イベント開催記「第1回 セキュリティ若手の会（LT&交流会）」

• https://zenn.dev/sec_wakate/articles/acd5935f189460

「セキュリティ若手の会」とは

「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちが、セキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。

※本コミュニティの概要は、Webページをご覧ください。

• X: @sec_wakate

参加対象

• 学生：15歳以上の方
  • 特にセキュリティ分野に興味のある方
• 若手セキュリティエンジニア（社会人）：新卒1~3年目の方
  • なんだかのセキュリティに関する業務に携わる方

こんな方におすすめ

• セキュリティに興味があり、セキュリティエンジニアになりたいと思う学生
• セキュリティに関する業務に携わっている若手セキュリティエンジニアで、セキュリティに興味ある学生や同世代のセキュリティエンジニアと交流したい方
• セキュリティ技術に関する業務に興味がある方

幹事

佐田 淳史（さだ あつし）

• ユーザー企業で働く24卒セキュリティエンジニア
• 専門分野：Threat Analysis, Cloud Security(AWS・CI/CD), Corporate IT
• X： asu_ para (@4su_para)
• 修了：セキュリティキャンプ全国大会 (2021), SecHack365 (2023)

森岡 優太（もりおか ゆうた）

• セキュリティベンダー企業で働く24卒セキュリティエンジニア
• 専門分野：Web Security, Cloud Security, Bug Bounty, BizDev
• X： morioka12 (@scgajge12)
• 修了：SecHack365 (2018), セキュリティキャンプ全国大会 (2020)

LT発表

## LTのテーマ
LTのテーマは、「セキュリティに関する内容」とし、特に以下のような内容を望みます。
- 若手セキュリティエンジニアの方
    - 普段のセキュリティ業務に関する話やそれに近い話など
    - 実際の業務に活かされるセキュリティ技術やスキルについてなど
- 学生の方
    - 取り組んでいたり学んでいるセキュリティ技術に関する話など
    - セキュリティに関するインターンシップに参加した際の話など

**応募していただいた中から、幹部メンバーの方で選定し、最終的に採択された方に発表していただきます。**
※セキュリティ技術に関して、レイヤーは問いません。

## LT応募フォーム
- 締め切り日：11月8日（金）23時59分まで
- 採択結果発表日（予定）：11月11日（月）から12日（火）ごろ
- URL：[応募フォーム（Google Form）](https://forms.gle/V3Y89NC2vU9Rzvw38)

**LT応募について、一人が複数のテーマについて応募することを歓迎し「可」とします。（1フォームに1テーマとし、応募を分けて各テーマについて提出してください。）**
※LT発表の応募者も、connpass上から属性にあった枠で参加応募をしてください。（採択された方は優先的に参加できるように配慮します。）

## LT発表内容の一例
- 若手セキュリティエンジニアの方
    - 脆弱性診断やペネトレーションテストなどに関する内容や経験談の紹介
    - クラウド環境におけるインシデント調査やログ分析、DevSecOpsに関する内容の紹介
    - セキュリティに関する内製化や開発者と連携してセキュリティを改善していく類の内容(PSIRTなど)の紹介
    - 業務で実践している攻撃手法や防御手法などの紹介
    - 就職活動の振り返りや企業選びの目線感に対する自分の考えをまとめて発表
- 学生
    - セキュリティに関する自作ツールや取り組みに関する発表
    - セキュリティに関するインターン体験記
    - 就活の振り返りや就活に対する考え方・スタンスに関する自分の考えをまとめて発表

※これらはあくまでも「一例」のため、幅広いセキュリティに関するテーマのLT応募をお待ちしております！

開催日

日程

• 12月8日（日） 13:00 ~ 18:30
  • 受付：12:30 ~

※ 運営の都合上、13:30以降の受付はできません。

会場

• 会場：株式会社アカツキゲームス（Akatsuki Games Inc.)
• 住所：〒141-0021 東京都品川区上大崎2-13-30 oak meguro 8階（受付）
• アクセス：JR目黒駅より徒歩3分、地下鉄・東急線目黒駅より4分。
• Wi-Fi : あり / 電源 : あり

※本イベントは、オフライン会場のみでの開催です。

持ち物

• 学生
  • 学生証
• 若手セキュリティエンジニア（社会人）
  • 会社の名刺
  • 生年月日が示せる証明証
• LT発表者
  • 自身のPC

受付時

• 学生
  • 「connpassの受付票」と「学生証」を提示してください。
• 若手セキュリティエンジニア（社会人）
  • 「会社の名刺」を1枚提出してください。
  • 「connpassの受付票」と「生年月日が示せる証明証」を提示してください。

