セキュリティ・キャンプ全国大会 2022 オンライン Aチューター 参加記

seccamp

はじめに

この度、セキュリティ・キャンプ全国大会 2022 オンライン Aクラスのチューターを担当させて頂きましたMsYです。 振り返りのために、参加記をここに残そうと思います。

追記1:Aチューター相方のよしみさんの参加記はこちらです。

yoshistl.hatenablog.com

追記2:来年度、ロバチャンを実施するかは分かりませんが、私が作成したサンプルコードを添付しておきます。

github.com

講義の振り返り

Aクラスは「IoTセキュリティクラス」となっています。

なぜAクラスを選んだかと言えば、趣味でCAN-busを触ってたり、研究や趣味(CTF)でバイナリを読んだり、脅威分析をインターンシップでやったことがあったり、と被る部分が何点かあったためです。

以下はAクラスの特徴です。

コンピュータというとPCやスマートフォンやサーバなどを思い浮かべるかもしれませんが、家にある家電製品のほぼ全て、バスや電車の制御や運行システム、病院や行政のシステム、工場の機械や電力ガスや交通信号のようなインフラも、全て何からのコンピュータで動作しネットワークで相互につながっています。それらを理解しセキュリティを強化しインシデントに対応するには、その構造や動作を一通り理解する必要があります。IoTセキュリティクラスでは、集積回路(ICチップ)やCPUの原理から、ネットワークプロトコル(通信手順)、医療情報システムや自動車内部ネットワークなどの専用設計されたシステム、ソフトウェアアーキテクチャなどの6つの題材をとりあげ、それぞれ原理や構造を解説し、実際の脆弱性や事例を紹介し、また手を動かす演習も組合せながら理解を深めていくことを目指しています。

ref. https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_characteristic.html

Aクラスは、IoTデバイスがどう生活に影響しているかを知るために、病院のネットワークの現状(A1)や、ルーターのSBOMからセキュリティ分析を行う(A6)、時にはLSI設計の初歩(A2)の体験をしました。また、通信の仕組みを知るために、ロバチャン(A3, A5)を行ったり、ファイルシステムを知るためにFAT32の解析(A4)をしました。最後は、自動車内部ネットワークをhackできる講義(A7)も用意されており、とても充実した5日間でした。

またLT大会では、研究で触っていたAFLの入力に関する内容を発表しました(スターつけて)。

speakerdeck.com

チューターとしての振り返り

アンケートに書いたものをこちらに持ってきました。

チューターとして気をつけていたこと

  • オンライン上でのやりとりを活発にするために、質問がなければ率先した。
    • しかし、受講生の方々が率先して質問することが多かったため、あまり出番がなかった。
  • 独り言でもよいのでいうよう促すことで、議論の活性化を狙った。
  • (特にA関係の)DiscordとZoomの画面を監視し、トラブルがあれば対応していた。
  • 講義前に準備しておくべき項目を共有した。
  • 講義中の補足情報があれば、URLや資料を共有した。
  • 講義中に紹介された資料の出典の検索をしなくてすむよう、その都度私が率先してチャットに投げ、アクセスしやすいようにした。
    • (ググる手間が減るが、ググらせる機会は減る。しかし、私としては講義に集中して欲しいし...)

チューターとして改善すべき点

  • 得意分野であるが故に、答えに近いことを発言してしまった。
  • ヒントを多く与えてしまったことがあり、教育的効果が低くなったことがあった。
  • A3,A5に過去出場したことがなかったため、ネクストのチューターや経験者に頼る部分が多くなってしまった。
  • 受講者の前提知識を把握せず、これは知ってて当然だと思ったことの大半が外れてしまい、本題と関係ないところの説明に時間を要した。
    • 対策としては、講義で扱う技術で必須なものを、初期段階で知っている人、知らない人の集計をとるべきだった。

最後はとても重要で、講義によってはLinuxのコマンドがさわれないと1人で設定できないこともあり、知ってる前提で説明しても無駄になったり、時間を溶かすことになります。受講者が知らないこと自体は問題ではありません。教えれば良いので。ただそれは時間に余裕がないと、本番直前で対応しようにも、チューターの数と稼働期間どちらも限度があるので、難しいというわけです。

あと事前準備の稼働時間は4時間ということを忘れてました。

オンラインの難しさ

講義直前に受講生も気づいていないような準備物があっても、オンラインでは気づきにくいです。こちらから投げても、それを見るか(見られるか)どうかは受け取り手次第なので。オフラインだと、会場にいる他の受講者のPCをちらっとみれば気づき、チューターも即座に対応できます。この辺りどうにかならないかなあ...。

最後に

チューターの業務は、担当クラスの全講義のサポート、盛り上げ役、トラブルシューティング、及びその他雑用がモリモリです。しかし、講義をタダで受けられますし、給料が出ますし、飯・ホテル代を払ってくれます。そしてなにより、キャンプ関係者と交流ができる。

全国大会・ネクスト修了生のあなたもぜひ、チューターになってみませんか?

Changelog

  • 2022/8/15: 私が作成したサンプルコードの添付

  • 2022/8/15: 誤字・脱字の修正

  • 2022/8/14: よしみさんの参加記を追加

  • 2022/8/13: タイトルの修正「セキュリティ・キャンプ全国大会 Aチューター 参加記」→ 「セキュリティ・キャンプ全国大会 2022 オンライン Aチューター 参加記」