SECCON 電脳会議 2022にいってきたよ

初めてSECCON 電脳会議に参加してきた。2023年2月11日、12日に開催されていたけど、11日に参加してけっこう疲れてしまったので、12日はお休みした。

セキュリティ分野はけっこう興味があって、ホワイトハッカーってかっこいいしな、とか思って、レベルとしては、自分が何かどうこうできるというレベルではないんだけど、行ってみたらたのしいかなと思って入場チケットとワークショップに応募してみた。

ワークショップ参加

ワークショップは2つ応募して、めでたくどちらも抽選を通ったので、2つともに参加。

初心者向けのワークショップということだったんだけど、ほんとに初心者向け?という感じで、CTFは参入難易度高めなんだなあと感じた。

CTF4B

サーバー、サイトが用意されていて、flagを探していく形式。

初めてのCTFで雰囲気も何もわからず撃沈。

CTF4G

クラウド上でファイルが共有されて、そのファイルを使ってflagを探していく形式。

中身としては午後のCTF4Gのほうが難易度が低かったように思う。ツールを使って解いていく問題があって、その使い方さえわかればflagがわかるものもあった。

CTF4Bのほうがサーバがあって本格的な感じがしたけど、その分とっつきにくい感じがあった。

どちらも、基礎となるコマンドとかを紹介してくれてたらいいのになと思った。

Cryptとか何もわからなかった。。。

ヒントとして、キーワードだけ与えられててもいいのかなと思う。

どちらも、CTFってこんなんですよ、の説明が終わったらすぐに演習という形だったので、わたしのイメージとは違っていてけっこう戸惑った。

初心者向けとはいえ、SQLの知識や、コマンドの知識などが必要で、そういった情報は特に提供されないままに問題演習だったので、そういう知識のない「初心者」はなかなか参入できない。ただ、2回もワークショップに出れば、CTFの雰囲気についてはだいたいつかむことができたかなと思う。

あと、CTFやるのにはWindows機のほうがよさそうかなと思った。今度ノートPC買うときはWindows機を買ってみてもいいかも。

LT参加

LTについては、なんとか1回目を経験してしまうことが必要だと考えてて、ちょうどLTの募集をしていたので、申し込んでみた。

ただ、もっと雑談チックな、ゆるい感じをイメージしていたら、みんなパワポを用意していて、前で話す勇気がなくなってしまい、どうしようかとかなり悩んだ。

運営の方に、「パワポもないし、悩み相談みたいな話で合わないような気がするのでやめておこうかと…」と相談したら、「私と対話形式でもいいですよ」というお返事をいただいたので、もうほぼ滓になっていたところからまた勇気を振り絞ってLTやってみた。

安全性の高い、セキュリティの万全なシステムを作りたいけど、納期とかコストの問題もあって、自分の中での折り合いをどうつけていけばいいだろうか、みたいな悩みを話して、諦めももちろん必要という話で心が少しすっきり、納得できた。

話し終わった後、あたたかく見守ってくださっていた方たちから声をかけていただいて、アドバイスもいただいて、勇気振り絞って良かった~となった。

考えたこと

今回の電脳会議に参加してみて、自分のキャリアとか考えるきっかけになったと思う。

社内にいる分には今後どういうことを強みにしていきたいのかとか、主にキャリアの面でイメージがなかなかつきにくくて、とりあえず猫と暮らしたいし給料稼ぎたいなぐらいの気持ちしかなかったけど、今回参加してみて、わたしはセキュリティの分野の知識をつけていきたいかな?と思えたのが一番の収穫かな。

帰ってきてから教えていただいた資格について調べてみると、セキュリティ分野での国家資格は情報処理安全確保支援士というのがあって、セキュリティについての専門知識を持って、アドバイスとかもできるようになる感じかな。

これからどういう風なキャリアにしていきたいかをしっかり考えたいな。開発は好きだけど、設計はまだそこまでやったことがないから楽しいと思えるかどうかはよくわからないし。

それでも今のところセキュリティの領域が気になっているのが確かだし、開発しているものに対してセキュリティ大丈夫なのかなあみたいなもやもやが発生することがあることも確か。自分が確かな知識を持てると、適切に判断できるようになって、自分のなかの不安と折り合いをつけていくことができるんだろうなと考えると、資格を取得しながら知識を身に着けて、いろいろ実践してみるのがいいのかなと思った。

あと、やっぱり社外のコミュニティでいろいろしたいなという気持ち。

ただ、あまり繋がりもないし、どうやって外のコミュニティに入っていけばいいんだろうというところでとまっているきがする。

勉強会とか、いろんなところに顔出していけばいいんだろうか。

いったんの目標として、2023年度中に基本情報と応用情報受かりたいな、あわよくばセキュリティマネジメントにも受かりたい。できることが社内でも、社外でもどんどん増えていって、7つの習慣でいうところの、影響の輪が広がっていく、ということにつながっていけばいいなと思う。

情報セキュリティは、情報の価値があがっていくほどその必要性も高まっていくと思うし、ハッカーってなんかかっこいいし、自分の強みのひとつにしたい。

結局実務ができないと、資格ばっかり取っても意味がないとかいうこともあるけど、知識がないとどうすることもできない問題はあるし、その知識を埋めるために資格を利用したい。

勉強、実践あるのみ!