セキュリティ・キャンプ全国大会2023 講義一覧（専門コースA・B）

• ホーム
• 全国大会とは
• 今年の特徴
• 前回レポート
• FAQ
• タイムテーブル
• 講義一覧
• 講師紹介
• 応募要項（エントリー）
• 参加を目指す方へ

Aクラス

• A1・A5『ロボットカーで体験するC/C++セキュアコーディング』

  担当講師

  • 都留 悠哉

  プロデューサー

  • 井上 博之

  分野・キーワード

  • 組込み
  • 脆弱性
  • 静的解析
  • C/C++
  • セキュアコーディング

  講義概要

  自動車のコネクティッド化、CANへアクセスするツールの普及により、自動車に対するハッキングのハードルが下がっています。
  設計段階で脆弱性への対処を行うことで攻撃を受けるリスクをある程度低減可能ですが、セキュアコーディングの不備により実装段階で発生する脆弱性があった場合、深刻な被害につながる可能性があります。
  本講義では、自動車業界で一般的に利用されるCERT C/C++やMISRA C/C++などのコーディングスタンダードを理解し、Arduinoが搭載されたロボットカーをモデルに実際に手を動かしながら脆弱性を未然に防ぐセキュアコーディングを体験します。
  

  閉じる

• A2『SBOMとシステム情報を元にした IoT機器のセキュリティリスク分析』

  担当講師

  • 松岡 正人

  プロデューサー

  • 井上 博之

  分野・キーワード

  • 脆弱性
  • IoT
  • SBOM

  講義概要

  IoTシステムは多数のサブシステムをネットワークで繋ぎ合わせることで構成され、必要な機能を随時追加・変更あるいは削除することが可能です。また、それらのサブシステムを構成するソフトウェアにはオープンソースソフトウェアから、OS、データベース、UIやプロトコルのライブラリ、業種固有の専用アプリケーション（クレジットカード処理やデータ可視化、ウェブアプリケーション）を実装するための商用ソフトウェアなど多岐にわたります。これらを管理するための手法はSCA（Software Composition Analysis）と呼ばれ、ソースコード、パッケージ、バイナリーなど流通する形態を問わず解析するためのツールが存在しており、SCAの技術を用いて生成管理されるソフトウェア部品表（Software Bill of Materials/SBOM）は、ソフトウェアのリスク管理の最新手法として世界中で利用が拡大しています。
  例えば、直近ではApache Log4jの脆弱性が昨年末に公開されたものの、産業用制御システムや医療システムで用いられるアプリケーションでも利用されていたため、大きな問題に発展しました（現在も対処中のメーカーがあります）が、SBOMを用意することで脆弱性に限らず、ソフトウェア利用の際に、ライセンスや来歴、オリジンなどのリスクを可視化することができます。
  講義では、SCAツールを使い、組み込まれているソフトウェアにどのような部品（コンポーネント）が含まれているかを解析し、それらのソフトウェア部品が抱える脆弱性から必要なセキュリティ対策を、JPCERT/CCと共同で作成したガイドを用いて導き出します。

  閉じる

• A3『医療情報システムの情報セキュリティについて考える』

  担当講師

  • 木村 映善

  プロデューサー

  • 井上 博之

  分野・キーワード

  • 医療
  • 個人情報
  • 医療機器
  • VPN
  • サプライチェーンリスク

  講義概要

  医療でもAIや医療機器、ウェアラブルセンサーが普及の兆しをみせています。このようなデータと通信、AIの融合はこれまでに考えられなかった新しいかたちの医療を実現に寄与しえます。一方で、これまで以上に情報システムへの依存が高まることで、情報システムの情報セキュリティの安全性が脅かされることが患者の命にも関わりうることが知られるようになっています。しかし、医療情報システムや医療機器が患者にどのようにつながっているのか、情報セキュリティ上の懸念が具体的にどのように医療に関わっていくのか想像がつきにくいと思われます。そこで、本講では医療機関のバーチャル見学（調整中）を通して、医療機関と医療情報システム、医療機器の実態を理解いただき、セキュリティ上の瑕疵が命に直結しうる経路について具体的に想像できるようにして、受講生がセキュリティと現実社会の関わりに関する具体的なビジョンを持てるようになること、そして社会的に具体的に貢献できるという自負心を持っていただけるようにしたいと思います。

