Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2017-12-16

[]大人の人材育成を考える

☆このエントリーは#ssmjp Advent Calendar 2017の16日分です。

14年もやってるセキュリティ・キャンプだけど、大人の人にはいつも「受けたい」「受けたい」言われてます。ありがとうございます。大人を羨ましがらせるためにやってます(笑)。中身には自信あります。ってもちろんあっしだけがプロデュースしてるわけじゃなくて、優秀なプロデューサーたち、素晴らしい講師陣が居てこそのあのラインナップなんですけどね。ちなみに今年のラインナップはこちらです。

こないだssmjp+すみだセキュリティで喋る機会をもらったとき、さんざそのあたりを自慢しまくりました(笑)

そうしたらQAで大人はほったらかしかよ?という泣きが入ったので、大人のみなさんはカネにものを言わせてキャンプ実施協議会のスポンサーになっていただくという手があります、とちゃっかりご案内させていただいたんですけどね(笑)。スポンサーさんになられたら人数の上限ありますが全国大会の見学というノリで来て頂けるんですよ。見学ったってただの見学じゃなくて、普通に講習に参加できたりすることもある。これはなかなか大きな特典だとか思いますけどねヽ(´ー`)ノ。

年間スポンサー料は今のところ50万円ですよ。4泊5日すべてに複数人顔出せて50万円て格安だと思ったりするんですけどね(笑)。ってあまりにも安いんで値上げしよかな(笑)。

大人ってすでに良い機会をたくさん、自分で作ったり、お互いに提供しあったりしてますよね。参加も無料、実費のみってのが大多数でハードル全然高くないし。関東地方に住んでたら毎週のように何かしらの勉強会とかありますよね。セキュリティの勉強会に限ってもけっこうな数あるし。全国って見るとやや薄いところもありつつも拡がっていますよね。OWASPもセミナー活発だしいろんなチャプターできたし(Category:Japan - OWASP<秋田、福島、japan、関西、九州、名古屋、名取、沖縄、仙台)、関連?でWAS Forumがセミナーやることもあるね。あと良い具合にぶっ飛んでるShibuya.xssとかあるし。あとSecurity-JAWSってのもある。まっちゃ445もあるし江戸前もあるし。そしてもちろんすみだssmjpもあるしね。あとCTF for GIRLSあるね。肩が痛いとかハニポとかパケット読む会とかゼロから始めるのとかそういうのもあるよ。そうそう、たまにPHPカンファレンスでセキュリティやってたりもするよね。関東以外でもまっちゃ139もみじばりかたセキュ鉄大和SITWせきゅぽろ、せきゅぽろから派生してAttack and Defense愛甲しちゃう会とか、そして名古屋ね。関西だと最近じゃtktkもできる。総関西サイバーセキュリティLT大会(略称:総サイLT大会)というのもあるんだね。謎のセキュ蕎麦とかもある。セミナーって感じだけどミニキャンプで出かけていくこともある>各地

ワークショップだってSECCONの関係でbeginnersあるし。これも各地に飛んでる。さらに言えば学生なら、何ならその運営側、教える側に入るって手もある。教えることが一番勉強になるしね。キャンプも本格的に参加するなら先生になるのが一番ってのはあるんだけど(笑)。どうですか大人のみなさん。あとSECCONじゃ決勝戦やるときに毎回カンファレンスやってるね。それで思い出したけどキャンプにゃフォーラムってセミナーもあるよ。

そしてですよ。前述のWAS Forumがやってるhardeningというイベントに関わる強力なコミュニティもあるじゃないですか。コンテストにただスルッと出るだけじゃなく他のチームのやり方も振り返りで学べる機会もあるし、ミニ版の展開にいろんな形で絡むこともできる。ここってものすごい学びあるじゃないですか。しかもかなり実務的ですよ。社外のコネもできまくるしね。

