2024年の振り返り
はじめに
2024年が終わってしまいました。
振り返ると本当に楽しいことばかりで非常に充実した一年でした。
これほど貴重な経験をいただいた人は他にいないと思えるくらい、運に恵まれていたと思います。
本記事では2024年を振り返り、活動の記録を残したいと思います。
1月
初めてのハッカソンに参加しました。
技育CAMPというイベントで、即席メンバーとともにタスク管理アプリを作りました。
私はDockerを用いた開発環境の構築とFastAPIを用いたAPI開発をしました。
どちらもほとんど触ったことのない技術だったものの、短期間で集中して開発を進める中で、理解が深めることができました。
また、この時期はちょうどブロックチェーンにも興味があったため、『ブロックチェーン実践入門: ビットコインからイーサリアム、DApp開発まで』という書籍を買ってパラパラ読み進めていました。
この頃からConnpassやサポーターズなどのプラットフォームを使って、積極的にイベントに参加するようになりました。
この時期は学校で後期期末テストもあり、学校推薦を目指して勉強にも力を入れていました。
高専に通っているということもあり、rustでシェルを実装したり、pythonでチーム開発をしたりと、実装スキルがかなり高まった月でした。
2月
この時期は物理セキュリティにも興味を持っていたため、図書館で『ハッカーの技術書 物理セキュリティの実践』を借りて読みました。
BadUSBの作り方や、WPA/WPA2-PSKのパスワード解析方法などの具体的な攻撃手法が載っており面白かったです。
また、防衛省サイバーコンテスト 2024に参加しました。
他にも1月に行ったハッカソンの継続開発ということでAPIエンドポイントやデータベース設計の見直し、Firebaseの勉強もしました。
3月
2023年度SecHackの成果発表会に参加しました。CTF界隈などで有名なshio(@shiosa1t)さんやりゅうせい(@ryusei_ishika)さん、もちもち(@motimoti_purinn)さんなどに会ってSecHack修了生の豪華さを感じました。
また、同世代の方達が有名なセキュリティ企業にインターンに行っている話を聞き、就活に関して前向きな気持ちを持ったことを覚えています。
あと、情報セキュリティマネジメント試験を受けて合格しました。
その後しばらくは、かなり前に購入したeラーニングを使ってWebセキュリティの学習をしていました。
また『ちいさな Web ブラウザを作ってみよう』というサイトを見つけ、ブラウザの実装にも挑戦しました。
途中で自力で解決できないエラーが出てしまったので完成はしませんでしたが、ブラウザ内部への理解が進んで非常に学びになりました。
4月
セキュリティキャンプとSecHack365の応募が始まりました。
両方とも課題量は多かったものの、SecHackでは過去の経験が中心に問われていたため、セキュリティキャンプの課題に時間をかけて取り組みました。
セキュリティキャンプはBの「プロダクトセキュリティクラス」に応募しました。
応募期間は約6週間ありました。
前半の2週間はランサムウェアの攻撃と防御について学ぶために、学校の図書館で『実践CSIRT 現場で使えるセキュリティ事故対応』と『ランサムウエアから会社を守る~身代金支払いの是非から事前の防御計画まで』の書籍を借りました。
MITER&ATTACKのフレームワークなども活用して具体的な防御方法を考えたかったのですが、難しい点が多く、時間がかかり過ぎてしまったため他の課題に取り組むことにしました。
その後の約2週間は、ブラウザセキュリティの知識をつけるために『Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する 』を読みました。
知らなかったセキュリティ機構や進化の歴史が具体的に書かれていて面白いだけでなく、多くのPoCも載っていたため非常に分かりやすかったです。
この辺りでSecHackの応募締め切りが近づいてしまったため、2日ほどかけてSecHackの課題を書き上げました。
残りの時間はブラウザのストレージパーティションに関する課題に多くの時間を割いて取り組んでいました。
OWASP Top 10に関する課題ではブラウザに関する話があったためそちらを記述しました。
5月
5月の中盤あたりでセキュリティキャンプの締切を迎えました。
そして、ちょうどその頃Flatt Securityのサマーインターンの応募が行われていることを知りました。
締切が約1週間に迫っていたため非常に焦ったものの、課題の前半がセキュリティキャンプの応募課題と重なる部分が多かったためなんとか書き上げることができました。
脆弱性調査に関する課題では実際にPoCの実行を行ったり、gitの修正後のコードを確認したりして深く調べました。
5月22日、SecHack365の合格通知を受け取りました。嬉しかったです。