  閉じる

• A4『ローレイヤーから見るファイルシステムの理解』

  担当講師

  • 三村 聡志

  プロデューサー

  • 井上 博之

  分野・キーワード

  • ファイルシステム
  • FAT32
  • SPI
  • SDカード
  • IoT

  講義概要

  本講義では物理の SDカードと BusPirate を用い、ファイルシステムの理解と SPI を用いた物理機器との通信を体験します。
  講義は SDカードに対して直接命令を送り、FAT32フォーマットされた SDカードから内容を読みだすことがゴールになります。
  
  最初にファイルシステムの構造について詳しく解説を行いバイナリエディタと電卓で FAT32 の世界を行き来できるようになった後、
  SDカードに対して具体的に命令を送出して、物理カードからファイルコンテンツを読み出すところまでを全員で一緒に体験します。
  
  手厚くサポートを掛けますので、基本的な Linuxの操作ができてバイナリダンプをひたすら眺めることが苦でないのであれば、楽しく体験することが出来ると思います。

  閉じる

• A6『チップレベルでカスタマイズができることで見える世界の体験』

  担当講師

  • 秋田 純一

  プロデューサー

  • 井上 博之

  分野・キーワード

  • LSI
  • HDL
  • ARM
  • FPGA
  • メルトダウン

  講義概要

  集積回路（LSI）はコンピュータのCPUをはじめ、あらゆる電子機器の基本パーツで、その進化はコンピュータの進化と表裏一体です。その進化の結果、あまりに高度化、複雑化したLSIはブラックボックスとなり、中身を知らなくても多くのことができるようになりました。しかしそのことは、以前あったCPUの根本的な脆弱性「MeltDown」のような深刻な問題の遠因ともなりえます。 この講義では、LSIを設計することに立ち返り、その視点からコンピュータというものを改めて見つめ直すことを目指しています。 具体的には、論理ゲートレベルの単純なものから、徐々にARMやRISC-V等の複雑なLSIを、それぞれにあった手法で設計しながら、その仕組み、その可能性を体験します。そしてそれを通してコンピュータというものに対する新たな視点を得ることを目標とします。

  閉じる

• A7『車載ネットワークを流れるCANパケット解析演習』

  担当講師

  • 井上 博之

  プロデューサー

  • 井上 博之

  分野・キーワード

  • コネクティッドカー
  • 車載LAN
  • CAN
  • パケット解析
  • なりすまし

  講義概要

  現在の自動車には数十のECU（制御コンピュータ）が搭載されており、CANやLINまた最近だとEthernetなどの車載ネットワークで相互に結ばれています。演習では、ECUやCANネットワークで構成される実習用ネットワークとLinuxノードを教室に設置し、CANにつながるECUをエミュレーションするLinuxノードに各人のPCからアクセスし、CANネットワークに流れているパケットを取得し解析する方法をPythonを使った簡単なプログラムを作成しながらハンズオン形式で解説します。また、実車からキャプチャしたパケットを実習用ネットワークに流して解析したり、なりすましデータを作って実車のメータパネルやハンドルの動きを観察したりすることで、車載ネットワークの挙動を理解していきます。

  閉じる

Bクラス

• B1『Webプロダクトセキュリティへのいざない』

  担当講師

  • 米内 貴志

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • Web
  • Webセキュリティ
  • プロダクトセキュリティ

  講義概要

  Webセキュリティクラスとしては1コマ目となる本講義では、Webプロダクトセキュリティや、よりマクロなプロダクトセキュリティの概観を捉えることで、5日間で学ぶ要素技術の関連性を大まかに理解していただきます。その後は5日間、同じクラスの受講生間でいい刺激が発生するよう、アイスブレークとしての事前課題の成果発表と、全講義共通で求められる知識・技術に関する技術的なコラボレーションの機会を持つ予定です。

