初の全面オンライン開催となった2020年度SecHack365から見えてきた、新たな兆し

自分の持つアイデアや問題意識を形にして発表し、寄せられた意見や評価を糧に、互いによりよいものへと磨き上げていくーーそんなもの作りの姿勢を学ぶプログラムが「SecHack365」だ。例年は全国各地で行われる6回の集合イベント経てもの作りを進めてきたが、折悪しく新型コロナウイルスが猛威を振るったことから、2020年度はすべてオンラインに置き換えて進められた。

世の中では、「対面でこそ実のあるブレーンストーミングやコミュニケーションが行える」といった先入観が根強いかもしれない。だが2021年3月5日に行われた成果発表会には、そんな声を軽くはねのけるユニークなアイデアや新鮮な目の付け所を形にした「作品」が勢揃いした。

3月5日に開催された成果発表会の様子

オンライン開催となった2020年度SecHack365、短期間でも生まれた多彩な成果

2020年度のSecHack365は2020年7月から2021年3月にかけて行われ、選抜をくぐり抜けた43名のトレーニーが全国各地から参加した。昨年度まではオフラインで2泊3日で行われた集合イベントを、1週間から1か月程度の「イベントウィーク」に置き換え、その間の週末や夜(場合によっては昼も)をもの作りやプレゼンテーション、動画の作成に当てるスケジュールだ。イベントウィークの始まりと終わりには「イベントデイ」を設け、一つの区切りとした。

イベントデイはオンラインでも明るい雰囲気で開催している

すべてのプログラムをオンライン化するのは初の試みということもあり、トレーニーはもちろん、トレーナーも試行錯誤で進めてきた一年間。だが、イベントウィークにおける積極的な取り組みに加え、オフラインのイベントで自然発生的に生まれる会話を再現すべく、チャットで多彩なテーマについて議論を楽しむ「トレーナーを囲む会」をたびたび開催した結果、コミュニケーションはかなり活性化した。アシスタントの中から「オンラインでわいわい楽しんでいる様子は、例年以上に楽しいよ」といった声が上がるほどだったという。

こうして自分のアイデアを温め、ほかのトレーニーのアイデアを参考にし、寄せられた意見を生かして生まれた作品の1つが、野本一輝さんの「接触確認アプリのセキュリティ・プライバシーリスク評価」だ。

「実社会に役立ち、かつインパクトのあることを」と考えた野本さんは、今もいろいろな意味で話題を呼んでいる新型コロナウイルス接触確認「COCOA」の仕組みを解析。本来秘匿すべき情報である陽性者個人の情報を特定できる「陽性者特定攻撃」や、感染していないのに偽の接触履歴があったとアプリに表示させる「偽濃厚接触攻撃」が可能であることを示し、優秀作品の1つに選出された。野本さんはトレーナーの意見も参考にしながら、JPCERT/CC経由でCOCOAの開発元やGoogleなどにも脆弱性について報告しており、「今後対応を検討していく」旨の回答を得たという。

「指紋組み合わせ認証を搭載したスマートロックと握るだけで解錠できるスマートドアハンドル」を作成した工藤蒔大(しお)さんは、「最近では、スマートフォンを組み合わせた“スマートロック”が登場しているがスマホすら面倒だ、という思いがあり、生体認証を組み合わせて強固なセキュリティとユーザビリティを両立したスマートロックと、静脈認証により、握るだけという自然な操作で認証できるスマートドアハンドルを作成しました」と語る。成果発表会のインタビューでは、「ソフトウェアに比べ、お金がかかったり、ものを注文しても届くまでに時間がかかったりで大変でした」と振り返っていた。

正統派という表現が適切かどうかは別として、サイバーセキュリティの専門的な分野を追求した作品もあった。その1つが野村和也さんの「GTotal −アンチウイルスは本当に正確?−」だ。

マルウェア検知の研究に取り組む中で、複数のウイルス対策ソフトを用いて疑わしいファイルを検査できる「VirusTotal」にもし間違いがあったらどんな影響があるのかという疑問が浮かび、実際に4ヶ月間かけて33万個を超える検体を収集して検証した。この結果「スキャンをしてから時間が経てば経つほどブレが生じるため、最後のスキャンのタイミングが重要だ」といった具合に、どのような場合に間違いやすいかを見出し、成果をICSS研究会でも発表したという。

