ECコンサル アラタナはeコマースを中心とした「新たな○○を創造する」会社です!

17新卒田村がレポート!◆「セキュリティ・ミニキャンプ in 宮崎 2017」で同期エンジニア猿渡が講師を務めました!

こんにちは!
今回のセキュリティキャンプの講師、猿渡大先生の同僚の田村です。

田村⇐私猿渡大先生⇐猿渡大先生

猿渡くんは私と同じく2017年4月に入社した新卒社員ですが、入社半年でセミナーイベントの講師を任されるという大抜擢。
彼はもともと学生時代からセキュリティキャンプに参加していましたが、今回は生徒側から講師側になっての参加となります。
同期の大出世に、今日ばかりは「猿渡先生」と呼ばざるを得ません。くっ・・・!

そんな猿渡先生が講師を務めるところを現場で目撃したいと思い、
9/30~10/1にアラタナを会場に開催された「セキュリティ・ミニキャンプin宮崎2017」を見学させていただくことになりました。

<セキュリティ・キャンプとは?>
次代を担う日本発で世界に通用する若年層の情報セキュリティ人材を発掘・育成するために開催するイベント。宮崎では今回が初の開催。
当日は都城高等専門学校、佐土原高等学校、宮崎大学情報システム工学科から16名の学生が参加しました。なんと最少年齢は15歳。猿渡先生は1日目の講義を350分間務めきりました。
詳しくはこちら

三度のメシより技術系の話が好きな私ですが、
実はセキュリティ関係のことはあまり詳しくないこともあって、
どんな話が聞けるのか個人的にも楽しみにしていました。

新卒セキュリティエンジニア猿渡先生が登壇

猿渡先生

1日目午前では、初めに参加者交流タイムが始まりました。

名刺交換

学生たちも事前に作ってきた名刺を持ち出して交換会。
初めての名刺交換に少し緊張の面持ちです。

名刺交換から会話をつなぐ大変さを感じながらも、お互いに名前と所属くらいを知り合えたみたいです。お次は実際の事例を交えた『倫理』のお話。
『倫理』と聞くと難しく聞こえますが、簡単にいえば、技術を持っている故に悪用する人がいるので、技術者が持つべきマナー・モラルを学びましょうという事です。

サイトに対する攻撃方法を知ってしまうと、ついつい試したくなってしまいますよね!
実際、私もその気持ちはわかりますが(笑)、、、

絶対にダメです!!!

技術者たるもの『倫理』を守らなければなりません。でないと警察が来ますよ。

グループセッションでは「技術を悪用しようとしている生徒に対してどのように説得すればよいか?」というお題に対して、グループのメンバーとああだこうだと議論を重ねます。

グループセッション

議論の結果を発表するわけですが、最初のグループから出てきたのは「悪いやつは一度捕まればわかるはず」という回答!
説得など無理だから、いっそのこと悪さをして捕まれと(笑)
待て待て待て!と突っ込みどころ満載ですが、発想が面白いですね!

<実習1>XSS脆弱性を探してみる!

午後は、 サイトの脆弱性を探す前に、まずは大切な基礎知識を学ぶお時間です。
Webやデータベースがどのような仕組みで動作しているのか? 我らの猿渡先生が簡潔に丁寧に説明してくれました。

猿渡先生

基礎の勉強が終わると早速、XSS脆弱性を探す問題形式のウェブページで実習が始まりました。

ワーク1

みんな脆弱性探しに真剣です!もう皆さんエンジニアの風格がありますね!

私も実際に探してみましたが、とりあえず全問正解できました!
ヒントは書いてあるものの、JSの知識やディベロッパーツールの利用方法を知らないとできない問題もあり、基礎的なXSS脆弱性への攻撃方法を学べるいい機会でした。

ワーク2

雰囲気から伝わるインテリ感。セキュリティエンジニアっぽいです!

<実習2>Webサイトから脆弱性を探してみる!

次は一歩進んで、用意されたWebサイトから脆弱性がないか探す実習。
先程学んだコードを入力することで、脆弱性を確認できました。
早速学んだことを実践できて良いですね!

ワーク2

参加者同士で、どこまで出来ているか見せあったり、参加者同士で技術を高めあっていますね。

私は、登録ユーザーの一覧表示、不正ログイン、不正購入の脆弱性を探せました。
他にもたくさんありそうです。

攻撃方法がわかれば、防ぐにはどうするべきか?
という考え方ができ技術力がさらに向上していきますので、色々見つけたいですね!

最後に猿渡先生による答え合わせがありました。
PCのパスワードまで閲覧できてしまうことには驚きました。流石です。

大事なことなので再度確認しておきますが、今日覚えた攻撃方法を実際のサイトで行っては絶対にいけません。
捕まります。
しっかりと技術者としての心構えも忘れないように。。。

アクセス障害が起きたときに

2日目は、実際にサーバーにアクセスしてから、
アクセス障害が起きた原因をログから探すことを実習メインで行う株式会社ラックの川口洋さんの講演です。

川口さん

まずは、サーバー上で操作するために基本的なLinuxコマンドを学びました。
何万〜何十万行もあるログから知りたい箇所を見つける方法を教わりながら、原因を特定しました。
一行ずつ見ていったら果てしないので、こういう操作を覚えていくこともエンジニアとして大切ですね!

実際に脆弱性をついた悪いスクリプトを実行させアクセス障害の再現も行いました!
すごく簡単にできてしまいました!
簡単すぎて攻撃してる感じが全くしなかったですが、
これを悪用したら捕まってしまうので、気をつけないといけないですね。

ワーク3

16名の生徒の皆さんは、今回の2日間で驚くほど多くのことを学べたのではないでしょうか。
私自身も、攻撃手法や、ログ解析方法など学べた有意義な時間でした!

とはいえ、今回学んだことは、まだまだセキュリティの入り口にすぎません。
これから先、自ら学び、経験して、ぜひプロのセキュリティエンジニアを目指してほしいですね!

集合写真

最後には、全員で集合写真!
みなさん今回のキャンプで何かを掴んだみたいでキラキラしています!

このキャンプがきっかけでセキュリティにさらにのめり込み、今度業界を先導する人が出てくるかもしれませんね!
いつか一緒に働ける日がくるかもしれません。楽しみです!

この記事を書いた人

アラタナニュース