  閉じる

• B2『開発プロセスを攻撃者の視点で捉える』

  担当講師

  • 末澤 裕希
  • 白石 三晃

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • レッドチーミング
  • パープルチーミング
  • サイバー攻撃シミュレーション
  • 脅威分析
  • クラウド
  • ソフトウェアサプライチェーン

  講義概要

  本講義では、攻撃者の思考・感情・判断基準に関する深い理解を受講者に与えることにより、ベストプラクティスの確立されていない領域においても攻撃者目線で脅威分析を行い、自らセキュリティ対策を立案できる人材の育成を目指します。
  
  【前半（講師：白石）】攻撃者の視点を知る（2時間）
  架空の組織に対して行われるサイバー攻撃の一連のプロセスを解説することにより、受講生が攻撃者の視点で物事を評価するスキルを身に着けることを支援します。
  セキュリティエンジニアを目指す人にとって、単体のセキュリティ技術あるいはトレンドとなる攻撃技術について学ぶ機会は多くあり、良質なコンテンツに個人が自由にアクセスできる時代になりました。しかし、個々のセキュリティ技術や攻撃手法を理解することと、攻撃者の思考や感情を理解することには大きな違いがあります。ほとんどの人にとって、現実世界に対してサイバー攻撃を実施し、攻撃者の見る世界を肌で感じる機会はごく限られています。
  本講義は、講師が従事するサイバー攻撃シミュレーションサービス「レッドチーム演習」での経験に基づいています。業種やIT環境の異なる多様な組織に対するサイバー攻撃シミュレーションの経験を元に、Windows/macOS/クラウド/AV・EDR/マルウェア/MFA/物理侵入/ソーシャルエンジニアリングなど多様な切り口から、組織に対するサイバー攻撃がどのように行われていくのかを解説します。その目的は、研究やリサーチだけでは得られない、実体験に基づくナレッジを可能な限り共有することにより、攻撃者の思考、感情、判断基準、マインドセットを受講者に理解してもらうことです。
  本講義を通じて、開発するプロダクトやそこで利用するテクノロジに関わらず、あらゆる環境に適用可能な「攻撃者が何を狙うかを自ら考える力」を体得することにより、広くITに関わるすべての受講者に、セキュリティを意識した業務を行なうための地図を提供することを目指します。
  
  【後半（講師：末澤）】攻撃者の視点を対策に活かす（2時間）
  前半で学んだ攻撃者の考え方をどのように対策として活かせるかを、実際に脅威分析や対策（防御・監視）を行う立場から解説します。
  セキュリティ業界では、様々な対策方法・ベストプラクティス・フレームワークが提唱されていますが、攻撃者の視点から見ることで足りないポイントを見つけることが出来ますし、そもそも未成熟な領域も多く残っています。
  講師は、この10年で普及してきた"ゼロトラスト"、"CI/CD"、 "クラウド"などを用いる、成熟したベストプラクティスの確立していないようなIT環境・プロダクション環境で働いてきました。
  本講義では、そういった未成熟な環境における開発プロセスに対して攻撃者の視点を適用することで、どういった攻撃が可能であり何がセキュリティ対策になるのか、脅威分析および攻撃・対策をハンズオン形式で実践しながら、現状の限界も含めて理解していきます。最終的に、受講者が企業や今後の世の中をセキュアにしていくための力を身につけることを目指します。

  閉じる

• B3『クラウドネイティブセキュリティの実践と戦略』

  担当講師

  • 森田 浩平

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • コンテナ
  • インフラ
  • Kubernetes
  • eBPF
  • IaC

