たのしかったSecHack365

こんにちは。いみのです。現在,成果発表会を終えて,1年弱のSecHack365のプログラムを修了できそうです。

この1年間,自分に見合わないほどのよい経験をさせていただいたと感じており,トレーナー・トレーニーをはじめとした関係者の方々には感謝しかありません。

つきましては,自分の記録と後のトレーニーの参考のために,SecHack365について書き残しておこうと思います。

SecHack365とは何か

以下,SecHack365をSecHackと略すことがあります。

ここでテーマにしているSecHack365とは,公式サイトから引用すると,

若手セキュリティイノベーター育成プログラム SecHack365は、25歳以下の学生や社会人から公募選抜する40名程度の受講生を対象に、サイバーセキュリティに関するソフトウェア開発や研究、実験、発表を一年間継続してモノづくりをする機会を提供する長期ハッカソンです。全国の一流研究者・技術者や受講生等との交流をするなかで、自ら手を動かし、セキュリティに関わるモノづくりができる人材 (セキュリティイノベーター) を育てます。

というプログラムです。

主催者は,国立研究開発法人情報通信研究機構NICT)で,つまり,国のお金で1年間実りある体験をすることが可能です。

「SecHack365」は(せくはっくさんろくご),「NICT」は(えぬあいしーてぃー)と読みます。「さんびゃくろくじゅうご」「にくと」などと発音すると怒られるので気をつけましょう。

参考までに,今年度の全体の倍率は,応募件数 / 受講決定数 = 225 / 43 ≒ 5.23倍でした。倍率は年度によって差があるだけでなく,コース間の偏りも大きいです。

公式にいわれている詳しい部分は公式サイトを参考にするのがよいと思いますが,この記事を読むにあたって必要になりそうな知識を以下に記述します。

SecHackでは,いわゆる「講師」側を「トレーナー」「受講者」側を「トレーニー」と呼びます。こんがらがることもあるかもしれませんが,言葉としてはemployerとemployeeの関係です。

しかし,トレーナー - トレーニー関係というのは講師と受講者のタイプの関係ではないと説明されます。というのは,講師 - 受講者の関係とは異なり,トレーニーがトレーナーのお客さんであるわけではないし,教師や上司とのそれのような上下関係を意識するものでもないという意味だと思います。実際,トレーナーとフランクに接することができる雰囲気があったと感じます。

また,コースというものが設定されており,以下の5つがあります:

  1. 表現駆動コース
  2. 学習駆動コース
  3. 開発駆動コース
  4. 思索駆動コース
  5. 研究駆動コース

このコースは,応募時に決定しなくてはならず一度にひとつのコースにしか応募することができません。応募時の課題もほぼ完全にコース毎に設定されています。所属するコースによって,1年間のプログラムの進め方は大きく異なります。

私は表現駆動コースに所属していました。このコースは特に他コースと進行が大きく異なっています。表現駆動コース以外のコースは,本人の製作物の転向がなければ,年間を通して同じ作品を製作します。一方で,表現駆動コースは,小さなハッカソンをプログラムの間に数回行い,最後の作品を成果物として提出するという形態をとっています。また,他のコースは原則として個人での活動ですが,表現駆動コースでは,3人以上のチームを組んで開発を進める必要があります。

自身の作品についての活動を行い続けるほかに,イベントデイという全員が集合する日があり,そこでは作品のレビューやアイデアソンを行ったり,講演を聞いたりします。

SecHack365の(ある程度)詳細な内容

今年度の(フルリモートでの)活動内容について書きます。旅行に行きたかったなあ。

まず,必須事項としてSecHackトレーニーが行うことは,主に,開発,発表資料の製作,アンケート回答です。

開発

最も重要です。自身の製作物が存在しないと,(たぶん)SecHack365を修了することができません。𝔻𝕖𝕒𝕕𝕝𝕚𝕟𝕖 𝔻𝕣𝕚𝕧𝕖𝕟 コースのトレーニーがたくさんおり,わたしもその一人ですが,開発と資料作成の期限は当然近いところに設定されるので,タスクが詰まります。加えて,イベントデイがやたら学生の試験期間に被ります。すなわち,学業が終了します。そうならないように頑張りましょう……。

発表資料の製作

最も重要です。発表資料が存在しないとまず間違いなくSecHack365を修了することができません。最終成果物の発表ポスターがSecHackのサイトに公開されます。デジタルタトゥーということですね。今年度はオンラインでの開催だったこともあり,ポスターおよび普通のプレゼンテーションのほかに,あるいはそれと同時に,動画を3本くらい製作しました。リンク先を見ればわかる通り,柔軟な発想力と動画編集技術を持つ人がたくさんいるので,精進しましょう。

動画やポスターのみならず,スライド製作やプレゼンテーション,スピーチなど,自分や同級生が霞んで見えなくなるくらいうまい人ばかりで,発表会のたびに感銘を受けました。

sechack365.nict.go.jp

アンケート回答

最も重要です。アンケートへの回答は義務とされており,アンケートを落とし続けるとおそらくSecHack365を修了することができません。回答はGoogle Formに行い,時刻の基準はJSTです。わたしたちは血税で教育してもらっている代わりにデータを差し出す必要があるので,大人しく答えましょう。

