Zenn
🎊

イベント開催記「第1回 セキュリティ若手の会(LT&交流会)」

2024/12/14に公開
Security
セキュリティ若手の会
tech

始めに

本稿では、2024年12月8日に初開催した「第1回 セキュリティ若手の会(LT&交流会)」について、コミュニティの公式ブログとして紹介します。

「セキュリティ若手の会」とは

セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。

本コミュニティは、2024年10月に asu_ paramorioka12 が設立し、設立した際はSNSで多くの反応をいただくことができました。
https://x.com/sec_wakate/status/1842453657184596140

本コミュニティの参加対象者は、以下のようになります。

  • 学生:15歳以上の方
    • セキュリティに関する技術や職に興味のある方
  • 若手セキュリティエンジニア(社会人):新卒1~3年目の方
    • セキュリティに関する業務に携わっている方

公式では、以下のアカウントやWebページを用意しています。
https://x.com/Sec_Wakate
https://sec-wakate.notion.site/119382dfaec98058902bec703686c43c

また、アドベントカレンダーの一環として、「セキュリティ若手の会の活動について」のブログも公開しています。
https://zenn.dev/sec_wakate/articles/97fbca58f0e8d5

第1回イベント「LT&交流会」

本コミュニティは、Xで宣伝し、connpassを用いてイベントの開示と応募を行いました。
https://sec-wakate.connpass.com/event/332518/

参加者応募は、学生と社会人でそれぞれ20枠を設け、抽選として参加確定としました。

また、LT発表も学生と社会人でそれぞれ一般募集し、幹事による採択形式で選ばれた方々に登壇していただきました。
ちなみに、LT登壇者に採択された方は、参加確定権を得れる特典としてました。(次回以降も同様にする予定です)

今回は、初回イベントということで、まだ開催実績もない中、倍以上の参加応募をいただけました。

さらに、第1回イベントからスポンサー様を付けるようにし、今回は以下の2社様にスポンサーとしてご参加いただきました。改めて、誠にありがとうございました。

  • ゴールドスポンサー
    • 株式会社サイバーセキュリティクラウド
  • 会場スポンサー
    • 株式会社アカツキゲームス

参考までに、今回の参加者に関する情報は、以下のようになります。


ちなみに、今回は東京開催にも関わらず、三重県や愛知県などの遠方からお越しくださった学生の方々がいらっしゃり、運営側は驚きととても感謝の気持ちでした。

オープニング

オープニングでは、イベントの概要や本コミュニティの大切なこと、創設メンバーによる挨拶などを行いました。

今回は、コミュニティグッズの第一弾としてステッカーを作成し、参加者限定特典として提供しました。
また、ハンドルネームとアイコン付きのオリジナルの名札も作成し、記念品としても提供しました。

ちなみに、運営には本コミュニティのDiscordを活用し、イベントのアナウンスや参加者同士の自己紹介、LT発表時には実況コメントなどで盛り上がりました。




また、LT登壇者には、オフラインのみの視聴者ということもあり、以下のようにスライドの扱いやLT内容を選択していただきました。

  1. 一般公開とする
  2. 参加者限定でコミュニティ内のみ共有する (Discord)
  3. 完全にその場限りの非公開とする

スポンサー講演1

スポンサー講演1では、ゴールドスポンサーである「株式会社サイバーセキュリティクラウド」でCTOを務める Yoji Watanabe 様にご登壇いただきました。

主に、サイバーセキュリティに関するリサーチや製品開発、サービス提供などを展開し、グローバルにも視野を広げて顧客に価値を提供ている話などをしていただけました。

https://www.cscloud.co.jp/

スポンサー講演2

スポンサー講演2では、会場スポンサーである「株式会社アカツキゲームス」の udon 様にご登壇いただきました。

主に、ゲーム会社としての様々なセキュリティの取り組みや、登壇者のキャリア話として事業者とベンダーにおけるそれぞれの視点によるセキュリティに在り方について、お話ししていただけました。

