こんにちは。
UEC Bug Bounty(以下UEC-BB)という取り組みをご存じでしょうか?UEC-BB 2021のサイトには、
実際に運用されている学内情報システム を対象としたバグ・バウンティです.本学の学生チーム(1人も可)で 情報セキュリティ検査技術 と 報告書で伝える技術 を競います.
引用元:電気通信大学 バグ発見報奨制度 BUG BOUNTY 2021
とあります。詳細は学内生しか見れないようになっていますが、要は学内情報システムを検査してセキュリティ面での問題を見つけて報告書にまとめてね、優秀なものは表彰するよ!というイベントです。
ここには私の備忘録がてら、感想などを書き残しておこうと思います。それではいってみよう。
参加のきっかけ
私は恥ずかしながら情報セキュリティなんもわからんの人なのですが、漠然と興味はありました。だってセキュリティってワード、かっこいいじゃない!そして今回、サークルのつよつよな先輩に触発された後輩が、サークル内で参加メンバーを募っており、後輩が参加するのに自分が参加しないのはという対抗心から思い切って飛び込んでみることにしたのです。大学生になってからはやってみたいと思ったことにはとりあえず首を突っ込んでみると意外といい結果が返ってくると学んでいたので、気軽に参加表明してしまいました。とりあえずやってみよう!失うもんもないしね!
検査期間まで
勢いで参加登録をし、講習を受けました。この時点で知らない単語がいっぱい、これはしっかり勉強しなければ検査期間内に何もできずに終わるぞと思いつつ、気づいたら検査期間に入ってしまいました。一応図書館からド基礎を確認できそうな本を借りておいたんだけど、読めなかったんだ…。
いざ検査期間
そんな準備不足な状態で検査機関に突入してしまったのです。チームメンバーに基礎的なことを教えてもらいつつ、講習で紹介されたツールで検査してみようと方針が決まりました。コンピュータリテラシの基礎知識はあったことは幸い。基礎プログラミングおよび演習も共にしっかり取り組むことを強く推奨します。大事だよ。検査期間なのに自分の勉強が追い付いてなくて検査自体のスタートが出遅れてしまった。それでも後半は少しずつ検査を始めることができて、報告する情報が確保できた。レポートは他の授業で使用したフォーマットを参考にひな形を用意して、Overleafでメンバーに共有した。報告を各自で書き込んでもらう感じ。分担するには話し合いの時間をはじめとしてちょっと時間が足りなかったのです。誰かが書いたセクションを参考に各自で書き込めば体裁が揃うよう、列挙型の報告にしたのは良い判断だったんじゃないかな。勝手に作ってしまったけど、そろえてくれたのでメンバーには感謝。ありがとう。
表彰式
本当にありがたいことに未経験者枠の賞を用意して下さり、受賞することができました。いや驚いた。ちょうど先週オフィスカジュアル?(ファッションわからんから適当言ってる)っぽい服を購入し、前日にはぼっさぼさだった髪を切っていたのでタイミングはばっちりだったのです!笑 講評を聞き、受賞チームの技術力/報告力に感嘆。間近でこうした人達を見れるとテンションが上がる。すごい人が目の前にいるんだ、実在してるぞ!って感じで。中には名前を知っている人や知り合いもいて、少し交流もできて嬉しかったな。とても楽しかったです。
おわりに
後輩に便乗して勢い参加したわけですが、参加してよかったなと。知識の不足しているネットワーク関係の勉強をするきっかけ/タイミングにもなったし、なにより実践する機会はそうそうないわけです。興味のある方は次の開催時に参加登録だけでもしてみてはいかがでしょう!講習見るだけでも価値があると思いますよ!