参加費

• 若手セキュリティエンジニア：1,000円（現金）
• 学生：無料

参加費は、当日の交流会で用意する飲み物等の代金とさせていただきます。

※当日の受付で、お釣りが出ないようにしていただき、現金で支払いをお願いします。

タイムテーブル

• 講演・パネルディスカッション：20分
• LT発表：15分

LT発表・講演の内容

若手セキュリティエンジニア枠

LT1：明日から始めるホワイトボックスPT

概要

防御側が攻撃者よりも有利な点は社内の様々な情報を利用できる点だと思います。
freeeのredteamではそのような社内リソースを武器化する取り組みとそれを用いたPTという組み合わせで継続的な攻撃を行っています。
今回はその中で明日からでも始められる取り組みについて実践できるようオープンソースプロダクトを用いたデモ形式で紹介します。

登壇者：hikae

• 筑波大情報科学類→freee PSIRT
• 趣味はGitHubサーフィン
• X: @0xhikae

LT2：新米セキュリティエンジニアによるRed Teamの仕事紹介

概要

一般的なRed Teamサービスという業務の紹介や脆弱性診断・ペネトレーションテストとの違い、私が実際に業務で取り組んでいるオフェンシブセキュリティに関する技術的な取り組み(新規C2手法の検証・開発)などについて発表します。
主にオフェンシブセキュリティに興味がある学生やオフェンシブセキュリティ分野へのキャリアチェンジを考えている若手エンジニアなどに向けた発表となります。

アジェンダは以下の予定です。

• 自己紹介
• 普段の業務内容
• Red Teamとは？
  • Red Team演習の目的と意義
  • ペネトレーションテストや脆弱性診断との違い
  • Red Teamならではの攻撃技術
  • Red Teamの難しさ
  • Red Teamの技術的楽しさ
• 具体的に業務の中で検証した攻撃技術の紹介
  • 検知されにくい新規C2手法の実装

登壇者：R*

• 通信事業会社のRed Teamとして働く24卒セキュリティエンジニア
• X: @Raster0x2a_tech

LT3：スマホアプリ＆ゲームチート診断のリアルな脆弱性

概要

Webアプリの脆弱性は良く聞くが、スマホアプリについてはどんな脆弱性があるかをあまり知らないといった方は意外と多いのではないでしょうか。
また、普段オンラインゲームなどをしていて遭遇するチーターたちが使うチートについて、どうやってるのか？、かなりの人数が居るがどうしてそんなに人口が多くなるのか？などを疑問に思ったことはありませんか？

そこで本LTでは以下の２点についてデモ形式で紹介したいと思います。

• スマホアプリパートでは、業務で脆弱性診断をしている際に実際に出会った脆弱性の中から1つをピックアップしてデモを交えながら紹介します。
• ゲームチートパートでは、ゲームチート診断とは何か？、どんなことをするのか？実際にどのような脆弱性(チート)があるのか？などをデモも交えながら紹介します。

登壇者：daiki0508

• 2022年からGMOサイバーセキュリティ byイエラエ株式会社にてアルバイト入社して2024年に新卒入社。
• 現在はクライアントアプリの脆弱性診断やゲームチート診断、社内の業務効率化などを業務としている。
• X: @otani_daiki

LT6：セキュリティ業界の歩き方

概要

社会人2年目ながら、外部イベントに登壇、温泉シンポジウム参加など、様々なセキュリティイベントに参加してコネクションが出来た経験から、学生や他の若手参加者向けにオススメのセキュリティイベントについて語ります。

登壇者：clone

• 文系学卒。CEH取得済。OSCPとCISSP勉強中。
• X: @misclone

LT7：ファジング 〜アカデミアと実用でホットなソフトウェアテスト手法〜

概要

セキュリティ脅威が高まる中、ソフトウェアの脆弱性や不具合を見つけるためのテスト手法であるファジングが注目されています。
ファジングとは、"予期しない入力"や"例外を引き起こしそうな入力"をソフトウェアに与えることで、仕様書に沿った一般的なテストでは見つからない脆弱性や不具合を発見する手法です。
その有効性から、アカデミアと実用の両面で関心が高まっています。

本発表では以下の内容を発表する予定です。

• ファジングの基本概念と分類について
  • 分類ごとに整理してファジングをご紹介します。
• 学術分野でのファジングの研究動向について
• 実用されているファジング
  • OSSファジングプロジェクトであるGoogleのOSS-Fuzzについて紹介します。
• ファジングの将来展望と研究開発業務で検討しているバイナリファイル向けのファジング高速化技術について

登壇者：Tomoki Nakashima

• NTTのR&Dで働く、修士卒2年目社会人です。
• 学生時代は無線LAN (IEEE 802.11)の通信制御に関する研究をやってました。
• X: なし

LT8：開発者向けツールを魔改造してセキュリティ診断ツールを作っている話

概要

手動セキュリティ診断や自動診断SaaSを提供するFlatt Securityには、診断業務の定型化可能な部分をシステム化していく文化や、そのシステムを内製開発する文化があります。
実際、Webスキャナや、診断業務を管理する社内システム「ORCAs」はスクラッチで開発しています。