https://games.aktsk.jp/

LT発表1

LT発表1では、社会人枠で hikae 様による「明日から始めるホワイトボックスPT」でご登壇いただきました。

防御側が攻撃者よりも有利な点は社内の様々な情報を利用できる点だと思います。
freeeのredteamではそのような社内リソースを武器化する取り組みとそれを用いたPTという組み合わせで継続的な攻撃を行っています。
今回はその中で明日からでも始められる取り組みについて実践できるようオープンソースプロダクトを用いたデモ形式で紹介します。


https://x.com/0xhikae/status/1865635952703733998

LT発表2

LT発表2では、社会人枠で R* 様による「新米セキュリティエンジニアによるRed Teamの仕事紹介」でご登壇いただきました。

一般的なRed Teamサービスという業務の紹介や脆弱性診断・ペネトレーションテストとの違い、私が実際に業務で取り組んでいるオフェンシブセキュリティに関する技術的な取り組み(新規C2手法の検証・開発)などについて発表します。
主にオフェンシブセキュリティに興味がある学生やオフェンシブセキュリティ分野へのキャリアチェンジを考えている若手エンジニアなどに向けた発表となります。


https://x.com/Raster0x2a_tech/status/1865712680490922220

LT発表3

LT発表3では、社会人枠で daiki0508 様による「スマホアプリ&ゲームチート診断のリアルな脆弱性」でご登壇いただきました。

Webアプリの脆弱性は良く聞くが、スマホアプリについてはどんな脆弱性があるかをあまり知らないといった方は意外と多いのではないでしょうか。
また、普段オンラインゲームなどをしていて遭遇するチーターたちが使うチートについて、どうやってるのか?、かなりの人数が居るがどうしてそんなに人口が多くなるのか?などを疑問に思ったことはありませんか?
そこで本LTでは以下の2点についてデモ形式で紹介したいと思います。

  • スマホアプリパートでは、業務で脆弱性診断をしている際に実際に出会った脆弱性の中から1つをピックアップしてデモを交えながら紹介します。
  • ゲームチートパートでは、ゲームチート診断とは何か?、どんなことをするのか?実際にどのような脆弱性(チート)があるのか?などをデモも交えながら紹介します。

LT発表4

LT発表4では、学生枠で keymoon 様による「CTFの課題への取り組み方と、実世界に応用できること」でご登壇いただきました。

CTFには、binary exploitationからcryptoまで幅広いジャンルが出題されます。
一見、これらはそれぞれ異なるアプローチが求められるように見えますが、実は共通して適用できるメタ的なテクニックが存在します。
このテクニックは、CTFのみに留まらず、バグハント、コーディング、さらにはプロダクト開発など、様々な問題解決に応用することができます。
本LTでは、具体的な技術手法に深入りはぜずにこれらのテクニックの概要を紹介します。
本LTを通じて、日々の問題解決に活かせる視点を提供できれば幸いです。

LT発表5

LT発表5では、学生枠で SakaiSec 様による「高校生がRCEを発見するまで」でご登壇いただきました。

プライバシー系OSSにおいて、XSSからRCEに発展した実際の事例を紹介します。
最初にXSSを発見し、それがどのようにしてRCEに繋がったのかを、攻撃の流れに沿って解説します。
また、修正後に残っていたHTMLインジェクションにも触れ、それらのリスクと影響を解説。バグバウンティの魅力も紹介し、プライバシーやセキュリティの重要性について考えるきっかけを提供します。


https://x.com/sksec_/status/1865967078341218655

LT発表6

LT発表6では、社会人枠で clone 様による「セキュリティ業界の歩き方」でご登壇いただきました。

LT発表7

LT発表7では、社会人枠で Tomoki Nakashima 様による「ファジング 〜アカデミアと実用でホットなソフトウェアテスト手法〜」でご登壇いただきました。

セキュリティ脅威が高まる中、ソフトウェアの脆弱性や不具合を見つけるためのテスト手法であるファジングが注目されています。
ファジングとは、"予期しない入力"や"例外を引き起こしそうな入力"をソフトウェアに与えることで、仕様書に沿った一般的なテストでは見つからない脆弱性や不具合を発見する手法です。
その有効性から、アカデミアと実用の両面で関心が高まっています。
本発表では以下の内容を発表する予定です。