また藤村匡弘さんは、仮想マシンイメージの脆弱性検知ツール「仮想マシンイメージの脆弱性検知ツール Molysis」を開発した。最近、コンテナイメージの脆弱性をスキャンするツールがいくつか登場しているが、仮想マシンの場合はいったん構築しないとスキャンが行えない。そこで、工夫して仮想マシンの仕様やファイルシステムを読み解き、少ないリソースで、透過的に仮想マシンイメージを解析し、脆弱性データベースと付き合わせて検知するMolysisを開発した。コンテナのサイクルと同じようにビルドパイプラインの中で脆弱性を検知することで、より安全な環境作りに役立つだろう。

個人的に気になったのは、古田花恋さんの「物語でセキュリティ啓発」という取り組みだ。セキュリティ技術を知り、法律に則って正しく使えるように——というコンセプトで、セキュリティを物語形式で学べる「セキュリティショートショート」を執筆し、技術書典で販売した。この活動をきっかけに「SecHack365文芸部」も立ち上がったという。エンジニアリングやもの作りというと理系の活動というイメージが強いが、このようなアプローチもあるのだと強く印象づけられた。

ニューノーマル時代におけるエンジニアとしての新しい振る舞い方の兆しも

トレーナー長を務める横山輝明氏は2020年度のSecHack365を振り返って、確かにトレーナーとトレーニー、あるいはトレーニー同士が直接顔を合わせる機会がなかった上、過去の年度に比べて短い期間のプログラムとなったが、トレーニーの成長や生まれた成果は例年と同様に素晴らしいものだったとした。

SecHack365は、ただ単に技術やスキルを身につけるためのプログラムではない。身につけた技術を形にして、社会や世の中にアウトプットとして出し、アウトプットに対するさまざまな意見や評価を恐れず受け止め、受け入れるべきものを自分で選択してさらなるアウトプットを継続的に出し、価値を生み出していく——そうしたエンジニアとしての土台の部分を作り、習慣づけること、言ってみれば「人間性」を作り上げることも目的とした長期的なプログラムだ。

この基本的な方向性を踏まえ、コロナ禍の中でよりよい方法を模索する中で、いくつか新しい取り組みが生まれた。

1つ目は前述の「囲む会」だ。「オフラインのように偶然すれ違って声をかけるといった機会が少なくなった分、なるべく多くの人が触れ合うために企画しました。たとえばトレーナーが自分のやっていることを紹介し、同じようなことに興味を持っている人とチャットで交流したり、ある特定のトピックを元に意見を出し合ったりする、という場です。この結果、交流の回数はこれまでになく多くなりました」(横山氏)

囲む会では興味のあるトレーナーをトレーニー達が囲んで議論

初の全面オンライン開催となった2020年度SecHack365から見えてきた、新たな兆し

事実、複数のトレーニーが、囲む会を通じて参加者の意外な一面を知ったり、かと思えば「カレーでセキュリティを考える」といったユニークなテーマでいろいろな話をすることができ、非常に楽しかったと述べていた。成果発表会の「直撃!優秀トレーニーインタビュー」に登場した優秀トレーニーの一人、野村さんは「サイバーセキュリティを世の中に啓蒙する方法を考える企画で、アイドルを活用しようと考え、握手会の券を公開鍵で暗号化するといったアイデアが出て大喜利大会になり、それがとても楽しかったです。オンラインだからこそ盛り上がったのかなと思います」と振り返っていた。

この囲む会は非常に盛り上がり、最初は「トレーナーを囲む会」として運営側が企画していたのが、自然に広がり、自分の取り組みを互いに発表する「トレーニーがトレーニーを囲む会」に発展していったという。

「オンラインならではの独特の空気感もあり、興味を持つ人同士が集まって非常に盛り上がりました。世の中では、やれリモートワークだ何だと苦労していますが、彼らはすでにわれわれの一歩先を行っており、ニューノーマル時代、オンラインにおけるエンジニアとしての新しい振る舞い方の兆しを得られたのではないかと思います」(横山氏)

