一般社団法人AKATSUKIの支援を受けて4月26日から5月1日までAKATSUKI × DEFCON SG Study Programに参加しました.
本文書は, プログラムの参加後記になります.
プログラムにおける主な活動は, AiSPおよびSIT施設の見学, DEFCON Singapore 1の聴講, MTX(MilPol TechX)の見学でした.
それぞれについて, 大まかな概要と感想を述べます.
4月27日にはシンガポールにおける情報セキュリティに関するコミュニティであるAiSPとSingapore Institute of Technology(SIT)の見学を行いました.
AiSPとSITはPunggol Digital District(PDD)と呼ばれる地域に集約されており, 地域としてサイバーセキュリティを始めとしたIT技術に関する研究開発, 人材育成の拠点となっているようです. 見学内容とはあまり関係はありませんがPDDはクリーンで緑が多く, またおしゃれな建物の多い風光明媚な場所でした.
説明を聞くところによると, AiSPはシンガポールにおける情報セキュリティコミュニティの形成, 人材育成, 産官学連携, 資格の整備などを行っているそうです.
日本において近い組織を上げるとすればIPA(情報処理推進機構)でしょうか.
AiSPについて特に感心した点は産官学を巻き込んだコミュニティ形成のためのエコシステムが秀逸であることです. 例えば日本のセキュリティキャンプといった人材育成のための制度は学生への教育にフォーカスしていますが, AiSPは学生だけでなく実務者も参加できるイベントを頻繁に開催していたり, コミュニティに対して貢献のあった学生を表彰するシステムが存在したりと, 学生の育成に終始せず業界としてのコミュニティ形成と維持のための仕組みが本邦に比べて豊富であるように感じました. 後述するDEFCONでも常々感じましたが, 開かれたコミュニティの形成というのはサイバーセキュリティという領域において重要であるはずで, 本邦でもこのような取り組みが増えればよいと思います.
AiSPと同じくPDDに存在するSITの施設見学も行いました.
主に見学したのはサイバーセキュリティやネットワークのコースに関連する実験室や, サーバールームです. 学生が授業で使うネットワーク実験室は驚くべきもので, 4~8人ほどの席がある一つのブースにつき一つのラックが用意されており, ciscoのCatalysitを始めとしたプロダクションレベルのスイッチ, FW, サーバーなどが接続されていました. 部屋にはこのブースがずらっと並んでおり, 収容人数は120人ほどであるとお話しされていました. SITにはそんな実験室が確認しただけでも2部屋ありました.
こうした部屋を使って行われる講義ではいわゆるPaper Testは行われず, 実際の機材を使って指定された要件を満たす環境を構築できれば合格という方針を取っているようです. またネットワーク講義/実験以外にもCTFなどに利用されているようでした.
私の所属する大学にもネットワークに関連するハンズオンを含んだ講義は存在しますが, 仮にこれほどの設備が存在すれば実務的な能力の教育効果は段違いでしょう. 人材育成に関するSITやひいてはシンガポールという国の本気度がうかがえました. 本邦でも学生が自由に使えるネットワーク機器が是非増えてほしい, というか本当に人材育成をしたいのであればこの設備が必要なのだろうと感じました. 日本でこういう設備のある大学は筑波大学くらいのものなのではないでしょうか.
また, 大学内や聞き間違いでなければPDD地域には多くのセンサが設置されており, それらから取得できる情報は専用に構築されたネットワークを利用し一挙に集約しているそうです. このデータは大学や企業が自由に利用することが可能だそうで, 日本の政策でいうところの都市DXにも力を入れているようでした.
AiSPもSITもいろいろと参考になる点があり, また親切に案内していただき楽しい見学でした.
以降の日程では主にDEFCON Singaporeの聴講とMTX MilPolの見学を行いました.
今回のDEFCONは私にとって初のDEFCONであるだけでなく, 初の産業系のカンファレンスでした. 普段はどちらかというとアカデミアの側で活動しているため個人的にはNDSSやCCSとの雰囲気の違いやレベル感を知ることが重要でした.
DEFCONにおけるメインのイベントはTalkとVillageです. それぞれアカデミックカンファレンスで言うところのセッション発表とワークショップが近いと思います.
Talkの中で特に印象に残ったのはOpenAIによる「Beyond Prompt Injection: Agentic Attacks in the Real World」です. この発表ではLLMに対するプロンプトインジェクション攻撃を, これまでの文字列フィルタリングによって解決するような問題ではなく, 一種のソーシャルエンジニアリングとしてとらえなおすといった内容が話されました. OpenAIはおそらく現在地球上でLLMに対する攻撃のサンプルを最も多く持っている企業の一つであるはずで, そんな組織によるプロンプトインジェクション, もう少し広くはLLMを利用したシステムに関する見解を聞くことのできる機会は貴重だったと思います.
いくつかのVillageも見学しました. LockPicking Villageは物理的な鍵(例えば南京錠)に関する脆弱性や, ピッキングツールの使用方法を学ぶことができるVillageです. 昔からあるVillageでかつてから参加者のブログなどを通じて興味を持っていました. Villageには難易度別にいくつかの南京錠とピッキングツールが配置してあり, 実際にピッキングを体験できました. 日本国内ではピッキングツールの所持は法律に抵触する場合が多く体験が難しいため, この機に基本的なハンズオンを受けることができてよかったです.
他にもテーマとして印象に残っているVillageとしてMaritime Hacking Villageがあります. このVillageは船舶に関するセキュリティに注力しており, 航海上の船舶に関する脅威モデルや, 実際に船舶に搭載されている設備を見ることができました. シンガポールという国は特に海洋国家であり, またStarlinkの登場により船舶がインターネットへの接続を容易に得られるようになったこともあって, この領域に注目, 投資しているようです. 日本もまた海洋国家であり, 海上貿易によって国が成り立っていますが, 一方でこのような領域におけるセキュリティの取り組みはあまり聞いたことがなく, 日本としても注目に値するのではないかと感じました.
DEFCONと同時に開催されていたMilPol TechXは, 公共安全, 安全保障, サイバーセキュリティ等を対象にした技術展示会兼カンファレンスです. DEFCONと動日程で開催されており, DEFCONがマリーナベイサンズの地下2階で開催されていた中, MilPolは地上1階で開催されていました. Talk等が行われているカンファレンス側への参加にはチケットが必要でしたが, 展示会側は参加無料だったため見学してきました.
展示内容の多くは警察, 軍, 法執行機関なとをターゲットにしたもので, 普段見ることの無いような製品がずらっと並んでいて壮観でした. 本当にいろいろありましたが, 特に以下のテーマがトレンドに見えました.
- インテリジェンス支援(ソフトウェア的なものとハードウェア的なもののどちらも含む)
- portable mesh network(特殊部隊やドローン向け)
- ドローンを用いたソリューション
- デジタルツイン
中国精華大学の展示など, 日本では絶対に見られないような展示もいくつかあり, DEFCON同様考えることの多い展示会でした.
以上に記述したこと以外にも色々な体験をしましたが, 詳しくなりすぎてしまうのでこの程度でとどめておきます.
改めて今回のプログラムを通じて, いろいろな知見を得ることができました. 参加を支援していただいた一般社団法人AKATUKI様に感謝申し上げます. ありがとうございました.