  • ファジングの基本概念と分類について
    - 分類ごとに整理してファジングをご紹介します。
  • 学術分野でのファジングの研究動向について
  • 実用されているファジング
    - OSSファジングプロジェクトであるGoogleのOSS-Fuzzについて紹介します。
  • ファジングの将来展望と研究開発業務で検討しているバイナリファイル向けのファジング高速化技術について

LT発表8

LT発表8では、社会人枠で pizzacat83 様による「開発者向けツールを魔改造してセキュリティ診断ツールを作っている話」でご登壇いただきました。

手動セキュリティ診断や自動診断SaaSを提供するFlatt Securityには、診断業務の定型化可能な部分をシステム化していく文化や、そのシステムを内製開発する文化があります。
実際、Webスキャナや、診断業務を管理する社内システム「ORCAs」はスクラッチで開発しています。
診断業務では、前述の内製ツールやBurp Suiteのような診断用ツールだけでなく、ブラウザのDevToolsやVSCodeのコードジャンプなど、開発者向けに作られたツールも利用しています。
しかしこれらはあくまで開発者向けであり、必ずしも診断業務に最適な作りにはなっていません。
そこでそういった開発者向けツールの実装を読んでその内部の仕組みを理解し、それを元に診断に特化した機能を自分たちで開発することを進めています。
また、そのようにして開発したツールを社内で利用するだけでなく、弊社が開発提供している自動診断SaaS「Shisho Cloud」に組み込んで事業会社にもご利用いただけるようにすることを目指しています。
LTでは、これらの開発者向けツールの内部実装や、それを活かした診断ツールの実装について話す予定です。


https://speakerdeck.com/pizzacat83/kai-fa-zhe-xiang-keturuwomo-gai-zao-sitesekiyuriteizhen-duan-turuwozuo-tuteiruhua-di-1hui-sekiyuriteiruo-shou-nohui-lt
https://x.com/pizzacat83b/status/1864597501506167037

パネルディスカッション

パネルディスカッションでは、創設メンバーである二人による「設立の理由と今後の展望について」で登壇しました。

主に以下のような流れでディスカッションを行いました。

  1. 簡単な自己紹介
  2. 設立したきっかけ・理由
  3. 今後の展望について
  4. 参加者に向けたメッセージ

創設メンバー

  • 佐田 (asu_ para)
    • ユーザー企業で働く24卒セキュリティエンジニア (新卒1年目)
  • 森岡 (morioka12)
    • セキュリティベンダー企業で働く24卒セキュリティエンジニア (新卒1年目)

また、よく聞かれる質問として、幹事は参加対象者と同様に新卒3年目までとし、創設メンバーの我々も3年経ったら「セキュリティ若手の会」を引退することをコミュニティの立ち上げ前から決めています。
そのため、我々ができることには、限界とタイムリミットがあります。

今後は、「セキュリティ若手の会」のイベントに参加してくださった方の中から、次の運営や幹事を引き継いでもらえる仲間を見つけ、若手によって継続されるコミュニティであるように努めていきたいと思っています。



交流会

交流会では、本コミュニティが大切にする「直接交流」と「情報交換」の通りに、ご参加いただいた方々には活発な交流が休憩時間も含めて行われていた印象でした。

事前に、Disocrd上で参加者同士の自己紹介をしていたり、「名刺の持参」を推奨する呼びかけをしたりしていたため、オフラインの会場ではより良い交流が全体としてできていました。

また、名札の紐の色を属性ごと(運営/学生枠/社会人枠/スポンサー枠)で変えていたり、名札にハンドルネームとアイコンを付けたものを運営側で用意していたため、SNSでの認識を元に参加者同士が交流したりもしていました。


参加者の声

参加者からの感想フォームでは、「セキュリティ若手の会」が掲げる「セキュリティに携わる学生や若手向け」として、第1回イベントから全体的にとても満足度の高いイベントとして、評価をいただくことができました。

学生A
全体的に学びが多く、交流もたくさんできたため非常に良いイベントでした!

