セキュリティ・キャンプ全国大会2026 専門コースB【プロダクトセキュリティクラス】応募課題 必答問題(Q.1 から Q.3 まで)の問題すべてと、選択問題(Q.4 から Q.6 まで)の中の少なくとも 1 問に解答してください。 ---------------------- 【補足事項】 ---------------------- (1) この応募課題の設問は、どれも応募してくださるあなたの「現状の知識・経験の広さ・深さ」「興味・感心の範囲や強さ」を汲み取るためのものです。ぜひ自分の興味関心や知識、考えたこと、疑問等を各設問への解答として表現していただければと思います。 (2) 各設問で求めている内容が適切に盛り込まれている限り、解答の文字数の大小や日本語表現の巧拙は評価に大きな影響を与えません。また、日本語表現に関する軽微な誤りは評価に全く影響しません。とりわけ誤字脱字はあまり気にしなくて大丈夫です。 (3) 誇張を感じられる解答よりも、 ご自分の応募時点での経験や理解が真摯に表現できている解答を歓迎します。とりわけ、分からないことや確信の持てないことがあるときには「ここまでは分かったが、ここからは分からない」「これらの事例から 〜でないかと推測できるが、〜であると断言できるかは不明である」というような記述を含めていただけると嬉しいです。 (4) 選択問題においては「適切な論拠をもとにした、各設問に対して必要十分な情報を、適切な論理構造で表現できているか」を意識してください。 (5) 選択問題はきっかり 1 問のみ解答していただいても大丈夫です。途中までであっても 2 問以上ご解答いただけると、選考においては、より応募してくださるあなたの魅力を汲み取りやすくなるかもしれません。なお、選びにくい問題・難易度が高そうな問題に挑戦している応募者の評価も高めになる傾向がありました。 (6) 解答に関して何かしらの実験を行う際には、法令等を必ず遵守してください。 (7) 最近著しい進化を遂げる LLM サービスを利用して解答を作成しても構いません。限られた期間で最大限によいと思える解答を作ること、それを通して自分の見識を広げるのに、それらの技術が貢献してくれるかもしれません。 -------------------- 【必答問題】 ---------------------- ■ Q.1(応募のモチベーションについて) 「プロダクトセキュリティクラス」の講義のうち、特に受講したいと思う講義(複数可)に関して、その講義で「どのようなことを・なぜ学びたいか」を教えてください。とりわけ「なぜ学びたいか」の部分に関連して、いま応募を考えているあなたが感じておられる課題意識や、あなたの関心領域が伝わってくるような解答を歓迎します。 ■ Q.2(これまでの経験について) 以下の経験について、差し支えのない範囲でできるだけ具体的に教えてください: (1) Web アプリケーションの設計・開発経験(※ どんな些細なものでも構いません) (2) パブリッククラウド技術の利用・構築経験(※ どんな些細なものでも構いません) (3) 一般のプログラミングの経験やチームでの開発経験(※ 使ったことのある言語や、その用途などを教えてください。レイヤは問いません) (4) コンテナ技術の利用経験 なお、この問は「この応募課題を提出する時点での経験」を問うものです。この応募課題を見た時点での経験はなくても構いませんし、この応募課題の記入にあわせての学習を歓迎します。 ■ Q.3(あなたの関心・興味について) Web に関連するサービス・プロダクトを作って提供することに関連する技術で、いまあなたが興味を持っているものがあれば、興味を持った背景や調べたこと、経験などについて自由に説明してください。少しでも Web との関連性がある技術であれば、それがハードウェア領域に近いものでも、ソフトウェア領域に近いものでも構いません。 ---------------------- 【選択問題】 ---------------------- ■ Q.4(Web に関連する脆弱性・攻撃技術の検証) 「Top 10 web hacking techniques of 2025」(https://portswigger.net/research/top-10-web-hacking-techniques-of-2025) は、Web に関するセキュリティリサーチャーの投票により作成された、2025 年に報告された興味深い Web に関する攻撃テクニック 10 選です。この Top 10 中の事例の中で、興味を持てたもの 1 つに関して、以下を説明してください。 (1) 選んだ理由 (2) 事例の概要 (3) 攻撃手法の詳細 (4) その他その事例に関して感じたこと・気がついたこと なお、本設問では、関連する仕様や攻撃の適用可能な条件についての詳細な理解が垣間見えるような記述や、理解を深めるために行ったこと(例: ローカルで行った再現実験等)に関する記述を歓迎します。 ■ Q.5(LLM アプリケーションから AI エージェントへの進化に伴う脅威モデリング) (1) 「シンプルな LLM チャットボット」「RAG を用いた LLM アプリケーション」「自律的に行動する AI エージェント」の 3 つのアーキテクチャを比較した際、後者になるにつれてどのような新たなセキュリティ上の脅威が発生するか、OWASP GenAI Security Project や MITRE ATLAS などを参考にアタックサーフェスの変化に触れながら説明してください。 (2) AI エージェント特有の脅威を起点として、プロダクトやシステム全体に影響を及ぼす具体的な攻撃シナリオを 1 つ挙げ、そのメカニズムと想定される被害を考察してください。 (3) (2)で挙げた攻撃を防ぐ、あるいは被害を最小限に抑えるため、プロダクト開発・設計の観点からどのような対策アプローチが考えられるか、自由に検討して具体的に述べてください。 (4) Agent Builder、自作エージェント、MCP などを用いて、(2)の攻撃の再現実験を行ってください(環境的に難しければ思考実験でも構いません)。試行錯誤の過程を記録し、そこから得た「AI を安全にコントロールする上での技術的な限界」や「机上の防御策が実環境でいかに通用しにくいか」について考察してください。(※第三者のサービスに影響を与えないよう、安全な範囲で実施してください) ■ Q.6(ソフトウェアサプライチェーンと CI/CD パイプラインを狙う脅威の分析) (1) 「Shai-Hulud」と呼ばれる自己繁殖型ワームによる大規模な攻撃やそれに類する最近のソフトウェアサプライチェーン攻撃の事例について調査し、攻撃者がどのように初期侵入を果たし、どのように機密情報を窃取し、さらにどのように感染を拡大・永続化させていくのか、そのメカニズムを解説してください。 (2) あなたが開発チームのリーダーであると仮定します。自分たちの CI/CD パイプラインがこのような攻撃の標的になった場合、被害を防ぐため、または早期に検知して封じ込めるために、どのような技術的・運用的な対策(予防的統制と発見的統制)を講じるべきか考察してください。 (3) 任意の OSS や自作アプリに対し、GitHub Actions 等で脆弱性スキャン(Trivy 等)や SBOM 生成を自動実行する CI パイプラインを構築してください(リポジトリの提出は不要です。環境的に難しければ思考実験でも構いません)。その上で、検出された大量のアラートから「優先すべきもの」と「無視してよいノイズ」を仕分けるトリアージを試み、その試行錯誤の過程と、実体験から得られた「自動化ツールを導入するだけでは解決しない運用上の課題(トリアージの泥臭さや判断の難しさ)」について考察してください。 (4) 企業が急成長する過程で、開発の一部を外部委託したり、他社を買収(M&A)してシステムを統合したりすることがあります。このような場面において、自社の直接的な管理下から外れた見えないサプライチェーンリスクが増大します。こうしたリスクを組織としてどのように管理し、把握すべきか、あなたの考えを自由に述べてください。