セキュリティミニキャンプin沖縄の感想
先日参加したコードブルーの際に知って、その場で応募した。
応募の際に多少技術的な知識を問われた。例えば、パケットキャプチャツールを使ったことがあるか、ある障害事例の際にどういうコマンドを使ってどのファイルを調べるか、などである。
ググって調べた知識と、WEPのパスワードを解析を昔やったことがあったので、そのことを書いたら選考には受かった。
1泊2日の間で合計15時間くらいの講義と演習が行われた。
内容に入る前にまず、IPAをはじめとする主催、協賛、後援して下さった方々に感謝の意を述べたいです。本当にありがとうございました。わざわざ土日を使ってメディアや様々な関係者の方々がお越しになっていました。
このような機会でなければセキュリティについて体系的、実践的に学べる機会は僕のような非情報系の学生には、まずないと思います。
講座の内容については以下の通り。
セキュリティ基礎
セキュリティの本質とは?また、セキュリティエンジニアの心構えについて。
ログ解析
あるサーバーが攻撃を受け、サービス提供の支障が生じた際にsshでログインし各種コマンドを駆使してログを解析し影響範囲やサービス停止の原因を調べるというもの。
知らないコマンドが結構あって、かなり勉強になった。ログ解析は初めてやったのだが、手順を追って、時間を絞ってログを見て、集めた情報から攻撃者の行動を解析する過程はかなり楽しかった。
疑似スマートホームのセキュリティ検証で学ぶIoTセキュリティ基礎
ネットワーク上に疑似的に構築されたスマートホームが用意されてました。例えば、alexaで部屋の照明やエアコンを操作できたり、部屋に飼っているゴリラにアマゾンダッシュボタンでバナナを与えたり(笑)という感じでした。
これらのIoT機器のネットワークのパケットをキャプチャして、パスワードを解析したり、ひたすら餌を与えてゴリラを巨大化させたり。非常に楽しかったです。
グループで考えるモノヅクリ×セキュリティ
グループワークでイノベーションと同時に起こるセキュリティ問題について議論しました。これまで日本では情報漏洩系の事案が多かったのですが、海外では最近のトレンドとしては障害系の事案が多かったそうです。海外で起こることは、日本でも起こる。つまり、障害系の対策について勉強していくといいのでは?という感じ。
ディスカッションでは自動運転車の自爆テロを防ぐにはドローンみたいな、GPS情報を利用した特定区域への侵入は不可能な機能を搭載するといいんじゃないか、なんてことを考えました。
セキュリティ対策演習
hardening(堅牢化)というイベントもあるそうですが、それの簡易版をやりました。与えらえた脆弱なECサイトに講師の方が攻撃を仕掛けてくるので、それをチームで対策していく。自分は初めてだったこともあり、何から手をつけていいのか分からなかった。チームに1人ハードニング経験者がいたので、とても助かった。
これも競技性があって楽しかった。講師の方はなんと大学の先輩にあたる人でした。
↓この画像は最終結果ではなく、途中経過ですが。チーム4でした。数値はECサイトの売り上げ。
とりあえずはこんな感じで締めておきます。また、細かいことは更新していきます。それでは。