アラタナエンジニアブログ

aratana Engineer's Blog

セキュリティ・ミニキャンプ in 宮崎 2017 講師をしました。

f:id:miiitaka:20171006155305j:plain

お疲れ様です!2017年度新卒の猿渡です。

「お疲れ様です」というあいさつを使えば、昼だろうと夜だろうと、 いつでも使える万能な言葉だと気付いた入社半年の今日このごろ。

先日、9/30、10/1 に 「セキュリティ・ミニキャンプ in 宮崎 2017」が開催されました。

全体の雰囲気は同期のすてきエンジニア、田村くんが紹介していますので、 そちらの記事をご覧ください。

僕の方からは、講師視点でのイベントの様子を伝えることができればと思います。

【午前】情報セキュリティと倫理

午前はまず、交流タイムを設けて参加者同士で名刺交換をしました。 こういうイベントに初めて参加する生徒・学生もいるかもしれないと考え、 他の参加者たちとも打ち解けてもらえればなぁと思いました。

その後、ディスカッションを含む講義を2回行いました。 1つ目は参加者の関心を持ってもらうために、 身近な事例として「中高生のウイルス作成罪の話」や、 「技術、道具の使い方」について話しました。

情報セキュリティは、「倫理に外れたこと = 法律違反」 となりやすいため、 これから情報セキュリティを学ぶ上でしっかりと覚えてほしいポイントとなっていました。

2つ目はSQLインジェクションの裁判や、 Librahack事件をもとに技術者と裁判について考えてもらいました。

これから、(もし)エンジニアの道として進んでいくとき、 自分や自分が作ったものが他の人に迷惑をかけず、 結果自分も幸せになるためどうすればいいかという、 自分なりの答えを見つけてもらえば最高です。

f:id:sarup:20171006133725p:plain

【午後】Webアプリケーションのセキュリティ対策と脆弱性調査

午後の前半パートは、まず基礎的な技術の説明を軽く行った後、 主な脆弱性について話しました。 ここは結構専門用語が出てきて時間内で理解するのは難しかったかもしれないので、 参加者の方々はぜひ資料で復習してもらえたらなぁと思います。

説明の後、実際にハンズオン形式でXSSSQLインジェクションを試してもらいました。 そして、ボーナス問題として、Cookieにまつわる脆弱性も仕込んでおきました。 このCookie脆弱性を仕込んだ意図としては、 後半で似たような脆弱性のあるサイトを調査するので、ヒントとして作っていました。

休憩をはさんだ後、後半は「Bad Store」を用いてどんな脆弱性が見つかるか、 調査をしてもらいました。

また、「Bad Store」はiso版ではなく、Docker版を使いました。 勧められたという理由もありますが、 Docker版の方は、OSがUbuntuであったり、 SQLインジェクションが楽しかったり(?)するためです。

まとめ

宮崎で初のセキュリティ・ミニキャンプを開催することができました。 また、参加者の中には「どうやったら講師になれますか?」というすてきな声も聞こえてきました!

今後も継続的に宮崎のセキュリティを盛り上げられるよう精進します!

最後に、丁度1年前の記事を見ていて

今後は、宮崎のセキュリティも盛り上げていきたいです!

ということを言っていました。。。

そして、「キャンプ開催するよ」「講師だから頑張って」ということがとんとん拍子で決まり、 1年後に開催という流れ。

つまり、夢が叶ったわけですね、やったー!