SecHack365 修了生LT（2018年愛媛回）

SecHack365 修了生LT ＠2018 愛媛回友利奈緒（@K_atc）

友利奈緒（ともりなお）　ID: @K_atc 現職セキュリティエンジニア（研究開発部門）趣味脆弱性検出の研究、お絵かき得意分野
シンボリック実行、ソフトやバイナリの静的・動的解析、低レイヤー、組み込み、Web開発

SecHack365のテーマ①シンボリック実行「シンボリック実行エンジンTritonのマルチアーキテクチャ対応」マルチアーキ対応の観点では当時angrが有力。Tritonをその中に入れたい！【悲報＆吉報】本家がAArch64対応着手 @2018/11 悲しいオチ

SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」ゲームとしては楽しいが、学習要素が弱いのがネック（現在改良中）

SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権！ • 海外視察参加権！

成功したこと、失敗したこと、反省点成功したこと • 優秀修了賞2件（チーム：Cyship、個人：シンボリック実行） • Cyship（セキュリティ学習ゲーム）→今も開発中 • くぼたつ道場→個人PJの競合について相談＆軽い人生相談失敗したこと、反省点 •
シンボリック実行（Tritonのマルチアーキテクチャ対応） →設計思想違反により本家へマージ不可。やること多すぎて未完成 • チームの掛け持ち →多くの人と交流する暇無し。他チームとの意見交換も碌に出来ず

もう終盤だけどSecHack365の生かし方① 成果に囚われず、自分なりの「開発→公開→改善」サイクル確立を意識！ • 開発：アイデア出し～実装 ◦ 私）設計→実装→再設計→実装→… • 公開：発表、OSS活動 ◦ 発表例）勉強会、ブログ、GitHub
• 改善：課題整理 ◦ 何がうまくいった・いかなかったか？ ◦ 改善点は？今の私のリズム）定時前退社→飯休憩→風呂→開発（2〜4時間）→睡眠→出社フレックス勤務はいいぞ！！アイデア出し、設計、論文調査課題整理発表実装 OSSコミット

もう終盤だけどSecHack365の生かし方② 人間性を取り戻すムーブをする普段人間性を捧げて荒んだ生活をしている方！（e.g. 私）オンサイトでは、人間的な活動をすると後々無理がない。リラックス！おすすめな人間的な活動 • 美味しいものを食べる！大きなお風呂に入る！綺麗なベットで寝る！ • 人と会って話す
• 頼れる大人に相談（心理的安全性を確保する意味でも重要）

もう終盤だけどSecHack365の生かし方③ 実力 or ポテンシャルがある人（＝みなさん）向けのアドバイスイベントに参加する以上、賞を貰って帰ろうな！自分の頑張りを肯定する強力な材料を得られる。実際はうまくいかなかったことの方が多くて気分はブルー。優秀賞を狙う勢いで、成果物と発表の完成度を全力で高めような！ヒント：大学の研究室で学んだことフィードバックや相談の機会を存分に活かそう【オンサイトイベントの重要性】

もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい！今年のトレーニーの特徴として、1人チームが多い。ほとんどといってもよい。まじか（もったいない）

もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If
you want to go far, go together. • チーム開発はレバレッジが効く：小さい労力→大きな成果 ◦ 戦略も大事だが、物資の多さはやっぱり有利 ◦ 物資の多さは手数（＝戦略）の多さに直結 ◦ cf. 『失敗の本質―日本軍の組織論的研究』 • コンセプトを共有した仲間と議論し一つのものを作り上げる経験を得られる ◦ チーム開発は社会人の必須スキル ☜ここ重要 ◦ 今から高めておこうな！ • 理論上 n 回優秀選抜される（n > 1） ☜わりと重要

もう終盤だけどSecHack365の生かし方④ 修士研究＋個人開発＋チーム開発を並行する例（修士2年の終盤での実施実績）オフライン〇〇回オフライン ▼2ヶ月前 ▼0日目 ▼終了修士研究個人開発
チーム開発発表準備発表・手直し発表修士研究個人開発意見交換（適時）発表準備・発表・議論・実装

現在の取り組み　①シンボリック実行、静的解析 • シンボリック実行の実用化：エクスプロイト自動化 [発表資料]　＠2018/6 ◦ シンボリック実行（Triton）✕ファジング（AFL） • 静的解析 ◦ Weakest
Preconditionを用いたシンボリック実行 [Tweet]　＠2018/11 ◦ DevSecOpsを見据えたSASTツールgosec試用 [GitHub]　＠2018/11

現在の取り組み　②Cyship（セキュリティ学習ゲーム）継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門決勝進出（2018/11）キャンパスベンチャーグランプリ最終審査（結果まだ）学生CG コンテスト
アート部門ノミネート（結果まだ）

SecHack365 修了生LT（2018年愛媛回）

SecHack365 修了生LT（2018年愛媛回）

友利奈緒（@K_atc）

More Decks by 友利奈緒（@K_atc）

Other Decks in Education

Featured

Transcript

SecHack365 修了生LT ＠2018 愛媛回友利奈緒（@K_atc）

友利奈緒（ともりなお）　ID: @K_atc 現職セキュリティエンジニア（研究開発部門）趣味脆弱性検出の研究、お絵かき得意分野

SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」ゲームとしては楽しいが、学習要素が弱いのがネック（現在改良中）

SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権！ • 海外視察参加権！

もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい！今年のトレーニーの特徴として、1人チームが多い。ほとんどといってもよい。まじか（もったいない）

もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If

もう終盤だけどSecHack365の生かし方④ 修士研究＋個人開発＋チーム開発を並行する例（修士2年の終盤での実施実績）オフライン〇〇回オフライン ▼2ヶ月前 ▼0日目 ▼終了修士研究個人開発

現在の取り組み　①シンボリック実行、静的解析 • シンボリック実行の実用化：エクスプロイト自動化 [発表資料]　＠2018/6 ◦ シンボリック実行（Triton）✕ファジング（AFL） • 静的解析 ◦ Weakest

現在の取り組み　②Cyship（セキュリティ学習ゲーム）継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門決勝進出（2018/11）キャンパスベンチャーグランプリ最終審査（結果まだ）学生CG コンテスト