HOME未踏/セキュリティ・キャンプセキュリティ・キャンプ事業トラックA(高レイヤー)講義内容

本文を印刷する

未踏/セキュリティ・キャンプ

トラックA(高レイヤー)講義内容

セキュリティ・キャンプ全国大会2015

セキュリティ・キャンプ全国大会2015

各講義の説明(高レイヤートラック)


■1-A バグハンティング入門

講師:Masato Kinugawa (バグハンター)

概要:近年、セキュリティバグの報告者に報奨金を支払う「バグ報奨金制度」が多くの企業で実施されるようになってきており、脆弱性を発見する能力に注目が集まっています。脆弱性を発見するには、他の人が思いつかないような斬新な閃き、あるかどうかもわからないものを探し続ける根気、新しい技術や誰も使わない技術でさえも学習する貪欲さなどが必要です。本講義では、"脆弱性の発見"にフォーカスを当て、私が実際に発見したブラウザなどのソフトウェアやWebアプリケーションの脆弱性を例にしながら、発見に必要な発想を伝授します。



■2・3-A SSL/TLSの基礎と最新動向

講師:大津 繁樹(株式会社インターネットイニシアティブ)

概要:インターネットで標準のセキュリティプロトコルTLSについてその特徴と仕組みを解説します。SSLからTLSにわたる歴史の変遷とその技術仕様の最新動向と仕組みについて学びます。X509証明書を中心としたPKIの仕組みについても簡単に触れます。

また近年大きな影響を与えているSSL/TLSの脆弱性について過去どのようなものがあったのかを振り返り、それを踏まえてTLSサーバに求められる設定などについて学びます。

実習では初級者向けにTLSサーバをたててブラウザでアクセスできるところまでを目標にします。中上級者向けにプロトコルの解析と過去の脆弱性を体験する課題を行い、プロトコルの理解を深めます。



■4-A HTTP2/QUIC入門

講師:大津 繁樹(株式会社インターネットイニシアティブ)

概要:今年標準化が完了した新しいプロトコルHTTP/2についてその特徴と仕組みを解説します。HTTPの歴史からHTTP/2が開発された背景、その仕組みと利用方法について基礎的な知識を学びます。セキュリティに関してはTLSに関連しない部分について簡単に触れます。Googleが開発中のQUICプロトコルについてもその概要を解説します。

実習では、初級者向けにHTTP/2サーバをたててブラウザでアクセスできるところまでを目標にします。中上級者者向けに QUICサーバやプロトコル解析、バイナリフレーム生成等を実習し、プロトコルの理解を深めます。



■5-A JavaScriptの難読化読経

講師:はせがわ ようすけ(株式会社セキュアスカイ・テクノロジー)

概要:悪意あるWebサイトや正規サイトの改ざんにおいては、検出回避や挙動の隠ぺいなどを理由にJavaScriptが難読化して埋め込まれるのが一般的です。また、悪意を持たないごく一般的なWebアプリケーションであっても、通信レイテンシの改善やAltJSによる機械生成によって可読性よりも効率を重視しminifyされたJavaScriptが一般的に利用されています。本講義では、このような難読化されたJavaScriptを効果的に読み解くための技術の習得を目的としています。



■6-A Webプラットフォームのセキュリティ

講師:西村 宗晃(ソニーデジタルネットワークアプリケーションズ株式会社)

概要:ここ最近、ブラウザのセキュリティが急速に強化されています。URLバーに黄色いアイコンが表示されたり、ブロックされて開けないサイトが増えてきていることに、皆さんも心当たりがあるのではないでしょうか。本講義では、ここ数年でブラウザに搭載されたセキュリティ機能を取り上げ、その機能が必要となった背景や運用方法、解決できない課題について学びます。これらの機能を上手に活用して安全なWebコンテンツを開発できる人を育てることを目指します。



■7・8-A HTTPプロキシ入門

講師:廣田 一貴(三井物産セキュアディレクション株式会社 / CTF for ビギナーズ)
   国分 裕(三井物産セキュアディレクション株式会社)