診断業務では、前述の内製ツールやBurp Suiteのような診断用ツールだけでなく、ブラウザのDevToolsやVSCodeのコードジャンプなど、開発者向けに作られたツールも利用しています。
しかしこれらはあくまで開発者向けであり、必ずしも診断業務に最適な作りにはなっていません。
そこでそういった開発者向けツールの実装を読んでその内部の仕組みを理解し、それを元に診断に特化した機能を自分たちで開発することを進めています。
また、そのようにして開発したツールを社内で利用するだけでなく、弊社が開発提供している自動診断SaaS「Shisho Cloud」に組み込んで事業会社にもご利用いただけるようにすることを目指しています。

LTでは、これらの開発者向けツールの内部実装や、それを活かした診断ツールの実装について話す予定です。

登壇者：pizzacat83

• 2020年に株式会社 Flatt Security にアルバイトとしてジョインし、2024年に新卒入社。
• 2年ほど手動セキュリティ診断に従事したのち、現在はセキュリティプロダクト事業部に移籍し、手動診断を支えるツールやセキュリティ SaaS「Shisho Cloud」の開発を担当。
• X: @pizzacat83b

学生枠

LT4：CTFの課題への取り組み方と、実世界に応用できること

概要

CTFには、binary exploitationからcryptoまで幅広いジャンルが出題されます。
一見、これらはそれぞれ異なるアプローチが求められるように見えますが、実は共通して適用できるメタ的なテクニックが存在します。
このテクニックは、CTFのみに留まらず、バグハント、コーディング、さらにはプロダクト開発など、様々な問題解決に応用することができます。

本LTでは、具体的な技術手法に深入りはぜずにこれらのテクニックの概要を紹介します。
本LTを通じて、日々の問題解決に活かせる視点を提供できれば幸いです。

登壇者：keymoon

• CTFプレイヤー。個人戦CTFプラットフォーム"AlpacaHack"開発・運営。好きなCTFはTSG CTF。
• X: @kymn_

LT5：高校生がRCEを発見するまで

概要

プライバシー系OSSにおいて、XSSからRCEに発展した実際の事例を紹介します。
最初にXSSを発見し、それがどのようにしてRCEに繋がったのかを、攻撃の流れに沿って解説します。
また、修正後に残っていたHTMLインジェクションにも触れ、それらのリスクと影響を解説。バグバウンティの魅力も紹介し、プライバシーやセキュリティの重要性について考えるきっかけを提供します。

登壇者：SakaiSec

• 高校3年生。バグハンター。セキュリティベンダーでのアルバイト経験を経て、2025年度から新卒入社予定。
• X: @sksec_

スポンサー枠

株式会社サイバーセキュリティクラウド

株式会社アカツキゲームス

スポンサー

ゴールドスポンサー

株式会社サイバーセキュリティクラウド

会場スポンサー

株式会社アカツキゲームス（Akatsuki Games Inc.)

スポンサー企業の募集について

今後は、各イベントに関して、スポンサー企業を募集します。

スポンサー特典として、以下のような内容を検討しています。

• ゴールドスポンサー（1枠）, 会場スポンサー（1枠）
  • スポンサー枠の特別講演
  • 企業紹介や採用枠の紹介
  • 現地参加や交流会への特別招待
• シルバースポンサー（数枠）
  • 企業紹介や採用枠の紹介
  • 現地参加や交流会への特別招待

本コミュニティやイベントに興味がある方は、以下のフォームよりご連絡ください。

• スポンサーの募集フォーム

※現時点では、企業によるスポンサーのみで、個人によるスポンサーは受け付けていません。

注意事項

• 当イベントの内容およびスケジュールは、予告なく変更となる場合があります。予めご了承ください。
• ブログやSNS等で当イベントに関する発信を行う際は、公序良俗に反する内容のないよう、ご協力をお願いします。
• 当日撮影した画像は、SNS等でイベントの紹介に利用させていただく可能性があります。なお、画像撮影がNGの方は最大限配慮をさせていただきますので、予めconnpassのメッセージやXのDMなどで運営メンバーにお知らせください。
• イベント会場の企業と本イベントの運営は無関係です。本イベントに対するご質問は運営メンバーにお願いいたします。イベント会場の企業に本イベントに関してのお問い合わせはお控えいただきますようお願いいたします。

また、ご参加者の方々が最大限楽しんで頂けるよう、運営サイドで参加にふさわしくないと判断させて頂いた方については、イベント中であろうとご退席をお願いすることがございます。

禁止行為

以下の行為は固く禁じられています：

• ハラスメントや差別的な言動
• 暴力的な行為や脅迫
• 不適切な身体的接触
• 性的な画像や言語の使用
• 他者のプライバシーを侵害する行為
• イベントの進行を妨げる行為
• イベントの趣旨にそぐわない過度な営業行為

禁止行為に違反する行為を行った方はイベントの退出、以後のイベント参加をお断りすることがあります。

Discordサーバー

参加者には、後日「セキュリティ若手の会」用のDiscordサーバーに招待します。

そちらにて、当日の案内や情報共有の場として活用します。