  講義概要

  本講義では、コンテナ型仮想化やクラウド環境などのインフラセキュリティに関する考え方や知識の習得を目的としています。
  Linux コンテナや、その実行基盤である Kubernetes などの仕組みについて学び、そのセキュリティについても学んでいきます。また、実際の運用を見据えたセキュリティとして、それらの環境における予防的統制(防御)と発見的統制(検知)の考え方を学び、実装してもらいます。IaC の解析やカスタムコントローラー、eBPF によるモニタリングなどについて紹介する予定です。

  閉じる

• B4『Webサービスにおける安全な認証とID連携の実装』

  担当講師

  • 倉林 雅

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • 認証
  • 認可
  • FIDO
  • OpenID Connect
  • OAuth

  講義概要

  本講義では、Webサービスにおける認証とID連携の技術と実装について学びます。
  SMSやメールを利用したパスワードレス認証や端末を利用したFIDOによる認証などが普及し始め、従来のパスワードによる認証が置き換わりつつあります。
  また、サービスごとに認証システムを自独実装しなくともID連携技術を用いたソーシャルログインによってユーザーのID管理の負担を減らすこともできるようになってきています。それらのID技術を取り巻く状況に加えて、FIDO、WebAuthn、Passkeyといった最新の認証技術や、多くのサービスで普及しているOpenID Connect（OAuth 2.0）のID連携技術をご紹介します。
  また、座学に加えてハンズオン形式で実際にWebアプリケーションのプログラムに触れながら認証・認可技術の実装の注意点やセキュリティー対策についての解説を行います。（実装する技術やプログラミング言語についての詳細は後日公開）

  閉じる

• B5『適応し続けるプロダクトとセキュリティ』

  担当講師

  • 鈴木 研吾
    

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • プロダクト
  • 変化
  • アジリティ
  • セキュリティ
  • ガバナンス

  講義概要

  プロダクトを通じて価値を提供することは、複数のステークホルダーが絡む不確実性に向き合うことを意味します。
  不確実性は、内的・外的に関わらず絶え間なく変化し続け、その変化の幅・スピードはあがるばかりです。
  また、マルチプロダクトから始まる新興プロダクトも近年では見られるようになってきています。
  プロダクトを支えるにあたって、プロダクトにおける情報セキュリティも原則に従いつつ、常に最善手を変化させていく必要があります。
  本講義では、プロダクトの価値を確保するにあたって取り組むべき要素や、変化し続けるにあたってみるべき姿勢・指標をハンズオン等で提供したいと思います。

  閉じる

• B6『ソースコード解析によるWebアプリケーションの脆弱性調査』

  担当講師

  • 西谷 完太
  • 山崎 啓太郎

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • 脆弱性
  • Webセキュリティ
  • セキュアコーディング
  • ペネトレーションテスト

  講義概要

  脆弱性を見つける上で、ソースコード解析のスキルがあれば実装を理解したうえで効率的な脆弱性調査が可能です。
  また、脆弱性の原因となった実装について分析することで、開発時にそのような脆弱性を作り込まないよう活かすことが可能です。
  本講義では手動のソースコード解析に加えて、CodeQL等の静的解析ツールをOSSのWebアプリケーションに用いることで、脆弱性の検出を効率的に行う方法をハンズオン形式で学びます。

  閉じる

• B7『Policy as Code入門』

  担当講師

  • 水谷 正慶

  プロデューサー

  • 米内 貴志

  分野・キーワード

  • OPA
  • Policy as Code

  講義概要

  情報セキュリティの分野でも、いままで人が作業していたようなことをソフトウェアの力を使って置き換えるようなエンジニアリングの動きが近年広がっています。その一つとして、組織やチームで定めたポリシーにしたがって判断をしたり、ポリシーに準拠しているかのチェックをコード化によって機械的に実施する「Policy as Code」という考え方があります。この講義では「Policy as Code」がどのような取り組みなのか、具体的にどのようなことができるのかについて実例とともに紹介していきます。また、Policy as Codeの分野で注目されている実装のOpen Policy Agent（OPA）とその記述言語であるRegoについても簡単に紹介し、実際にポリシーをコードで記述するハンズオンまで実施したいと思います。

  閉じる