Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

 |  

2018-04-09

[]ハリルホジッチ解任

日本代表選手を中心とした選手達がやりたいサッカーとハリルホジッチがこれまで実績を作って来た勝てるサッカーの齟齬が、ここにきて噴出したってことなのかな。

とはいえ、開催国として以外では5回、都合6回(フランス、日韓、ドイツ、南アフリカ、ブラジル、ロシア)ワールドカップに出ていてたった2回しか16強に行ってない国の選手が「やりたいサッカー」が、それだけじゃ勝てないってのはこれまでの実績見ても明白だし(笑)、目指すサッカーにより近い上位互換チームも居ればそれに強さも加わったハイブリッドなチームが天上界の戦いを展開しているのを完全なアウトサイダーで見ているしかないようなチームの選手が「このサッカーがやりたい」って言ってもなー(苦笑)。<と思いつつも、全方面でやるべきことを突き詰めながら追いついていくしかない、とも思っているんだけどね。

後任の西野監督はレイソルからガンバでの実績を見ると一発勝負的なカップ戦はちらほら勝ってるんだけども、即効性があるようにも思えないんだけど、さてどう転ぶかな。

[]SecHack365修了生のブログとか

続々ブログとか書いてくれてます。ありが

【プログラム体験談】SecHack365にチーム開発で1年間参加してみた

↑のたけちゃんがSXSWハッカソンに行ったときのレポ:

SXSWに行ってきた話 - お腹.ヘッタ。

【プログラム体験談】SecHack365に1年間参加してみた社会人1年目のお話

↑会社の理解半端無い。有りがたい限り。

再掲:

【プログラム体験談】IT系の学生必見!ホワイトハットハッカー育成プログラム SecHack365でチーム開発を行い、優秀テーマに選抜された体験談【プレゼン資料あり】

SecHack365のすゝめ - 努力なくして力なし

かれらの成果は3月秋葉原でクローズドな成果発表会ってのをやって、そこで明らかになったんですが、今週末4月15日(日)に同じ秋葉原で開催されるセチャコン(SECHACKCON)でも成果のポスター展示&デモ、ステージ上でのSECCON過去問へのチャレンジ、セキュリティゲームCyShip天下一武道会で見たり体験したりすることができちゃいます。また、SECCONの過去の決勝問題体験やバイナリかるた、セキュリティクイズ、BadUSBや半田づけのワークショップ、初めて学ぶDeep Learningにネットワーク解ワークショップなど、体験型イベントが目白押しっす。BadUSBのみ実費がかかりますが他はすべて無料(事前登録制)なのでぜひお越し下され。詳細は以下のページより。

セチャコン2018(SECHACKCON2018)開催します!

あとSecHack365を受けてみようって思う人向けのQ&Aコーナーもありますよ。実際にコースのプロデューサーが回答します。

安全カーライフチームの発表資料:

成果発表会の記事:

ASCII.jp:365日かけてアイデアを磨き、「セキュリティ」×「何か」を形に

NICT 「SecHack365」成果発表会を開催|電波タイムズ

2018-04-03

[]SecHack365 Ver.2

なんだかんだまた告知が主になってしまうんだけどSecHack365今年度もやりますよ。

SecHack365 – セキュリティの未来を生み出すU-25ハッカソン「セックハック365」

すでに募集開始してるんで、おもしろそうと思ったら迷わず応募してみてー

今年度はコース制というのを採用して、目的によりマッチしやすくなっていると思います。1年長いようで短いと思うんだけど、その間手練れによるガッツリサポートもつくので、ぜひどうぞ。

■表現駆動コース

まず最初に、「興味があるもの」や「作りたいもの」を発表や議論を通じて表現し、練りあげながら進めるコースです。表現したものに対して、いろいろな人からのフィードバックを集めて、作品として仕上げていきます。進捗や課題等も定期的に発表、議論をして、作品作りを進めてもらいます。

■思索駆動コース

身の回りにある、「ちょっと気になるささいな問題」にまなざしを向けるところから始め、その問題の解決をじっくり考えながら進めるコースです。思索と対話の繰り返しを通して、「問題の解決を実現できるサービスやシステム」を考案し、試作、実装、ローンチまで漕ぎ着ける根性が求められます。

■開発駆動コース

興味ある技術や作りたいものに対して、早速開発を始めるコースです。

まずは興味ある技術や自身が作りたいものを作ります。もしくはトレーナーの判断で勉強から始めてもらう場合もあります。

修了生のブログ:

no title

SecHack365のすゝめ - 努力なくして力なし

募集煽りイベント(笑)として4月15日(日)秋葉原でSECCONとのコラボでセチャコンってのやります。

セチャコン2018(SECHACKCON2018)開催します!