二つ目の取り組みは、動画コンテンツの活用だ。実はトレーナー側にも、これまで合宿でやってきたことをそのままZoomに載せればいいでのはないかというある種の「固定概念」も残っていたが、それを取り払い、実に42本もの動画コンテンツを作成した。同時にトレーニーにも、プレゼンテーションやポスター展示だけでなく、動画による発表という新しい取り組みを求めた。

(40を超える共有された動画はいつでも自由に見ることができる)

「この結果、2つの面白い効果が得られました。1つは、普通のプレゼンテーションだと緊張してうまく話せないような子でも、事前に動画を作り込んでおくことで丁寧に発表したり、よりよい発表を実現できたことです。もう1つは、こうしたストック型、非同期型のコンテンツを使うことで、他の人の内容を見ていいところを真似ていくことがやりやすくなったことで、予想以上の学びが得られました」と、オンラインならではの良さを振り返った。

やはり成果発表会の「直撃!優秀トレーニーインタビュー」において、優秀トレーニーの1人である竹田大将さんは「今年は全員成果についての動画を撮って成果発表会で公開しましたが、素晴らしい動画揃いで、みんなでわいわい言いながら見るのが楽しかったです」と振り返っていた。

成果発表会での直撃!優秀トレーニーインタビューの様子

横山氏はこうしたトレーニーの反響も踏まえながら、「一年間を通して一回も実際に顔を合わせていないにもかかわらず、オンラインでもちゃんと仲間を見つけ、互いのアイデアや成果をためらいなく見せ合い、冷静に意見や批評を言ったり求めたりすることを、みんながこなしてくれました。この環境でも互いに見せ合い、学び合い、切磋琢磨するのは、トレーニーの皆さん自身が思う以上にすごいことであり、本当に素晴らしいことだと言いたいです」と述べ、作品を元にディスカッションするというオンラインでの振る舞いが、これから先の生き方にもつながるのではないかとした。

表現方法、習慣化、アイデア出し——年間を通じてトレーニーたちが得たものは

一方、トレーニーたちはこの一年間を通じて何を感じ、何を得たのだろうか。 「直撃!優秀トレーニーインタビュー」のコメントから追いかけてみよう。

前述の通り2020年度のSecHack365では、これまでのプレゼンテーションやポスターだけでなく、動画による発表も行うことになった。攻撃的投稿調査ツール「Tesave」を開発して優秀トレーニーに選ばれた大畑和也さんは「僕はセキュリティ以外の分野からアプローチしていますが、その立場からセキュリティの分野で活躍しているトレーナー陣にどう伝えるか、いろいろな表現方法を模索し、試行錯誤しました」と振り返った。

また、本業である学業との両立に取り組んだトレーニーも多かった。学校の研究とは別のテーマに取り組んだ結果、どちらかが煮詰まったらすっぱりもう一方に切り替えてうまく進めたという大畑さんのような例もあれば、「SecHack365をがっつりやる日以外にも、いろいろなところから意見を得られました。自分の作品ではエントロピーを活用しましたが、そのアイデアも学校での情報理論の勉強会から得たものです。一年を通して、いろんなところにヒントが転がっているんじゃないかということを思いました」という野村さんのようなケースもあったという。

「接触確認アプリのセキュリティ・プライバシーリスク評価」に取り組んだ野本さんは「SecHack365を通してためになったことの1つは習慣化です。今日やったこと、今日思ったこと、明日やることを進捗報告として10ヶ月以上書き続けることで、『何をやらなければいけないか』が明確になると分かりましたし、それが当たり前になったことが、とても自分のためになりました」と述べた。同時に、トレーナーからのさまざまなアドバイスが、特に脆弱性報告を行う際に役立ったという。

2021年の春からセキュリティ関係の仕事に就くという野村さんは、「準備というわけではないですが、セキュリティ関係のさまざまな人と知り合えたこと、そして法律や論理面の話を聞けたことが収穫でした」と述べた。

