セキュリティ・ミニキャンプin新潟2023に講師として参加したので、感想と反省の雑文です。

参加経緯

セキュリティキャンプ全国大会2023の講師として参加することが決まってしばらくした5月のある日に、ミニキャンプの企画設計をしている担当の方からお声がけいただき、二つ返事で専門講義の講師を引き受けることにいたしました。 年に1回、キャンプ修了生がキャンプ事務局に提出するアンケートの中で、ミニキャンプへ講師として貢献する意思はありますか？ / どの地域（都道府県）であれば貢献できますか？みたいな設問があったような気がしていて、甲信越周辺は参加可として提出したような記憶がうっすらあります。 多分、それを見て声をかけていただいたのだと思っています。大変ありがたいことです。

講義の設計にあたっての諸条件は以下の通りでした。

• 現地開催
• 2.5h〜3.0hの講義時間
• 講義テーマは自由（全国大会の内容の難易度を下げたものでも良いし、完全オリジナルでも良い）
• 手を動かす演習（ハンズオン）を必ず含めること

現地開催でハンズオンをやるのであれば、暗号技術とプロトコルに関連して、NFCカードリーダ使ってマイナンバーカードとやりとりする講義とか面白いんじゃないかなーと思い、講義テーマはそれに決まりました。 キャンプ全国大会では対話がメインで、自分でスライドを用意して受講生に教えるような経験があまりなかったので、良い経験になると思い、全国大会の講義とは別の感じを出せるようにしたいと考えていました。

講義内容

2023/9/10の講義の中で説明したこと・演習したことは以下の通りです。

• マイナンバー制度の概要
• OpenSSLコマンドで秘密鍵や証明書の作成、OCSPによる証明書失効検証
• マイナンバーカードと通信する演習
• 本人確認手法（犯罪収益移転防止法やNISP SP 800-63-3）
• デジタル社会の実現に向けた閣議決定の内容抜粋

講義に使用した資料（スライドとプログラム）などは公開しています。

• マイナンバーカードの暗号技術とセキュリティ - Speaker Deck
• tex2e/secminicamp2023-mynumber (GitHub)

最後の講義は、株式会社電算の荒木 誠氏による「マイナンバーカードの暗号技術とセキュリティ」です。ハンズオンで実際にマイナンバーカードとの通信を組み立ててデジタル署名を作成することを通して、暗号技術や暗号プロトコルで課題を解決できる人材を目標に学んでいきます。 #seccamp pic.twitter.com/mcZutRCHkX

— セキュリティ・キャンプ (@security_camp) September 10, 2023

良かった点

講義後のアンケートで抜粋すると、ハード系使う機会がないので新鮮だったとか、今までにない観点からセキュリティについて見直すことができてよい機会になったなど、のコメントがありました。 仕事の関係などでマイナンバー制度について色々調べている中で講義をしないかとお話を受けたので、自分の頭の中を整理する意味もあって、マイナンバーカードとその周辺の制度や法律などの話を混ぜ込んだ感じにしていました。

CTFや脆弱性を見つける視点とは別の視点で暗号技術に触れてもらうことで、暗号技術の見え方が変わったようであれば、講義をした意義があるので講師として嬉しい限りです。 運営の方にも暗号技術への違った切り口の講義で良かったと言っていただき、とても励みになりました。

反省点

マイナンバーカードとAPDUプロトコルで通信する話をもう少し丁寧にした方が良かったかなーという印象です。 もう一枠の @shio_sa1t さんの Bluetooth の脆弱性に関する講義がまさにプロトコルよりなので、それに合わせるとよりミニキャンプin新潟としての色が出せたのではないかなと思うところです。 全体的に時間が押していることもあり、運営には時間のことは気にしなくてもいいよと言われていましたが、自分の帰る時間も考える必要があって（新潟から自宅まで帰ると2.5hくらいかかり、さらに休日はバスの運行時間が短いので）若干焦る気持ちもあったので、時間にゆとりを持てるような講義設計にしたいと思いました。

あとは、カードリーダとUSBの接続周りでつまづく参加者（WSLだとUSB周りで認識できないなど）や、マイナンバーカードを忘れた参加者や、カードの暗証番号を忘れた参加者などもいたので、必要な環境の具体的な説明を充実させたり、事前連絡をまめに行う必要があったなどは反省点です。

次回に向けて

もしまたミニキャンプの講師をやるとしたら、今回の反省点を踏まえて再度マイナンバーカードで署名する内容を継続するか、もしくはSELinuxで攻撃を防ぐ演習とかが個人的には面白いのではないかと思っています。まぁ次回があればの話ですが

終わりに

ミニキャンプへの参加は初めてだったのですが、地域性もあり運営とも距離が近くて全体像が見えるため印象的なイベントでした。受講生の方は8人と若干少ない感じはしましたが、演習のサポートなどで一緒に作業を見る場面も多く、結果論ですが今回の講義では対応するためにちょうど良い人数だったと思います。チュータの2人も環境面や演習などで支援していただき、ありがとうございました。 会場の準備や懇親会、宿泊施設やタクシー移動など様々な場面で対応していただいた運営の皆様にも感謝しています。

お土産には、新潟県産の紫米を買って帰ることにしました。 新潟の人におすすめのお土産はないよ〜と言われていましたが、紫米は好きなので即決でした。 新潟に来た時はまた買いたいです。

以上です。

参考資料

• セキュリティ・ミニキャンプ in 新潟 2023