ほぼすべてが体験型のプログラムなので、遊びに来てちょー(要事前登録)

2017-12-16

[]大人の人材育成を考える

☆このエントリーは#ssmjp Advent Calendar 2017の16日分です。

14年もやってるセキュリティ・キャンプだけど、大人の人にはいつも「受けたい」「受けたい」言われてます。ありがとうございます。大人を羨ましがらせるためにやってます(笑)。中身には自信あります。ってもちろんあっしだけがプロデュースしてるわけじゃなくて、優秀なプロデューサーたち、素晴らしい講師陣が居てこそのあのラインナップなんですけどね。ちなみに今年のラインナップはこちらです。

こないだssmjp+すみだセキュリティで喋る機会をもらったとき、さんざそのあたりを自慢しまくりました(笑)

そうしたらQAで大人はほったらかしかよ?という泣きが入ったので、大人のみなさんはカネにものを言わせてキャンプ実施協議会のスポンサーになっていただくという手があります、とちゃっかりご案内させていただいたんですけどね(笑)。スポンサーさんになられたら人数の上限ありますが全国大会の見学というノリで来て頂けるんですよ。見学ったってただの見学じゃなくて、普通に講習に参加できたりすることもある。これはなかなか大きな特典だとか思いますけどねヽ(´ー`)ノ。

年間スポンサー料は今のところ50万円ですよ。4泊5日すべてに複数人顔出せて50万円て格安だと思ったりするんですけどね(笑)。ってあまりにも安いんで値上げしよかな(笑)。

大人ってすでに良い機会をたくさん、自分で作ったり、お互いに提供しあったりしてますよね。参加も無料、実費のみってのが大多数でハードル全然高くないし。関東地方に住んでたら毎週のように何かしらの勉強会とかありますよね。セキュリティの勉強会に限ってもけっこうな数あるし。全国って見るとやや薄いところもありつつも拡がっていますよね。OWASPもセミナー活発だしいろんなチャプターできたし(Category:Japan - OWASP<秋田、福島、japan、関西、九州、名古屋、名取、沖縄、仙台)、関連?でWAS Forumがセミナーやることもあるね。あと良い具合にぶっ飛んでるShibuya.xssとかあるし。あとSecurity-JAWSってのもある。まっちゃ445もあるし江戸前もあるし。そしてもちろんすみだssmjpもあるしね。あとCTF for GIRLSあるね。肩が痛いとかハニポとかパケット読む会とかゼロから始めるのとかそういうのもあるよ。そうそう、たまにPHPカンファレンスでセキュリティやってたりもするよね。関東以外でもまっちゃ139もみじばりかたセキュ鉄大和SITWせきゅぽろ、せきゅぽろから派生してAttack and Defense愛甲しちゃう会とか、そして名古屋ね。関西だと最近じゃtktkもできる。総関西サイバーセキュリティLT大会(略称:総サイLT大会)というのもあるんだね。謎のセキュ蕎麦とかもある。セミナーって感じだけどミニキャンプで出かけていくこともある>各地

ワークショップだってSECCONの関係でbeginnersあるし。これも各地に飛んでる。さらに言えば学生なら、何ならその運営側、教える側に入るって手もある。教えることが一番勉強になるしね。キャンプも本格的に参加するなら先生になるのが一番ってのはあるんだけど(笑)。どうですか大人のみなさん。あとSECCONじゃ決勝戦やるときに毎回カンファレンスやってるね。それで思い出したけどキャンプにゃフォーラムってセミナーもあるよ。

そしてですよ。前述のWAS Forumがやってるhardeningというイベントに関わる強力なコミュニティもあるじゃないですか。コンテストにただスルッと出るだけじゃなく他のチームのやり方も振り返りで学べる機会もあるし、ミニ版の展開にいろんな形で絡むこともできる。ここってものすごい学びあるじゃないですか。しかもかなり実務的ですよ。社外のコネもできまくるしね。

学生なら白浜の情報危機管理コンテストってのもありますよね。審査員ずっとやらせてもらってますが、あれもシナリオが毎年すんごい良く出来てて、運営チームの和歌山大の学生さん達の練度も半端無い。和歌山大に入るか学生チームとして出場するか。いずれにしてもこれもすごい学びありますよね。まこれは学生じゃないと無理なんだけど(笑)。学生じゃ無いと無理なコンテストって言ったらより狭い(笑)千葉大しか無理なコンテストとかもありますね。学内CTFなんかもそうかな。