学生B
自分の知らない知識・考えに触れることができ、今まで知らなかった人と関わりも持てて良かった。
自分も登壇して話せるネタを増やしたいと強く思えるようになった。

学生C
沢山の人と交流が出来てよかった。
学生で普段writeupなどで見ていて強いなーと思っていた人間との交流や、社会人とのリアルな実務などの内情が知れて解像度が高くなかった。
自分自身理学部なのもあり、周りにセキュリティに興味乃至取り組んでいる人間がいないため非常にモチベにも繋がる良いイベントだと思う。

学生D
LTの質が非常に高くて勉強になった。
また、他に技術力の高い方々がLTを聞きながらDiscord上で経験を話してくださるのも勉強になった。
交流会の時間で企業の仕事内容が詳しく質問できて面白かった。
今やっていることを振り返って、新しいことにも挑戦していきたいと思う。

学生E
社会人1,2,3年の方と話す機会が今までなかったので、就活のことや学生生活のことを直接聞ける機会になって学生の身としてとてもいい機会になりました!

社会人A
様々な会社の新卒の方と交流できて良かった。
交流会で名刺交換をした人から実際にインターンについて詳細を教えてほしいという声があったので、こちらとしても参加して良かったと思えるイベントでした。

社会人B
様々な形で「セキュリティ」と関わっている方とお話できたのは本当に良い機会でした。大変楽しかったです。
特に、学生さんとのコミュニケーションはとても新鮮で、良いインプットとなりました。
もっと、こちらからのアウトプットも出していきたいなと、感じています。

ツイート(ポスト)まとめ

https://togetter.com/li/2478381

終わりに(次回予告)

本稿では、2024年12月8日に初開催した「第1回 セキュリティ若手の会(LT&交流会)」について紹介しました。

新情報として、既に第2回イベントを検討しており、来年の2025年3月頃に東京で実施できればと考えております。(新しい会場スポンサーの目処あり)
次回は、参加枠を学生と社会人でそれぞれ50名ほどに増やし、全体として100名の参加で検討しています。

詳しい詳細は、来年の2月上旬を目処に公式Xで公開予定のため、それまでお待ちください。
その際は、ぜひSNSや各自の所属で拡散にご協力いただければ幸いです。

https://x.com/Sec_Wakate

スポンサーにご興味のある方向け

本コミュニティは、次回から各イベントごとにスポンサー企業を一般募集する予定です。

各イベントについて、スポンサーの費用などは現在検討中ですが、スポンサー特典に関しては以下のようになります。

  • ゴールドスポンサー (1枠)
    • スポンサー枠による特別講演
    • 企業概要や採用情報の紹介
    • 現地参加の特別招待権(2名)
  • シルバースポンサー (2~5枠)
    • 企業概要や採用情報の紹介
    • 現地参加の特別招待権(2名)
  • 会場スポンサー (1枠)
    • スポンサー枠による特別講演
    • 企業概要や採用情報の紹介
    • 現地参加の特別招待権(2名)

また、スポンサー費の使い道としては、以下を想定しています。

  • イベント開催に必要な物品、飲み物やお菓子等の購入代
  • コミュニティグッズの作成代
  • 参加者の学生への一部交通費の援助(検討中)

ちなみに、「現地参加の特別招待権(2名)」に関しては、本コミュニティのポリシーに合う形として、以下のような組み合わせの方の参加を推奨させていただきます。

  • 1名:新卒1~3年目のセキュリティに携わるエンジニアの方
  • 1名:セキュリティに携わるエンジニアの方やCTOの方など

本コミュニティやイベントにご興味がある方は、以下のフォームよりご連絡ください。
スポンサー企業の募集を開示した際に、優先的にご連絡させていただきます。

https://forms.gle/L59BAgJnFoyU5Cg38

※現時点では、企業によるスポンサーのみで、個人によるスポンサーは受け付けていません。
※スポンサーの各枠には限りがあるため、年間を通じて多くの企業の方に参加できるように考慮しようと検討しています。(各企業、年1回のみなど)
※会場スポンサーは、東京周辺に限らず、関西周辺などでも会場候補として歓迎します。
※会場は、最低50人以上が入る規模感を想定しています。

問い合わせ

総じて、何か運営側に伺いたい事項や相談事などあれば、以下の問い合わせフォームよりご連絡頂ければ幸いです。
https://forms.gle/nVtvf4hSftmCh6749

ここまでお読みいただきありがとうございました。

執筆者: morioka12

Discussion