6月
セキュリティキャンプの合格通知を受け取りました。
応募期間ずっと課題に取り組んでいたため、無事合格して安堵しました。
また、その翌日インターンシップの選考通過通知も受け取りました。
憧れの企業だったため、実際に受かって非常に喜びました。
SecHack、セキュリティキャンプ、サマーインターンと、応募したイベント全てに参加できることが決まって本当に運が良いなと感じました。今年が人生のピークなのかもしれません。
6月の頭は学校開催のイベントに向けてOAuthの勉強していました。『OAuth徹底入門 セキュアな認可システムを適用するための原則と実践 』という書籍を買い、JavaScriptとSvelteを使ってOAuthの認可システムを実装しました。
また、この月からSecHackの活動が始まりました。
第一回イベントではLTの発表を行い、OAuthについてのアウトプットをしました。
その後は表現駆動コースの活動に加え、CTF会を開催してWaniCTFの問題をトレーニーと一緒に解くなど、積極的に交流を行っていました。
他にも、Flatt Security mini CTF #5に参加しました。Firebaseのセキュリティだけでなく機能に関してもかなり理解が深まってとても勉強になりました。
この月は、DIVER OSINT CTF、SECCON Beginners CTF、WaniCTFなどにも参加し、CTFも積極的に行うようになりました。
7月
この月は学校の課題とSecHackの開発に追われていました。
授業のチーム開発ではrustを用いて周囲のIPを取得する機能やファイルを収集する機能を実装していました。
SecHackでは東京回に向けて開発や発表の準備をしていました。
東京回では初の対面イベントで非常に盛り上がりました。徹夜で行ったチーム開発は本当に楽しかったです。
また前期末テストが控えていたため、学校の勉強にも多くの時間を割いていました。
8月
テストが終わり、セキュキャンに向けて『基礎から学ぶコンテナセキュリティ』という書籍を買って読んでいました。
コンテナ内部の仕組みについて全く知らなかったため面白かったです。
また、初めて名刺を作成しました。ネット注文をしたのですが、思ったよりも届くのが遅くセキュリティキャンプに間に合うかどうかドキドキしました。
そしてついにセキュリティキャンプ全国大会が行われました。
個人的に一番印象深かった講義は、『B1: プロダクトセキュリティの展望』でした。経営の視点から物事を見る経験がなかったため、とても新鮮に感じました。
その他の講義も普段触れない分野を広い視点から学ぶことができ、視野が大きく広がったと感じます。
また、人脈が広がったことも良かったです。X(Twitter)でよく観測する方にも実際にお会いすることができ、とても楽しかったです。
セキュリティキャンプの翌週には、Flatt Securityのサマーインターンにも参加させていただきました。
このインターンシップでは、実務で使われる技術を現場で学ぶことができ、今後の取り組みに大きな影響を与えてくれました。
仕事に対する解像度が高まり、非常に有意義な経験となりました。
その後、SatokiCTFや、Web3の勉強会、P3NFESTに参加するなど、今年一番楽しい時期でした。
ただ、SecHackの活動が疎かになってしまい、少しストレスを感じることもありました。
予定を詰め込みすぎることで、余裕が持てなくなり、普段なら楽しく取り組めることもプレッシャーになってしまうことを実感しました。
また、教わったことを振り返る時間を十分に確保できなかったため、今後は予定を入れすぎず、適切に余裕を持ちたいと思いました。
9月
北海道ミニキャンプのチューターの選考がありました。
セキュリティキャンプ全国大会直後でやる気が高かっただけでなく、講義の内容も非常に面白そうだったため、どうしても参加したいと思っていました。
そのため、講義で扱う技術を用いてネットワークを構築したり、過去に取り組んだことをひたすら書きました。その結果、選考を通過することができました。
SecHackでは広島回に向けて開発やスライドの作成をしていました。
また、メンバーとアイデア出しを行う中で、自分が曖昧な質問をしがちなこと、話の広げ方が下手だということを感じ、『0→1の発想を生み出す「問いかけ」の力』という書籍を読みました。
学校では卒研のテーマ案の発表があったため、Webに関係する論文を読んでいました。
10月
10月初旬はSecHackの作品に関してひたすらアイデアを練っていました。
この期間は、頭の中で悩んでいるだけで手を動かしておらず、時間を浪費していました
アイデア出しの手法などを実践し、詰まったら実際にプロトタイプを作るなど、行動を起こすことが大切だと学びました。
また、この月はとあるイベントが発生し、自己分析をするきっかけを得ました。