コンテストって言ったら、会津で毎年冬にやってるコンテスト神戸でやってるコンテストもあるね。

さらにさらに。今CTFって国内の団体、チームが主催するのすごく増えてますよね。CODE BLUEでBinja CTFをはじめとするさまざまなCTFが開催されて、クルマのハックとかもできちゃうわけだし、研鑽の機会めっちゃ増えてますよね。女性なら攻殻CTFもあるしね。オンラインのも増えてますし、そもそも国際大会のオンラインのヤツって週一以上あるんだよね。あー今週ちょっと時間あるなー何かCTFやってたら参加してみよーってノリで行けますよ。オンラインなら顔も見えないし惨敗したって誰も責めないし勝ったらむしろ賞賛されるし、ヘジテイトしてる場合じゃないですよ。SECCON2017オンライン予選は世界から4300人オーバー来てますよ。このビッグウェーブ乗らないんですか?乗るしか無いですよね(笑)。

あそうそう。オンラインと言えば常設のCTFってのもあるんだから、期間関係無くいつでも参加できちゃいますね(笑)。

んでもってこの他に年3で温泉カンファレンスがあるんすよ(温泉カンファレンス群:白浜湯沢道後)。まぁ最近倍率高いけどね。でも当たったら技術だけで無いコネ作りとか上のレイヤの議論とかしたいなら良い風呂と飯付きで行けちゃう。

学会だったらMWScupってのもありますよ。解析コンテスト。すごく生々しいデータにタッチできるし、発明のための職人性、感覚を得るためのベースもあるんですよ実は。しかるべき手順を踏めばちゃんとデータにもリーチできる。コンテストに出るだけじゃなくて普通に学会に発表する研究をしちゃうというのも手ですよね。

違う方向としてはバウンティプログラムってのもありますよね。主にWeb系の脆弱性を見つけて賞金稼いじゃうの。ハッカーワンとかバグクラウドとかそういうとこ探せばたくさんあるし、日本でも企業が単独でやってるの増えてきているし、サイボウズさんがたまにやる合宿なんてのもありますね。そういうのに参加したら恐ろしく学びがあるだけでなく、ひょっとすると賞金まで稼げちゃうんだよね。すごいことになってきましたよ。

おおっとそうだ。今年からNICTで始めたSecHack365も大人参加できるんだよね。ただし25才までですが。何か新しいモノを発明しちゃおう、とか研究しちゃおうってノリなので、普通の学習とはちょっと違う感じのプログラムだけど、どうぞごひいきに。

ってかこれだけ一杯催し物があって、溢れる意欲の命ずるままに参加してたらぶっちゃけ家庭とかヤバくないですか(笑)?言い換えればそれだけ機会はあるってことなんですよね。だから掴めば良い。自宅で参加できるのまであるんだからガンガンやっちゃえば良いじゃ無いですか。年数回は自分へのご褒美でオフラインのイベントに参加して、思う存分飲んだくれてセキュリティとかについて議論する。こんなリア充ライフが待ってますよ。

それだけ充実してたら、仮にあっしが、大人のセキュリティ・キャンプやりますって言ったってそんなの参加する暇とか無いですよね。わかりますわかります。他のイベントで忙しいもんね。泊まりの合宿とか無理に決まってるよね。まぁやんないけど(笑)。

というわけで大人のみなさん、自分の目の前に広がっている機会を無駄にせず、アンテナを張ってお小遣いに応じて参加しまくってください。それで物足りなくなったら、もっとじっくり学びたくなったら学校がやってる大人のためのプログラムに参加してみるというのもありますかね(CySecenPiT Pro)。あとはCODE BLUEとかPacSecに行っちゃうとかね。そのついでにAVTokyoにも来てねヽ(´ー`)ノ。さらに物足りない向きはおカネを会社に出させて商用サービス使いましょうよ。人手不足なんだからそれを楯にしておカネ引っ張りましょうヽ(´ー`)ノGOOD LUCK!

