とノベルティ

献本として、カットシステム社様から「12ステップで作る組込みOS自作入門」(坂井弘亮氏)と技術評論社様から「JavaScriptライブラリ実践活用」と「データベースエンジニア養成読本」(雑誌)を頂きました。金銭面で余裕のない学生には非常に有難いお心遣いです。大切に読ませていただきます。

12ステップで作る組込みOS自作入門

12ステップで作る組込みOS自作入門

JavaScript ライブラリ実践活用〔厳選111〕 (Software Design plus)

JavaScript ライブラリ実践活用〔厳選111〕 (Software Design plus)

データベースエンジニア養成読本 [DBを自由自在に活用するための知識とノウハウ満載!] (Software Design plus)

データベースエンジニア養成読本 [DBを自由自在に活用するための知識とノウハウ満載!] (Software Design plus)

もらいもの全体はこんな感じ。ミク可愛いですね。ノート類有難いです。

・おしゃべり

想像以上に休憩できる時間が短かったので、もっと会話できる時間が欲しかったです。櫛田くん、草野くん、三木(8/20訂正)くん、おしゃべりしてくれてありがとう!今回おしゃべりできなかった人達とは、またセキュリティ関連のイベントや勉強会などでお会いするかもしれません。余裕があったら、セキュキャンの事を思い出しながらおしゃべりがしたいです!

・妨害コンテンツ

CTFの妨害コンテンツは卑怯過ぎですwww ただでさえ集中できない性格なので問題に詰まると「あ~うなぎパイだ~^」などと頭の疲れを癒していました(?)そう!今回浜松市民ってほぼボクだけじゃないですか?うなぎ市民の前でアレ流されると歌いたくなってたまりませんでしたwww

・勉強会

セキュキャン実行委員の園田さんが関わってらっしゃる?第二回セキュリティと機械学習勉強会@静岡に参加予定です。ソフトウェア講師の愛甲さんも講師として参加されるようなので激しく気になりますね!

あと、先述の通りボクは浜松市民ですので、行動範囲は名古屋~静岡あたりです。Hamamatsu.rb(浜松Rubyの会)も暫く参加していないので、覗いてみようと思います。近辺の人いないかなぁ…。

Q. 気が済みましたか?

YEAHYEAYEAYEAYEA!!!! …とまぁ、色々な面で刺激的なイベントでした。セキュキャンの強結合コミュニティ、またセキュリティの世界に与する人間になれればと思いまして、ひとまずは報告の締めとさせていただきます。