自分の感情をはっきりと理解していないこと、言語化の能力が劣っていることに気づき、自分と向き合う時間を取る必要性を感じました。
そんな時、X(Twitter)でとあるツイートを見かけました。
このツイートを見たことがきっかけとなり、10月中旬から日報?を書く習慣を始めました。
自己分析がより深まればいいなと思って始めましたが、意外とメリットはあるように感じました。
- ダラダラしがちな日常を意識的に感じ、修正を加えられる
- 近いうちに考えなければならないタスクに対して、後回しにせず、向き合う時間を作ることができる
- 日報を振り返ることで、定期的に気づきを思い出せる
- 日々の出来事を思い出すことで、雑談で使える話題が思い浮かびやすくなる
自己分析した内容は時間が経てば忘れてしまうものの、本質的な部分は少しずつ記憶に定着している気がするため、もうしばらく継続していきたいと思っています。
また、日報の習慣化と並行してCTFも毎日取り組もうと決めました。
毎日のタスクとして組み込むことで意識的に取り組む時間を確保するようになり、少しずつ技術が向上しているように思います。
11月
セキュリティミニキャンプ北海道のチューターを体験させていただきました。
初のチューターで何をしたら良いか分からなかったため、とりあえず受講生がより多くの知識を持って帰れるように心がけました。
実際の取り組みとして、最近のセキュリティ関係のニュースの共有と、zoomのチャットを用いた講義のサポートをしました。
大きな反省点として、チャットでのエラー対応に集中しすぎてしまい、一部講義の内容を聞き逃してしまったことがあります。
チューターは私の他にもう1人いたため、今後は役割分担をして全体サポートと個別サポートをバランス良く行うことを心がけたいと感じました。
また、今回の体験に関するブログを書こうと思っていたものの、翌週に修学旅行とSecHackがあったため先延ばしにしてしまいました。
一度先延ばしにしてしまうと書くタイミングを逃してしまうため、鮮度が落ちないうちに書き上げる大切さを感じました。
SecHackの大阪回では期間中にCTFが行われました。
Curiosity(@Curiosi46542428)さんがチームに誘ってくださり、一緒に問題を解くことになりました。
私が解けた問題はWeb問とその他数問だけだったものの、3位に入賞することができて嬉しかったです。
また、習慣化の報酬としてセキュリティキャンプのTシャツを頂くことができ、楽しい時間を過ごせました。
12月
セキュリティミニキャンプ石川やセキュリティ若手の会が開催されるなど、相変わらずイベントが多く、充実した時間を過ごしました。
ミニキャンプでは講義後にCTFが行われました。学んだことを早速実践できる形式は楽しいだけでなく、知識を深めるうえで効果的だと感じました。
セキュリティ若手の会では非常にレベルの高いLTを聞くことができ、多くの学びを得ました。
さらに、企業の方々から普段の業務に関する話を聞いたり、セキュリティに興味のある同世代の方と雑談をしたりと、楽しい時間を過ごしました。
また、12月の後半では学校の課題に取り組みつつ、運動不足解消のために時々ランニングを行っていました。
そして、今年最後のCTFとしてASUSN CTFやASIS CTF Finalsにも参加でき、年末まで楽しい時間を過ごすことができました。
2024年の総括
人脈が大きく広がった一年でした。
そのきっかけは、やはりSecHack365とセキュリティキャンプだったと思います。
これらのイベントで出会った方々のおかげで、ミニキャンプのチューターを経験や、チームでCTFに参加する機会を得ることができました。
今年一番良かった点は、積極的に周囲に流されることができた点だと感じています。
SecHackに参加するきっかけは、2023年にセキュリティイベントで会った人にお勧めされたことにありましたし、イベントでのLT発表もその時のノリで挑戦しました。また、セキュリティ若手の会も、SecHackの修了生であるasu_ para(@4su_para)さんに紹介されたことにあります。
技術力を高めるために、1人で黙々と作業することも可能ではあるものの、周囲と積極的に交流することで、新しい経験や視点を得ることができると実感しました。
今年は非常に運が良く、様々な体験をさせていただけたものの、自分の実力は未熟なままだと感じています。
そのため、与えられた機会を活かして、今後も継続して技術研鑽に取り組み、コミュニティに還元していきたいと思います。
まとめ
本当に濃密で楽しい一年を過ごすことができました。
技術的な知識だけでなく人脈やモノの考え方も学ぶことができ、貴重な経験を積むことができました。
来年はアウトプットを意識しながら、もっと技術力を高めていきたいと思います。
お世話になった方々、本当にありがとうございました。
2025年もよろしくお願いします!
Discussion