最後に一つだけ、そんなに勉強してどうするの?と聞いておきます(笑)。キャリアアップとか知的好奇心とか、動機はいろいろあると思いますが、そこは大人なので目的を持って欲しいですね。そもそもどういうキャリアを歩みたいのか、そのために何が足りてないのか、知的好奇心を満たしてそれをどうするのか、まさに何らかのアウトプット出して知的な便秘と言われないように目標を定めて欲しいと思いますよ。言われずともやっとる!という方もいらっしゃると思いますが、まぁ老婆心から言ってますのでやってる人は読み飛ばしてくださいね(笑)。


※この文章はまだ追記するかもしれません。ウチのこのプログラムが言及されてないとかどゆこと?とか、あのプログラムや勉強会が抜けてる、というのをお気づきの方はコメントいただけるとありがたいです。

2017-12-08

[]リアルなリテラシー

★これは「子供/保護者/学校」×「情報リテラシー」 Advent Calendar 2017の8日目の投稿です。

情報リテラシーを教える、ということは本当に難しいっすよね。まぁそもそも「教える」って言葉が相応しいとも思えない。怪しむ感覚を怪しみすぎないように備えて欲しいという感じだけど、体得して欲しい、というのに近い。

体得してもらうには疑似体験が効果的だと思いますが、トラウマになるような体験させてもアレなので適度に刺激的で適度に安全というのが良いでしょう。以前頼まれて香川で小学校の課外授業的な場で20分×2のコマを担当したことあるんですが、そこで用意したのが二つのリンクが貼られたWebページで、どちらをクリックしても5万円の請求画面に行く、というもの(笑)。「さーやってみてー」と言う間もなくがしがしクリックして5万円請求されまくって「せんせーなんかこんなん出たけどおれ貯金5万円も無いよー」「お年玉使わないとダメかなー」とかいう若干阿鼻叫喚なレスであふれました(笑)。そこで対応を考えさせたら、ちゃんと「大人に相談する」という良い感じのソリューションが出てきて安心したわけです。

たとえば添付ファイルをダブルクリックすることがダメだよ、という話を染みこませたいならば、どの添付ファイルならダブルクリックしても良いですか?といくつかの怪しげなメールと添付ファイルを提示して、その中に学校からのお知らせメールと添付ファイルというのを紛れ込ませておく。添付ファイルを開いてしまった後も、ただ単に「開くと(管理者から)怒られる」というような結びつきにするのではなく、「あなたのデータを見られなくしました」というパスワード付きスクリーンセーバーを発動させて実際に痛い目に(ちょこっとだけ)あわせる。(組織の偉い人が何度訓練やっても懲りないのは、添付ファイルを開いたとしても自分より偉くない人に「注意してくださいね」とやんわりたしなめられるだけ、という温い対応を想定してしまうからなので、ちょこっとだけでも痛い目、というのを実現できれば訓練の効果も上がるのではないか、と思ったりしますが(笑)。)

とはいえ最近は、子供から若者のメインデバイスがスマホになってきているので、その痛い目というのも疑似的に作り出すことが中々難しくなっていますね。そして体得して欲しいことも、わりと単純なサイバー攻撃的なウイルス感染とか、怪しいサイトへの誘導とか、そこら辺への警戒心だけでなく、まっとうなサービスなんだけどもガッツリ利用し過ぎるととんでもないお金が課金されてしまう、そういうことへの警戒心とか自制心、アプリやコメントの裏には人間が居て、その人間とのコミュニケーションリスクに関する知識とか経験値、そういうものだったりしますしね。しかしここでも、部分練習として疑似体験というのがやはり効き目があると思います。

数年前ですが和歌山大学の先生が、小学生のネット掲示板スキルというのをテーマに、実際に小学生に掲示板を運営させ、そこに研究室の大学生にさまざまな形(荒らし、個人攻撃、自作自演など)で関与させて、それをどう解決していくか体得させていった、という実験をされていました。そのときも、荒らし的コメントが全体の半分を超えなければ空気は荒れないで済む=その閾値を超えないように発言をコントロールする、とか、誹謗中傷のスルーとか、あるいは諭し方とか、そういうのを体験的に学習させていくと、予想以上に体得していくものだ、という報告がなされていました。

大学の学部生相手にもう6年ディスカッション型の情報セキュリティ入門というコマを持ってますが、被害者の目、体験という観点でさまざまな事例を分析して提示し、考えさせていると、だんだん最後の方にはこちらの思惑を先読みできるようになって手強くなるので(笑)、ある意味感覚が身についていくようです。

