【AdC28日目】セキュリティキャンプ全国大会2020に参加しました

この記事はアドベントカレンダー2020 28日目の記事です。

19Bの@mazreanです。普段はSysAd班で部内サービスの運用・開発を行っています。この記事ではセキュリティキャンプ全国大会2020にBトラック(プロダクトセキュリティトラック)で参加させていただいたので、その参加記を書いていこうと思います。

セキュリティキャンプとは

IPA(情報処理推進機構)というところが行っている無料でセキュリティ技術などが学べるイベントです(詳細は https://www.ipa.go.jp/jinzai/camp/2020/zenkoku2020_about.html)。例年は5日間の合宿形式で行われる(交通費・宿泊費・食費とかもすべて出るらしいです)のですが、今年は新型コロナウイルスの影響でオンラインで10/18~12/6という長期間の開催になりました。

今年、traPからは自分の他に@Nなども参加しました(@Nの参加記は↓)。

講義紹介

自分の受けた講義のなかで特に印象に残ったものの感想を書いていきたいと思います。今年はオンライン開催だったのもあり、講義によっては講義の動画や資料が公開されているものもあるので、気になった講義があれば調べてみるとよいと思います。

B4 つくって学ぶ，インターネットのアーキテクチャと運用

インターネットの仕組みを学び、AS間のBGPのピアリングなどを体験することで、それに対する攻撃とその防ぎ方を理解できる講義です。特に偽の経路情報を流すことでDNSサーバーへ誘導する攻撃はその方法にも驚いたのですが、実際に一部の地域に対して偽の経路情報が流されたことがあった、というのがとても印象に残っています。インターネットには信用によって成り立っている部分が残っている(た？)、ということを理解させられました。

A6 ワークショップで学ぶUSB傍受対策

実際にUSBの通信を傍受し、配線を露出させる危険性や露出していた場合に通信の傍受するのがどれほど容易なのかを知ることができる講義です。自分は普段VPSなどを使うことが多く、ほとんど実際の配線をした経験はありませんでした。そのため、この講義でかなり簡単にUSBの通信を傍受し、パケットの中身を見ることができたのはかなり衝撃的でした。当然、HTTPSなどでの暗号化が「通信の途中で中身を見られることを防ぐために必要」というのは知っていました。しかし、この講義を受けて物理層を含む低レイヤーで傍受されることもしっかり考えてWebアプリケーションの開発・運用を行うことが必要、ということを今まで以上に意識していく必要を感じさせられました。

この講義はAトラックの講義なのですが、今年のセキュリティキャンプの選択コースでは他のトラックの講義も受けることができたため、受講しました。実はこの講義を選んだときは「Bトラックがない時間だし、もったいないからとっておくか」ぐらいの気分でした。しかし、振り返ってみると今回のセキュリティキャンプで自分にとって一番良い経験になった講義だったと思います。

全体を通しての感想

今回セキュリティキャンプに参加して、セキュリティを含む自分の普段行っていることを別の視点から見てみることの必要性を感じさせられたように思います。A6の講義での低レイヤーでの攻撃の可能性もそうですし、この記事では触れていませんがB8 Learn the essential way of thinking about vulnerabilities through post-exploitation on middlewaresという講義でも「サーバー侵入後に何をできるか」という普段そこまで意識していない観点が重要であることを知ることができました。

この経験をtraPでの活動を含む普段行っている活動に活かしていけたら、と思います。

まとめ

今回セキュリティキャンプに参加できたのは非常に良い経験になったと思います。講師・チューター・運営の方々など、本当にありがとうございました。また、この記事を見てセキュリティキャンプに興味をもった方々はぜひ来年応募してみてください。

明日の担当者は@Fourmsushi @wataame89 です。お楽しみに！