XSSになりたい

Webセキュリティとカメラと写真と

やぎはしゅ、大学卒業したってよ

日常

退職エントリーならぬ卒業エントリーを書きます。

慶應義塾大学環境情報学部を卒業しました。

スーパーファミコンの略称みたいなキャンパスに4年間通ってました。
3月10日に成績が発表され、去る3月23日に学位記を無事受け取りましたのでご報告いたします。

タイトルからまぁ自分語り全開なので興味ない人はここでhistory.back() || window.close()してください。
なんとなく自分語りがしたいお年頃なんだなぁと生暖かい目で見守っていただければと思います。
なんかこう、とうとう学生じゃなくなったのかーと考えるとけっこう込み上げてくるものが(ない)。

入学前

受験生時代はそもそも商学全般がやりたくて大学を選んでいたため他に志望していたのはW大学商学部・社会科学部、M大学商学部、C大学経営学経営学科とかでした。万に一つも浪人はしないようにとのお達しだったのでM学院大学とかも受けましたが今となってはいい思い出です。
SFCに合格後もそれは変わらず、入学後はその辺のことをやりたいなーとざっくり思ってました。

3.11

ちょうど卒業式の日で、バタバタしたのを覚えてます。
なんやかんやあって入学が1ヶ月遅れになってだいぶ萎えました。
なんというか春休みってただでさえだいぶ暇なんですよ。
それがさらに1ヶ月伸びてしまったので、やることなくてぼけーっとしてたと思います。
東日本はどこも大変だったと思いますし仕方がないことなんですが節目にそれが起こると後に響きますねーやっぱり。
高校の入学式は嵐みたいな日で、卒業式は震災、成人式は大雪と、節目運はあまりない人生でした。

入学後

1ヶ月入学が遅れた分試験がなくなったり土曜日に各講義1回ずつ授業を実施したりといろんな影響があった1学期目でした。
いろいろ慣れない分試験がなかったのはおいしかったのかもしれません。
この頃の履修履歴を見るとマーケティング戦略とか取ってて「うわぁ…」って感じです。
なんか違うなぁという違和感を持ったのがこの時期でよかったと思います。
HTMLとかCSSとか触って楽しいなーときゃぴきゃぴやってたこの頃はなんかよかったです。

情報セキュリティとの出会い

「セキュリティやり始めたきっかけは?」と聞かれることが多いんですが、いろんな要因が絡んでいて説明するのが大変で、たいてい適当に取り繕って答えてきました。
最初から全部時系列順に説明すると

  • ひろたんHackmeっていう面白いサイトがあるよ!」←入学前
  • koukiさんという悪い人がいるサークルにちょっとだけ出入りするように。←入学直後
  • 「情報通信セキュリティとプライバシー」という授業を履修してkoukiさんと再びの出会い→koukiさん「僕と契約してXSS報告マシーンになってよ!」←1年生の秋学期
  • 「情報通信セキュリティとプライバシー」の担当である武田先生の研究室に行ってみるとそこにaspさんがいて、aspさんの卒論のテーマが面白かったので興味を持ってセキュリティやってみよう、ということに。←2年生の春

以上を経てセキュリティやり始めました。
しばらくはXSS報告マシーンとしてたくさん統計操作XSSを報告してました。
f:id:yagihashoo:20150317005302p:plain

いろいろやり始めた頃、つまり2年生の初夏に↑上で出てきた人達に「セキュリティ・キャンプっていうのがあるよ!」と言われてセキュキャンに応募しましたが落ちました。
今思うと落ちて当然というかなんというか、本当に何も知らん子だったので。。。
結局キャンプには1年後行けたわけですが、まぁそのときも本当に何も知らん子のままでしたし今も何も知らん子のままだと自分では思ってます。
人間一生勉強していかないとダメですね、ほんと。まだまだです。

キャンプ後

自分の中ではキャンプに参加したあたりが節目になっていて、それ以降はちょっとだけ真面目にいろいろなことに取り組むようになりました。
CTFやりたいなーと思ってキャンプ終わってすぐのSECCON CTFに出て8位(個人戦だった)取ったり、OWASP Nightとか行ってわいわいしたりしてました。
その年のSECCONは、周りにいた人達を誘って********というチームを結成して出てました。
東海大会で1位取って全国で7位取って、ととりあえず近くにいた人を集めて作ったチームとしてはまずまずいけたんじゃないかなーと思います。(今年は本当にダメダメでしたけど。各位いろいろ申し訳ない。)

横浜大会8位

東海大会優勝

就活

そうこうしてる間に就活生になって、リクルートスーツ着ていろんな会社を受けてました。
嘘です。スーツあんまり着ませんでした。
たぶん10社と少しくらい受けたんですが、縁あって情報セキュリティに関わるお仕事ができることになりました。

こういう言い方をすると割と月並に聞こえるし実際たぶん月並なんですけど、就活を通していろんなことを学べたのでよかったなぁと思います。
歪な型で固められてる日本の就活ですけど、やり方次第ではそれなりに活用できるし、結局のところ自分次第なのであんまりdisるようなものでもないと考えてます。
自分の就活を振り返ると、セミナーに参加して何回も面接して…みたいな普通の就活と、そうでない就活と、一応両方経験できたのがよかったと思います。
直接いろんな人に会って話を聞くとその業界の構造とかがきちんと見えてくるので非常に面白かったです。
昨年の今頃はたくさんの方にお世話になりました。ありがとうございました。

