セキュリティキャンプ全国大会で学んだこと

セキュリティキャンプ 全国大会で学んだこと ペンギン内閣

自己紹介 • ハンドルネームはペンギン内閣 • 現在21歳、情報科学科の通信制大 学1年生です • 高卒→浪人→大学中退→半年イン ターン→現在の大学 • CLIツールやWebサービスなどの個 人開発をしています • 応用情報、AtCoder緑、 SecHack365修了、将棋初段です

セキュリティキャンプとは 4泊5日でセキュリティについて 学ぶ合宿です。 80人近くの受講生が施設に集結 し、交流や講義、ゼミを行いま す。 受講生とスポンサー企業の交流 会もあります。 画像引用：https://www.ipa.go.jp/jinzai/securitycamp/2023/zenkoku/hjuojm000000m7ijatt/ps6vr70000008pg8.pdf

• https://www.ipa.go.jp/jinzai/security-camp/2023/zenkoku/hjuojm000000m7ij-att/ps6vr70000008pg8.pdf

セキュリティキャンプの内訳と位置づけ 引用： https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/cyber_human/pdf/003_03_00.pdf

• https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/cyber_human/pdf/003_03_00.pdf

セキュリティキャンプ全国大会のコース 内訳 専門コース 開発コース 一つのテーマに関してセキュ リティの講義を受けていく 一つのテーマに関するプロダ クトを開発していく 例：AIセキュリティについて 学ぶ 例：Cコンパイラを自作する

セキュリティキャンプ全国大会のコース 内訳 – 今回話すのはこっち 専門コース 開発コース 一つのテーマに関してセキュ リティの講義を受けていく 一つのテーマに関するプロダ クトを開発していく 例：AIセキュリティについて 学ぶ 例：Cコンパイラを自作する

合格までの経緯

私が目指すキャリアの目標 プログラ ミング セキュリ ティ知識が ある開発者 セキュリ ティ

私が目指すキャリアの目標 競技プロ グラミン グ プログラ 個人開発 etc ミング セキュリ ティ知識が ある開発者 SecHack 365 セキュリ セキュリ ティキャ ンプ ティ etc

今回の応募までの経緯 応募年齢制限 Scratchから Cコンパイラ の上限に！最 プログラミン ゼミに応募す 後のチャンス グを始める るも落選 だ 数え年10歳 数え年20歳 数え年22歳 SecHack365 インターンが 参加。 忙しく応募で セキュリティ きず キャンプを知 数え年21歳 る 数え年19歳

前回の応募を振り返って 原因 考察・対策 前回のCコンパイラゼミ応募では、 Clangのオプションを変更して挙動を観 察する、表面的な話で終わってしまった 私は、一つのプロダクトを突き詰めて 考えていくのは得意ではない？ 飽き性で、短期間で作れるコマンドライ ンツールやネタ開発ばかりしてきた 自分に適した応募課題のコースを探す

B【プロダクトセキュリティクラス】を 選ぶ コース内容への洞察 選んだ理由 プロダクトセキュリティクラスは、 私は高レイヤーの技術や情報システ クラウドやコンテナ、Webサービス ム開発に触ることを目指していて、 のセキュリティを中心に扱うコース このコースは適していた Web アプリケーションの設計・開発 与えられた課題を考察するよりも、 経験を書くなど、応募課題の設問の 自分でやってきた成果物や経験を書 自由度が高かった くほうがやりやすかった

応募戦略 狙い 細々といろいろなものを作ってきたのを アピールしたい 実践 100個近い自分の作品をすべて紹介する 作る過程で様々な技術スタックに触れた それぞれの作品で技術スタックを記載す ことをアピールしたい る 具体的なエピソードでリアリティを持た 運営スタッフをした際、自分の体力不足 せたい が露呈した話などを書いた 諦めない力をアピールしたい 分からないものはChatGPTを頼った

B【プロダクトセキュリティ クラス】に 合格しました 自分を見つめ、改善することの重要性を学びました。

事前学習

事前課題が始まる Go TourやTypeScript、 Fastlyのチュートリア ルをこなす 自主的にKWL表を取り 入れ、『マスターリン グAPIアーキテクチャ』 の半分ほどを読む パスキー、OIDCに関す るスライド資料を読む k8sに関するドキュメン トを読む AWS CLIの環境構築

事前学習をした感想 一人で作業して いて、モチベが 続かない 顔合わせしてい • そもそも、私 ないので作業通 が作業通話が 話をしづらい 得意ではない 本当に理解でき ているのか、不 安だった

セキュリティキャンプ 全国大会で学んだこと

学ぶ前の私 学ぶ前 認可と認証の違いや認証プロトコルの認 識があいまい Web サービス設計の際、どのようにセ キュリティを考えればいいか分からない K8sを理解していない。名前だけは知っ ている

Bクラス学習の流れ • B1～B6までの講義が あります • 無敗塾という架空の プロダクトテーマに 沿って、カリキュラ ムが組まれている • つまり、個々の講義 が孤立しているので はなく、連続してい ます 画像引用： https://www.docswell.com/s/tanafuji -sec/KEYWDG-2025-seccamp-b#p1