概要:HTTPプロキシツールは、バグハントや脆弱性診断において必須とも言えるツールです。
ネットワーク通信するアプリ診断の中心的なツールで、Webアプリへのファジングにも使えます。最近ではスマートフォンアプリの診断やゲームのセキュリティ診断の現場でも用いられています。2014年12月末に公開された脆弱性診断士スキルマップでも必須スキルとなっており、これを使いこなせれば、脆弱性発見のための強力な武器となるでしょう。
また脆弱性診断以外でも、ブラウザとサーバ間の隠れた通信内容を確認するためや、ブラウザだけではできないWebアプリのデバッグにも使えます。また各種ハッシュの計算やエンコード・デコードなどもこのツールのみで可能なため、Webアプリだけでなく様々な現場で活用することができます。

本講義では、プロキシツールの活用方法を実習を交えて学び、HTTPと脆弱性発見の基礎技術を身につけて頂きます。
インターネットトラフィックの大部分を占めるHTTP、その通信を巧みに操る姿はまさにWizard。
そんな人を、私達と共に目指してみませんか?

なお本講義ではHTTP/1.1を使います。テキストベースのプロトコルです。バイナリに疲れてきた方の受講も歓迎します。


■9-A スマートフォンゲームやソーシャルゲームにおける不正行為の問題点と対策


講師:杉山 俊春(株式会社ディー・エヌ・エー)

概要:スマートフォンの普及によって、インターネットを介してゲームを提供する仕組みが急激に増加してきています。スマートフォン向けのゲームアプリにおいては、時間的・人的な開発リソースが限られていることが多く、また、提供しようとするゲームアプリの性質上完全にセキュアな状態を作ることが困難なケースも存在します。本講義では、一般的な脆弱性の知識のみでは判断が難しい、仕様を考慮したリスクの考え方や、そのリスクに対しての扱い方の一例を示しながら、不正行為の問題点と対策への理解を深めます。


■10-A AndroidとiOSのアプリサンドボックス


講師:佐藤 勝彦(株式会社シマンテック)
   千田 雅明(LINE株式会社)

概要:スマートフォンの爆発的な普及を背景に、モバイルを中心に据えたサービスが増え続けています。現在のモバイル市場で支配的なシェアを持つプラットフォームはGoogle社のAndroidとApple社のiOSであり、モバイルを利用したサービスの安全性は、これらのプラットフォームの信頼性に依存するところが大きいです。本講義では、AndroidとiOSが備えるセキュリティ保護機能を紐解き、アプリやユーザデータの安全性がどのように保護されているかを学びます。また、プラットフォームの脆弱性を突いた攻撃や、プラットフォームの仕組みでは防ぐことのできない攻撃についても議論します。


■13・14-A これからのWebセキュリティ


講師:はせがわ ようすけ(株式会社セキュアスカイ・テクノロジー)  
   吾郷 協(ChatWork株式会社)   
   Jxck(Web Developer)   
   西村 宗晃(ソニーデジタルネットワークアプリケーションズ株式会社)

概要:進化の速いWebアプリケーション開発を取り巻く環境においては、セキュリティ対策への考え方、取り組み方についても歩調を合わせて取り組む必要があります。
本講義では、従来の古典的な脆弱性の原因や対策などと合わせて現代的なWebアプリケーションフレームワークがどのように脆弱性と闘ってきたか、これからのフレームワークがどのように対策方法を採るべきかといった点について、議論および実習を通じてWebアプリケーションにおけるセキュリティ対策の未来について考えてもらいます。



■15-A クラウドセキュリティ基礎

講師:仲山 昌宏(株式会社サイバーエージェント)

概要:本講義では、クラウドベースのサーバ設計、構築、運用技術の基礎と、その際に意識すべきセキュリティの観点を学びます。スケーラビリティを考慮した実装や継続的なインテグレーション、高速なリリースサイクルといった開発者のニーズと、サービスの安全性を両立させるためにどのようなセキュリティ施策を行えば良いか、オンラインゲームの開発現場における取り組みを例に紹介します。


■16-A クラウドセキュリティ演習

講師:仲山 昌宏(株式会社サイバーエージェント)

概要:本講義では、クラウドを利用したWebサービスの構築から運用までの流れを実際に行い、環境構築や運用時に気を付けるべきセキュリティ上のポイントを学びます。

未踏/セキュリティ・キャンプ