学生なら白浜の情報危機管理コンテストってのもありますよね。審査員ずっとやらせてもらってますが、あれもシナリオが毎年すんごい良く出来てて、運営チームの和歌山大の学生さん達の練度も半端無い。和歌山大に入るか学生チームとして出場するか。いずれにしてもこれもすごい学びありますよね。まこれは学生じゃないと無理なんだけど(笑)。学生じゃ無いと無理なコンテストって言ったらより狭い(笑)千葉大しか無理なコンテストとかもありますね。学内CTFなんかもそうかな。

コンテストって言ったら、会津で毎年冬にやってるコンテスト神戸でやってるコンテストもあるね。

さらにさらに。今CTFって国内の団体、チームが主催するのすごく増えてますよね。CODE BLUEでBinja CTFをはじめとするさまざまなCTFが開催されて、クルマのハックとかもできちゃうわけだし、研鑽の機会めっちゃ増えてますよね。女性なら攻殻CTFもあるしね。オンラインのも増えてますし、そもそも国際大会のオンラインのヤツって週一以上あるんだよね。あー今週ちょっと時間あるなー何かCTFやってたら参加してみよーってノリで行けますよ。オンラインなら顔も見えないし惨敗したって誰も責めないし勝ったらむしろ賞賛されるし、ヘジテイトしてる場合じゃないですよ。SECCON2017オンライン予選は世界から4300人オーバー来てますよ。このビッグウェーブ乗らないんですか?乗るしか無いですよね(笑)。

あそうそう。オンラインと言えば常設のCTFってのもあるんだから、期間関係無くいつでも参加できちゃいますね(笑)。

んでもってこの他に年3で温泉カンファレンスがあるんすよ(温泉カンファレンス群:白浜湯沢道後)。まぁ最近倍率高いけどね。でも当たったら技術だけで無いコネ作りとか上のレイヤの議論とかしたいなら良い風呂と飯付きで行けちゃう。

学会だったらMWScupってのもありますよ。解析コンテスト。すごく生々しいデータにタッチできるし、発明のための職人性、感覚を得るためのベースもあるんですよ実は。しかるべき手順を踏めばちゃんとデータにもリーチできる。コンテストに出るだけじゃなくて普通に学会に発表する研究をしちゃうというのも手ですよね。

違う方向としてはバウンティプログラムってのもありますよね。主にWeb系の脆弱性を見つけて賞金稼いじゃうの。ハッカーワンとかバグクラウドとかそういうとこ探せばたくさんあるし、日本でも企業が単独でやってるの増えてきているし、サイボウズさんがたまにやる合宿なんてのもありますね。そういうのに参加したら恐ろしく学びがあるだけでなく、ひょっとすると賞金まで稼げちゃうんだよね。すごいことになってきましたよ。

おおっとそうだ。今年からNICTで始めたSecHack365も大人参加できるんだよね。ただし25才までですが。何か新しいモノを発明しちゃおう、とか研究しちゃおうってノリなので、普通の学習とはちょっと違う感じのプログラムだけど、どうぞごひいきに。

ってかこれだけ一杯催し物があって、溢れる意欲の命ずるままに参加してたらぶっちゃけ家庭とかヤバくないですか(笑)?言い換えればそれだけ機会はあるってことなんですよね。だから掴めば良い。自宅で参加できるのまであるんだからガンガンやっちゃえば良いじゃ無いですか。年数回は自分へのご褒美でオフラインのイベントに参加して、思う存分飲んだくれてセキュリティとかについて議論する。こんなリア充ライフが待ってますよ。

それだけ充実してたら、仮にあっしが、大人のセキュリティ・キャンプやりますって言ったってそんなの参加する暇とか無いですよね。わかりますわかります。他のイベントで忙しいもんね。泊まりの合宿とか無理に決まってるよね。まぁやんないけど(笑)。

というわけで大人のみなさん、自分の目の前に広がっている機会を無駄にせず、アンテナを張ってお小遣いに応じて参加しまくってください。それで物足りなくなったら、もっとじっくり学びたくなったら学校がやってる大人のためのプログラムに参加してみるというのもありますかね(CySecenPiT Pro)。あとはCODE BLUEとかPacSecに行っちゃうとかね。そのついでにAVTokyoにも来てねヽ(´ー`)ノ。さらに物足りない向きはおカネを会社に出させて商用サービス使いましょうよ。人手不足なんだからそれを楯にしておカネ引っ張りましょうヽ(´ー`)ノGOOD LUCK!