• https://www.docswell.com/s/tanafuji-sec/KEYWDG-2025-seccamp-b#p1

B1：クラウドのログ解析&アラート • ログを一元管理するこ とはモニタリングにお いて極めて重要です • この講義ではログを集 約し、SQLで解析、ア ラートを投げる一連の 流れを体験しました 画像引用：https://github.com/m-mizutani/seccamp-2025b1/blob/main/docs/images/arch.jpg

• https://github.com/m-mizutani/seccamp-2025-b1/blob/main/docs/images/arch.jpg

B2：設計開発テストのセキュリティ • この講義では、早い段階で セキュリティを意識する Shift-leftを学びました • バグ修正コストが開発工程 の進捗に対して指数的に増 えるベームの法則を知りま した • アーキテクチャに対して脅 威モデリングを行い、欠陥 を洗い出す流れを経験しま した 画像引用：https://www.docswell.com/s/a-zara-n/KPGX742025-08-14-143959#p31

• https://www.docswell.com/s/a-zara-n/KPGX74-2025-08-14-143959#p31

B3：パスキーやデジタルアイデンティティ • パスワードやSMS認証と 比べたパスキーの優位性 について学びました • また、Auth2.0の認可、 OIDCの認証のプロトコル を学びました • 右画像は事前学習資料の OAuth2.0 Authorization Code Flow 画像引用：https://www.slideshare.net/slideshow/openidconnect-id/52156627

• https://www.slideshare.net/slideshow/openid-connect-id/52156627

B4：k8sのセキュリティ • k8sクラスタのセキュリティ診断 や操作を行うハンズオンを行いま した • 私はk8sの経験がなかったため、 kubectlでクラスタを確認したり、 コンテナのシェルに入ったりして、 どのようなことが行われているか 確認しました 画像引用：https://github.com/kyohmizu/seccamp2025B4/tree/main/01_scenario

• https://github.com/kyohmizu/seccamp2025-B4/tree/main/01_scenario

B5：レッドチーム演習 • 攻撃者の視点に立ち、架空の会社のシステムの中枢に侵入する レッドチーム演習を行いました • 端末の乗っ取り、GitHub Actionからシークレット情報の抜き取り、 クラウドストレージからデータの搾取など一連の流れを体験しま した • レッドチームの役割分担についても説明がありました • レッドチーム演習を終えた後、どのように対策をすれば攻撃を防 げたかをチームで議論しました

B6：APIアーキテクチャ • マイクロアーキテクチャやADRの概 念を学びました • ストラングラーフィグやカナリアリ リースなどのリリース戦略について 学びました • MITRE ATT&CKなどをベースに アーキテクチャに対して脅威モデリ ングを実施する演習を行いました 画像引用： https://www.oreilly.co.jp/books/images/picture_large 978-4-8144-0089-8.jpeg

• https://www.oreilly.co.jp/books/images/picture_large978-4-8144-0089-8.jpeg

企業交流 • 企業ブースに立ち寄って、セ キュリティの視点から会社の詳 しい話を聞くことができました • 立食で交流することができ、名 刺交換をできました • セキュリティキャンプで学んだ 学生が企業とつながり、産学連 携のサイクルが回っているのだ と感じました ※左画像はスポンサー企業のパネル。企業交流会の参 加企業のリストではない

その他学んだこと 私がインドアな人間だったため、一人で4泊5日の長期滞在の経験がなく、 いい経験になった LT枠に応募し、150人という大人数の前での発表を経験した • メジャーな技術だと被りそうな気がしたので、IBM Zを選んだ 共通講義では、セキュリティを題材にした自主制作アニメなどユニークな 話を聞けた

学ぶ前と学んだ後の私の変化 学ぶ前 学んだ後 認可と認証の違いや認証プロトコルの認識が 認証と認可の違いを理解し、OIDCのプロトコ あいまい ルの概要を知る Web サービス設計の際、どのようにセキュリ MITRE ATT&CKを使った脅威モデリングを体 ティを考えればいいか分からない 験し、どうシステムを検証すればいいか学ぶ K8sを理解していない。名前だけは知ってい ポッドやノードの概念や実際にAWS上でクラ る スタを触って体験できた

今後の活動方針 プログラ ミング セキュリ ティ Webシステム開発を 中心に様々な技術に 触る まず開発者として一 人前になる セキュキャンネクス セキュリティの知見 トへの挑戦やCTFの を自身の開発プロセ 学習 スに組み込む 大学での学習や地方 基礎力 セキュキャンmini 上記二つを支える基 TAに参加し体力をつ 礎力をつける ける

セキュリティキャンプは どんな人におすすめ？

セキュリティに興味があって アクティブな人は もう言うまでもなく超おすすめな んですが…

実はこんな人にもおすすめ 交流したいがシャ イな人 同じ合宿で同じ食事を食べるから、自然と話す機会が生まれます 受講生が100人近くいるため、色々な人と話せるチャンスが多い！ 作りたいものがあ 人工衛星やCDN、Cコンパイラ自作ゼミなどがあって、ガンガン作りたい人 る人 にもおすすめです セキュリティ関連 少々動機が不純な気もしますが、スポンサー企業の担当者と話ができるので に就職したい人 そういう観点からも有効だと思います セキュアな開発者 開発者がセキュリティの知見を持つことは重要です。特に私が参加したプロ になりたい人 ダクトセキュリティクラスではセキュアなクラウド開発を学べました

おわり