余談ですがわれわれがいつも大変お世話になっているpiyokangoさんのまとめが素晴らしいのは、事件や事象に関するまとめがものすごく網羅的であり分析的であるので、犯人や被害者、被害を受けた組織など関係者それぞれの視点でその事件を捉えることができるからだと思ったりします。あれだけ素晴らしいまとめを目にしているのにもかかわらず、表層的な報道だけを見て事件を語る、コメントする癖が抜けないのはわれわれほんと自省すべきことですね(笑)。

閑話休題。

ここに挙げた例以外にも体験的な学習プログラムを作ったり、機会を提供している人、団体、組織はたくさんあります。しかし、交通安全教室などの先例に比べるとまだまだ数も質も足りないと思います。交通安全と違ってこの分野は変化が激しいので、そもそも疑似体験プログラムは作成コストがまぁまぁかかってしまうのに、さらにコスト増になる性質があります。となるとおそらく、継続的な予算を付けられる組織が戦略的にプログラムを作っていく必要があります。そういうプログラムに、たとえばふるさと納税できたらガンガン納税(の振り替えを)するのになーヽ(´ー`)ノ。どっかの自治体さんやらんかな(笑)?

さらに言えるのは、体得的なプログラムは、何も若者や子供だけじゃない、親や先生などの大人にも良いですよね。だから親子で受けてみるとか、先生も受けてみるとか、そういう展開もあっていい。今はコンテンツメーカーも増えてきているし、予算があって仕組みができていれば回るんじゃないかな。今までは予算や仕組みがあってもコンテンツメーカーのパワーと数が不足してたからねー。いやそれもお金の話か結局は(笑)。

そして、たぶん少数派でしかないし普通のリテラシーじゃないものを体得してもらう必要がある、才能を持った若者たちには暴発しないという意味でも安全なCTFやコンテストが良いよね(結局ここかよ)。というわけで明日12月9日15時(JST)スタートのSECCONオンライン予選にみんなで参加しよう(宣伝)。

2017-04-26

[]セキュリティ・キャンプ全国大会2017

そして今年もキャンプの時期がやって参りました。って早いか(笑)。

セキュリティ・キャンプ全国大会2017 講義内容:IPA 独立行政法人 情報処理推進機構

講師の顔ぶれと講義概要がほぼ全て公開されていますが、今年の特色は人数が増えたことすね(笑)。え?なぜ急に増えたのかって?それは飲まないと話せないなーヽ(´ー`)ノ

で、増えた分も含めた今年のコンセプトはぶっちゃけ「セキュリティ&プログラミング」アゲインって感じ。もの作り3日間どっぷり、プログラミングどっぷり、ハッカソンどっぷりコースができた形になりました。だから従来「セキュリティ」ってワードにピクってきてた人じゃない人たち、プログラミング好きだけどセキュリティはなーめんどくさそう的な人たちこそこのコースにフィットすると思いますね。名前は「集中コース」っちゅーんだけどもねw

めんどくさい、とか、楽したい、とかってのはハックの本質だと思うし、一所懸命人材育成頑張って底上げして人の頭数を揃えて人海戦術的にブラックボックスな海外製品を下僕的に使うというモデルでは無くて、何か作って貢献しちゃろうぜーという人に、ぜひこのブルーオーシャンなセキュリティ分野に関わるもの作りをして欲しいって感じ。そういう意味じゃSecHack365とも通じてるテーマなんだよね。

少数精鋭、アイディア大歓迎なのでぜひ応募してねー。あと従来型の選択コースも新しめのトピック多数なんで、そちらもよろしこー

[]SecHack365追い込み

何か「1年間」「365日」っていうのにガッツリ感を覚えて迷っている人が居そうなんですが(笑)、基本的にはやりたいときにやりたい形でリモートアクセスって感じだし、縛られないんでお気軽にどうぞー的なw。

キャリア的に繋がっておいた方が将来良いぜ的繋がりもGETできるし(起業的な意味でも研究的な意味でも)、将来図にまつわるノウハウもGETできるし、副産物的な部分もなかなかのものだと自負してるんだけどね(笑)。

あと何と言ってもデータの魅力が大きいと思うんだけどね。研究とかやってる人はわかると思うけど、この業界特に良いデータってのにリーチ出来にくいからねー。ある種危険なデータが多いので無理も無いところなんだけど、そういうデータにリーチ出来る機会としては質量共にMWS以上なんで、なかなかのものですよこちらもヽ(´ー`)ノ

ともかく、ダウンロードは締め切っちゃったんだけど、募集は金曜(明後日)までなのでどしどし応募してくださいねー。

SecHack365 – セキュリティの未来を生み出すU-25ハッカソン「セックハック365」

 |