最後に一つだけ、そんなに勉強してどうするの?と聞いておきます(笑)。キャリアアップとか知的好奇心とか、動機はいろいろあると思いますが、そこは大人なので目的を持って欲しいですね。そもそもどういうキャリアを歩みたいのか、そのために何が足りてないのか、知的好奇心を満たしてそれをどうするのか、まさに何らかのアウトプット出して知的な便秘と言われないように目標を定めて欲しいと思いますよ。言われずともやっとる!という方もいらっしゃると思いますが、まぁ老婆心から言ってますのでやってる人は読み飛ばしてくださいね(笑)。


※この文章はまだ追記するかもしれません。ウチのこのプログラムが言及されてないとかどゆこと?とか、あのプログラムや勉強会が抜けてる、というのをお気づきの方はコメントいただけるとありがたいです。

2017-12-08

[]リアルなリテラシー

★これは「子供/保護者/学校」×「情報リテラシー」 Advent Calendar 2017の8日目の投稿です。

情報リテラシーを教える、ということは本当に難しいっすよね。まぁそもそも「教える」って言葉が相応しいとも思えない。怪しむ感覚を怪しみすぎないように備えて欲しいという感じだけど、体得して欲しい、というのに近い。

体得してもらうには疑似体験が効果的だと思いますが、トラウマになるような体験させてもアレなので適度に刺激的で適度に安全というのが良いでしょう。以前頼まれて香川で小学校の課外授業的な場で20分×2のコマを担当したことあるんですが、そこで用意したのが二つのリンクが貼られたWebページで、どちらをクリックしても5万円の請求画面に行く、というもの(笑)。「さーやってみてー」と言う間もなくがしがしクリックして5万円請求されまくって「せんせーなんかこんなん出たけどおれ貯金5万円も無いよー」「お年玉使わないとダメかなー」とかいう若干阿鼻叫喚なレスであふれました(笑)。そこで対応を考えさせたら、ちゃんと「大人に相談する」という良い感じのソリューションが出てきて安心したわけです。

たとえば添付ファイルをダブルクリックすることがダメだよ、という話を染みこませたいならば、どの添付ファイルならダブルクリックしても良いですか?といくつかの怪しげなメールと添付ファイルを提示して、その中に学校からのお知らせメールと添付ファイルというのを紛れ込ませておく。添付ファイルを開いてしまった後も、ただ単に「開くと(管理者から)怒られる」というような結びつきにするのではなく、「あなたのデータを見られなくしました」というパスワード付きスクリーンセーバーを発動させて実際に痛い目に(ちょこっとだけ)あわせる。(組織の偉い人が何度訓練やっても懲りないのは、添付ファイルを開いたとしても自分より偉くない人に「注意してくださいね」とやんわりたしなめられるだけ、という温い対応を想定してしまうからなので、ちょこっとだけでも痛い目、というのを実現できれば訓練の効果も上がるのではないか、と思ったりしますが(笑)。)

とはいえ最近は、子供から若者のメインデバイスがスマホになってきているので、その痛い目というのも疑似的に作り出すことが中々難しくなっていますね。そして体得して欲しいことも、わりと単純なサイバー攻撃的なウイルス感染とか、怪しいサイトへの誘導とか、そこら辺への警戒心だけでなく、まっとうなサービスなんだけどもガッツリ利用し過ぎるととんでもないお金が課金されてしまう、そういうことへの警戒心とか自制心、アプリやコメントの裏には人間が居て、その人間とのコミュニケーションリスクに関する知識とか経験値、そういうものだったりしますしね。しかしここでも、部分練習として疑似体験というのがやはり効き目があると思います。