もちろんSecHack365はセキュリティの分野だけでなく、開発やハードウェアなどさまざまな領域に興味を持つ若者を歓迎している。その一人である工藤蒔大さんは、「SecHack365を始めるまではまったくセキュリティに触れてきませんでしたが、一口にセキュリティといっても、野村さんが触れた法律面も含めさまざまな分野があることを知ることができ、今後に役立ちそうだと感じています」と述べている。

「iGenc(Internal GPU encrypt):SoC内GPUを用いたユーザエクスペリエンスを低下させない暗号処理機構」に取り組んだ竹田さんも同じく、「セキュリティを勉強したことはありませんでしたが、SecHack365を通して自分のやりたい分野にセキュリティを組み合わせることの可能性に気付きました。機械学習でも低レイヤーでもWebでも、セキュリティはすべてに関係してきます。この先自分が何かをやるときに、頭の片隅でセキュリティを考えるきっかけになりました」とした。

これを受けてNICTの園田道夫氏は、「本業とするもの作りをガンガン進めつつ、そこにセキュリティのエッセンスを加えられる『プラスセキュリティ人材』が世の中には圧倒的に足りません」と述べ、その意味で修了生らの今後に期待したいとした。

「アイデアの出し方が最もためになったと思っています」と述べたのは、「カジュアルにDIDを扱うツール Cassis」を作成して優秀トレーニーの一人となった黒澤佑太さんだ。「このままでは自分の役にしか立たないアプリケーションになってしまうのではないかと迷っていたとき、トレーナーから『自分の需要の先に他人の需要がある』という言葉をもらいました。それがアイデアを決める大きな助けになりました」(黒澤さん)

SecHack365では年間を通して、「あらためて考えてみると、自分のやりたいことがよくわからなくなってしまう場合」「やりたいことは分かっていても、具体化の方法が分からない場合」など、進捗のステップに合わせてアドバイスや指導を行ってきた。今後もそれを継続しつつ、「アイデアもあるし、それを作る技術もある場合」には、さらに一段高いレベルを目指していきたいと横山氏は考えている。

話を伺ったトレーナー長の横山 輝明 氏

「たとえばトレーニーがやっていることを現場に、実際の解決したい課題に適用したら何が起こるのかという部分にもトライしてもらいたいと思っています。実際に試してみることで、うまくいく部分、それほどうまくいかない部分もわかってきて、問題解決のための本当の課題が見つかるかもしれません。そうやって、トレーニーたちの作品づくりをより実践的にするためのアイデアが生まれてくるかもしれません」(横山氏)

オンラインとオフラインの良さを組み合わせた2021年度のSecHack365に

スタートから4年を経て、SecHack365の修了生も171人を超えるまでに増えた。毎年同窓会的な「SecHack365 Returns」を開催し、人のネットワークを蓄積するとともに、それぞれが自分の道を切り開き、問題解決に取り組んでいる。

「中には、SecHack365を通してトレーナーやトレーニーから聞いた話に触発されて研究者の道を志すことにした修了生、さらに他のプロジェクトを経て起業した修了生、元々持っていた問題意識を追求し続けて活動し続けている修了生など、アウトプットを元にいろいろなことに取り組む修了生が出てきています」(横山氏)

2021年度のSecHack365の募集もまもなく開始される。新型コロナウイルスの影響を考慮し、前半はオンライン開催となることが決まっているが、完全オンラインの一年間を経験したからこそ、オンラインならではの良さとオフラインならではの良さ、両方がうまくかみ合ったプログラムになるだろう。

「全国の仲間が接触しやすくなったとも言えます。自分が作っているものを仲間に見せ合って、よりよいものにしていく切磋琢磨の環境作りを、これまで以上にいいものにしようとしています」(横山氏)。SecHack365で作られる「作品」と同じように、SecHack365自体も毎年よりよいもの、ベストなものを目指していく。ニューノーマルの時代にふさわしい新世代のエンジニアの卵達のアイデアが形となり、フィードバックを得て羽ばたいていくことに大いに期待したい。

もの作りを通してその先へーー2019年度のSecHack365修了生がつかみ取ったもの1年間の長丁場、四苦八苦しながらモノを生み出すSecHack365

カテゴリー