基本的にはこの3つを繰り返すことになりますが,他にもいくつか行うことがあります。

  • コースワーク

    これはコースによって頻度やタスクの量の大きく異なるところです。表現駆動コースはハッカソンのチーム決めや進捗報告などを行っていましたが,ところによっては輪講などを行っているコースもあったようです。

  • 「囲む会」をはじめとしたイベントウィーク中の催し

    「トレーナーを囲む会」と題した,トレーナーに専門のこと,セキュリティ業界のこと,自分自身のことなどを語ってもらうzoomミーティングなど,いくつかの催しがありました。滅多にない機会なので,出られるのならば極力出るべきだったなと後悔しています。

他にもいろいろなものがあったと思いますが,今すぐには浮かばなかったので,思い出すかご指摘を受け次第追記します。

受講しようと思っている人へ

日程について

まず,土日が忙しくなることを覚悟すべきです。まずまずの頻度でイベントデイがあるので,土日に定期的な予定があると厳しいと思います。わたしのような締め切りがないと動かないタイプの人は,金土日が山場になりがちです。

また,受験生の受講は厳しいと思います。SecHack365は,1年間ということからして3月に成果物ができていればよいと勘違いしがちですが,成果物の完成が求められるのは1月です。11月〜1月が開発の,1月〜2月が資料作成,クオリティ上げなどの山場になる人が多いので,受験シーズンと完全に時期が重複します。受講しつつAOなどで落ちるとかなり絶望感があります。この記事を読んでいる人はAOなんて余裕で受かる実績の人ばかりなので関係がなかったですね。

コースについて

作りたいものが決まっている人は,表現駆動コース以外のコースを選んだほうがよいと思います。グループでの作業が必須になるだけではなく,何回か違うテーマでハッカソンをすることになるので,遠回りに思ってしまう可能性が高いです。逆に,自分のアイディア力を生かしたいというような人には,他の人の力を借りられる表現駆動コースは良い環境だと思います。公式サイトの説明だけでは詳細が分からない部分もあると思うので,他のコースの人の体験記などを参照して,慎重に自分に合ったコースを選ぶことを勧めます。

応募について

わたしでも通ったので,ダメ元でも応募してみてください!今年はどうか分かりませんが,合格の連絡が,事務局の人からの電話です。死ぬほどびっくりしてしまうので,電話がくると心に留めておいたほうが良いと思います。

SecHack365のおもいで

感想とポエムのセクションです。

わたしがSecHack365に興味を持ったきっかけは,学校の先輩が受講していたことで,当時,XSSの名前くらいなら知っているかなというくらいのセキュリティ知識だったわたしは,付け焼き刃の知識と共に応募フォームを埋めて送信しました。それなので,受講が決まったときは衝撃的で,頬をつねっていたかもしれません。

トレーニーは本当に優秀な人ばかりでしたが,少し倫理観や生活習慣が崩壊している人が多く,それも楽しかったです。

ポスターを見てわかる通り,セキュリティの研究レベルのものを作っている人から,普通のWebサービスを作ったりハードウェアを作ったりしている人まで,多種多様な人がおり,セキュリティ人材とまとめるには多様すぎる人々だったと感じます。

特に,CTFer,競プロer,Twitterer,フルスクラッチ病患者,ハッカソン中毒者などが多い印象でした。

周囲の人がとにかくセキュリティ大好き人間であるため,セキュリティに対する興味関心がどんどん花ひらく環境でした。彼らはWebサイトを見るや脆弱性検査をし,写真やツイートを見るやOSINTして特定しようとします……。あとは,何とは言いませんが,応用画像処理コースのトレーニーが数名おり,カスタム絵文字がとても賑やかでした。トレーニーとの交流は,実際にCTFを始めてみたり,低レイヤに興味を持ったりする非常に良い機会になりました。もちろん,元からその類に興味がある人にとっては,より一層最高だと思います。

終わってみると,もっと積極的に活動すべきだったなという後悔が大きいです。わたしは非常に怠惰かつ臆病で,トレーナーと積極的に関わったり,さまざまなイベントを企画したりということはしませんでしたが,そういうことをやっている人が何人もおり,彼らこそ模範的なSecHackトレーニーだと思います。もう一つの後悔として,「習慣化」についてがあります。これは,大きな目標と小目標を設定し,小目標を達成し続けることで開発や情報収集に使う時間を捻出,それを日常に埋め込んで,大目標を実現させていくという趣旨の活動です。わたしは,何かを習慣化させることが壊滅的に苦手だという意識から,これを面倒くさがり,表すら埋められませんでした。それなら習慣化を最初から大切にしていれば習慣化できたのかと問われればはっきりと答えることはできませんが,それでも反省しています。これから取り組む人は,こういう種類の財産を進んで残すと人生に利益があると思います。

最後に

長文に最後まで目を通していただきありがとうございました。 ご質問やご指摘があればお気軽にお願いします。

SecHack365での学びを生かしてこれからも精進していきます。