数年前ですが和歌山大学の先生が、小学生のネット掲示板スキルというのをテーマに、実際に小学生に掲示板を運営させ、そこに研究室の大学生にさまざまな形(荒らし、個人攻撃、自作自演など)で関与させて、それをどう解決していくか体得させていった、という実験をされていました。そのときも、荒らし的コメントが全体の半分を超えなければ空気は荒れないで済む=その閾値を超えないように発言をコントロールする、とか、誹謗中傷のスルーとか、あるいは諭し方とか、そういうのを体験的に学習させていくと、予想以上に体得していくものだ、という報告がなされていました。

大学の学部生相手にもう6年ディスカッション型の情報セキュリティ入門というコマを持ってますが、被害者の目、体験という観点でさまざまな事例を分析して提示し、考えさせていると、だんだん最後の方にはこちらの思惑を先読みできるようになって手強くなるので(笑)、ある意味感覚が身についていくようです。

余談ですがわれわれがいつも大変お世話になっているpiyokangoさんのまとめが素晴らしいのは、事件や事象に関するまとめがものすごく網羅的であり分析的であるので、犯人や被害者、被害を受けた組織など関係者それぞれの視点でその事件を捉えることができるからだと思ったりします。あれだけ素晴らしいまとめを目にしているのにもかかわらず、表層的な報道だけを見て事件を語る、コメントする癖が抜けないのはわれわれほんと自省すべきことですね(笑)。

閑話休題。

ここに挙げた例以外にも体験的な学習プログラムを作ったり、機会を提供している人、団体、組織はたくさんあります。しかし、交通安全教室などの先例に比べるとまだまだ数も質も足りないと思います。交通安全と違ってこの分野は変化が激しいので、そもそも疑似体験プログラムは作成コストがまぁまぁかかってしまうのに、さらにコスト増になる性質があります。となるとおそらく、継続的な予算を付けられる組織が戦略的にプログラムを作っていく必要があります。そういうプログラムに、たとえばふるさと納税できたらガンガン納税(の振り替えを)するのになーヽ(´ー`)ノ。どっかの自治体さんやらんかな(笑)?

さらに言えるのは、体得的なプログラムは、何も若者や子供だけじゃない、親や先生などの大人にも良いですよね。だから親子で受けてみるとか、先生も受けてみるとか、そういう展開もあっていい。今はコンテンツメーカーも増えてきているし、予算があって仕組みができていれば回るんじゃないかな。今までは予算や仕組みがあってもコンテンツメーカーのパワーと数が不足してたからねー。いやそれもお金の話か結局は(笑)。

そして、たぶん少数派でしかないし普通のリテラシーじゃないものを体得してもらう必要がある、才能を持った若者たちには暴発しないという意味でも安全なCTFやコンテストが良いよね(結局ここかよ)。というわけで明日12月9日15時(JST)スタートのSECCONオンライン予選にみんなで参加しよう(宣伝)。

2017-04-26

[]セキュリティ・キャンプ全国大会2017

そして今年もキャンプの時期がやって参りました。って早いか(笑)。

セキュリティ・キャンプ全国大会2017 講義内容:IPA 独立行政法人 情報処理推進機構

講師の顔ぶれと講義概要がほぼ全て公開されていますが、今年の特色は人数が増えたことすね(笑)。え?なぜ急に増えたのかって?それは飲まないと話せないなーヽ(´ー`)ノ

で、増えた分も含めた今年のコンセプトはぶっちゃけ「セキュリティ&プログラミング」アゲインって感じ。もの作り3日間どっぷり、プログラミングどっぷり、ハッカソンどっぷりコースができた形になりました。だから従来「セキュリティ」ってワードにピクってきてた人じゃない人たち、プログラミング好きだけどセキュリティはなーめんどくさそう的な人たちこそこのコースにフィットすると思いますね。名前は「集中コース」っちゅーんだけどもねw

めんどくさい、とか、楽したい、とかってのはハックの本質だと思うし、一所懸命人材育成頑張って底上げして人の頭数を揃えて人海戦術的にブラックボックスな海外製品を下僕的に使うというモデルでは無くて、何か作って貢献しちゃろうぜーという人に、ぜひこのブルーオーシャンなセキュリティ分野に関わるもの作りをして欲しいって感じ。そういう意味じゃSecHack365とも通じてるテーマなんだよね。