お外での活動

3年生の後半に入ると、だんだん大学に飽きてきて、お外で遊び回るようになりました。
ちょこちょこいろんなイベントに顔出して、ちょこちょこ勉強会に参加して…という具合で遊んでました。
いろいろやってるうちにCTF for Beginners(CTF for ビギナーズ)という勉強会の運営に誘われて、第1回開催から1ジャンル丸々担当してきました。
大変好評で、反響も大きく、運営の1人としてはとても嬉しく思います。(運営としての活動が認められて、JNSA特別賞を頂戴しました。)
これまでに5回の開催を経て、運営側にもたくさんのノウハウが蓄積され、スムーズな運営ができるようになりました。
一方で実施後のアンケートでのご意見・ご指摘がグサグサ刺さったりもしていて、企画・運営側の厳しさも痛感した次第です。
勉強会を運営している以上こちらが学びの場を提供しなければならないのはもちろんなのですが、運営側に立つことでの学びもまた大きかったです。
関係各位には大変お世話になりました。今後ともよろしくお願いいたします。

大学生活雑感

ここまで大学の話をあんまりしてないので掻い摘んで記しておきます。

学内でCNSコンサルタントというお仕事をしてました。けっこうな時間をそれに費やしてたと思います。
CNS GUIDEっていう新入生に配られる冊子の制作の取りまとめをしてた時期が一番キツかったです。
ちょうど前年度からISSN/ISBNが振られるようになってちょっとテンションあがりつつ作ってたのが懐かしいです。
新入生が最初に手に取るものなので、できるだけ良いものを作りたくて頑張ってました。
それでもまぁなかなかうまくいかないものだなぁというのが感想です。
神経質に完璧を追い求めるのも時には大事なんですが、もう少し大局的に完成された状態を目指すというのも必要だったと今思います。
SFCって比較的学生が自由にできて、物事を改善するのに学生がダイレクトに動ける基盤が整っていると思うのですが、CNSコンサルタントという組織はその傾向がとても強いです。
一応上部組織として湘南藤沢ITCがありますが、運営の主体はあくまで学生です。
光らせるも腐らせるも運営する学生の手腕次第です。ぜひいろいろなことに挑戦してください。

Instagram

学業の成績は普通です。成績証明書から計算するGPAでだいたい3.5強。
ただしKO大学の成績証明書には落とした科目が載らないので[以下自主規制]

研究については、決して優秀な学生ではなかったと思います。
あまり好きになれなかったのは残念ですが、たくさんの学びがありました。
無駄にせず、きちんと活かしていきたいです。

卒業式とか

最近夕方に起きる生活が続いていたので急に6時起きで完全に時差ボケでした。
結局日付が変わる少し前に帰宅したのでだいたい18時間動いていたことになります。
もっと言うと4時半くらいまでは起きていた気もするので23日だけで見るとたぶん1時間くらいしか寝てなry

とにかく起きて式に出て学位記いただいてきました!!
いろいろと思うところはありましたが言ってよかったです、卒業式。
やっと一区切りというか、なんというか。Take Off Rallyも行ってよかったです。
「こういうの来るキャラじゃないじゃんww」とか言われたりもしましたしまぁその通りなんですが行ってよかったです。
最後の日だけど新しい知り合いができたり、前々から話してみたかったけど話せてなかった人だったり、人が集まるのはいいことですね、ほんと。

SFC Student Award

SFC Student Awardという賞をいただきました。

Instagram

ざっくり言うと、いろいろ見つけて報告していたことに対しての表彰です。
大きいのから小さいのまでちょこちょこ見つけては報告して…を繰り返していたのですが、特に謝辞の掲載等もなく、「俺は別にいいけど今後続く人がやる気なくなりそう」と思っていたところへの表彰でした。
報告する側としては、Webページ上への謝辞の掲載など、微細なものでも客観的に見せられる何かがあれば外向きに出せるため、非常にありがたいです。
バグバウンティでもそうですが、こういった形でのリターンを設けることで、よりよいシステムを作るための基盤や雰囲気が作られていくと思います。
そのための前例を作れたという点で、SFCに残せたものはあるのかな、というのが私見です。
Award表彰にあたって動いてくださった方々にはとても感謝しています。ありがとうございました。
今後も精進してまいりたいと思います。

なんか本当はこの後にも長々と書いたのですが恥ずかしくなったのでやめます。
今後何かを報告する人は優しさを持ってincident@sfc.keio.ac.jpにメールで報告して欲しいなぁと切に願います。
なんだかんだ中の人が忙しかったり、諸コストが高すぎてそこそこヤバい脆弱性でもなかなか修正されないことも多いのですが、そういうのって仕方がないことですし、管理者が認識しているか否かという点で非常に大きな違いがあると思います。
ぜひ「どうせ直らないから」と高を括らずに報告してください。優先度の高いものはちゃんとすぐに動いてくれますよ。

4月から

某社でお世話になります。
研修についていけるかどうか不安で夜も眠れず昼に眠る生活を送っています。
とりあえずデータベーススペシャリストを取りたいので卒業しても日々勉強の毎日です。