少数精鋭、アイディア大歓迎なのでぜひ応募してねー。あと従来型の選択コースも新しめのトピック多数なんで、そちらもよろしこー

[]SecHack365追い込み

何か「1年間」「365日」っていうのにガッツリ感を覚えて迷っている人が居そうなんですが(笑)、基本的にはやりたいときにやりたい形でリモートアクセスって感じだし、縛られないんでお気軽にどうぞー的なw。

キャリア的に繋がっておいた方が将来良いぜ的繋がりもGETできるし(起業的な意味でも研究的な意味でも)、将来図にまつわるノウハウもGETできるし、副産物的な部分もなかなかのものだと自負してるんだけどね(笑)。

あと何と言ってもデータの魅力が大きいと思うんだけどね。研究とかやってる人はわかると思うけど、この業界特に良いデータってのにリーチ出来にくいからねー。ある種危険なデータが多いので無理も無いところなんだけど、そういうデータにリーチ出来る機会としては質量共にMWS以上なんで、なかなかのものですよこちらもヽ(´ー`)ノ

ともかく、ダウンロードは締め切っちゃったんだけど、募集は金曜(明後日)までなのでどしどし応募してくださいねー。

SecHack365 – セキュリティの未来を生み出すU-25ハッカソン「セックハック365」

2017-04-07

[]白浜の情報危機管理コンテスト

今年も審査委員やります。

情報危機管理コンテストとは | 第21回サイバー犯罪に関する白浜シンポジウム&第12回情報危機管理コンテスト

参加申し込みは9日(日)までやでー。中身もおもしろいのでぜひ参加してー大急ぎで。とりゃーずエントリーだけでもしとってもらえたら。

2017-04-03

[]ナショナルサイバートレーニングセンター&SecHack365

国立研究開発機構情報通信研究機構NICT)でパートタイマーだけど仕事し始めて10ヶ月。セキュリティ人災育成研究センターって組織でCYDER演習の企画運用とかの仕事してましたが、実はその裏でめっさいろいろ新企画推し進めてました。んで4月1日から組織も「ナショナルサイバートレーニングセンター」と変わり、新規事業SecHack365というのを今年度から展開することになりました。以下概要。

SecHack365 – セキュリティの未来を生み出すU-25ハッカソン「セックハック365」

プログラム概要

SecHack365 は高度な技術力を持つセキュリティ研究者や開発者を育成することで、我が国のセキュリティ技術力、産業競争力を高めることを目的としています。

世界のサイバーセキュリティ市場における我が国のセキュリティ・ベンダーの存在感は、決して大きいものではなく、ブラックボックス化した海外製品を利用することが多いのが現状です。多様化・悪質化するサイバー攻撃に対抗し、私たちが自らの手で自らの社会の安全を守っていくため、単に既製品を「運用」するだけでなく、自ら新たな製品等を「開発」していくことができる人材を育成していく必要があります。

情報通信研究機構NICT)ナショナルサイバートレーニングセンターは、未来のサイバーセキュリティ研究者・起業家の創出に向けて、若手のICT人材を対象にセキュリティの技術開発を本格的に指導する新規プログラム「SecHack365」を平成29年度から開講します。

これまでセキュリティ・キャンプやSECCONというイベントでいろいろ仕掛けてましたが、またちょっと違うテイストのイベント、事業ってことになります。セキュリティのサービスって世の中に出てるモノはまだまだ練られてないものも多いし、どうかするとユーザーに一手間二手間あるいはそれ以上を強いてしまう、海外から持ち込まれて中身にタッチできないで使うのが辛いものとかけっこうあったと思うんですが、そういうサービス、事業としての洗練だけでなく、根本的に「あーこれ欲しかったんだよねー」的なアイディアを具現化したいなーと思っていたりします。

コード書ける人に沢山来て欲しいなー。でもコード書けなかったとしても、セキュリティの現状を見てそこにこんなアイディアがあるんだけど参入したいってな人にも来て欲しいっす。発想法トレーニングとかもやるんで、いろんな発想、しかも突飛なヤツを持ってる人来て欲しいっす。おなしゃす。