2026年1月31日(土)、シーエー・アドバンス沖縄本社にて沖ハック~for Developers~を開催しました!
今回の沖ハックは、開発に携わる皆さまが“攻撃者の視点”を体験しながら、セキュリティを少し身近に感じてもらうことを目的としたイベントです。
知識として理解するだけでなく、実際に手を動かしながら「なるほど、こうやって成立するのか!」と感じてもらえる時間となりました。
目次
|開催の背景
|当日の様子
|参加者の声
|次回開催について
開催の背景
セキュリティの重要性は、年々高まっています。
一方で、「脆弱性の名前は知っているけれど、具体的な仕組みまでは説明できない」という声もよく聞かれます。
開発の現場では、
・どこが攻撃の入口になり得るのか
・どの実装がリスクにつながる可能性があるのか
といった視点がとても大切です。
今回の沖ハックでは、実際の通信の流れを追いながら、“脆弱性が成立するしくみ”を体験を通じて理解することをテーマにしました。
当日の様子
当日は14名の方にご参加いただきました!
参加者は、
・セキュリティに関心のある開発経験者
・ITエンジニア系高専の学生
と、さまざまなバックグラウンドをお持ちの皆さまです。
まずはオリエンテーションからスタートしました。
会社説明を通して、本イベントの前提や目的を共有します。
アイスブレイクを挟んだあと、ハンズオンが始まると会場の空気は一気に”学びモード”へ。
画面をのぞき込みながら真剣に操作する姿や、「あ、ここか!」と気づきを共有する声もあり、自然と集中した空気感が生まれていました。
ハンズオンで見えてきたこと
今回使用したのは、Web通信の内容を確認できるツール「Burp Suite」です。
とはいえ、イベントの目的はツール操作を覚えることではありません。
大切にしていたのは、”どこに違和感があるか”に気づく視点です。
ハンズオンでは、
・入力値がどのようにサーバーへ送られているのか
・どのパラメータが処理結果に影響しているのか
・想定外の入力をすると何が起きるのか
といったポイントを、実際の通信を見ながら確認していきました。
脆弱性は突然生まれるものではなく、いくつかの条件が重なったときに成立します。
その流れを追うことで、「攻撃ってこうやって起きるのか」という理解がぐっと深まっていきました。
「対策がある」だけで安心しないという視点
演習の中では、CSRF*対策にについても検証しました。
たとえば、悪意のあるサイトを開いただけで、別のサービスに対して「設定変更」や「送金」などのリクエストが送られてしまう、といったケースです。
対策が施されているように見えても、条件によっては攻撃が成立してしまうことがあります。
ここで重視したのは、「対策があるかどうか」ではなく、 “その対策が前提条件も含めて適切に機能しているか”という視点です。
実際に検証してみることで、“守られているつもり”と“本当に守られている状態”の違いが見えてきます。
この気づきは、日々の開発にもつながる視点です。
CSRFとは、ログイン中のサービスに対して、本人の意図とは異なる操作を実行させてしまう攻撃手法のこと
チーム形式だからこその気づき
演習はチーム形式で行いました。
経験の差がある中でも、
・理解している内容を説明することで整理が進む
・疑問を共有することで新たな視点が生まれる
といった前向きなやり取りが生まれていました。
セキュリティは知識量だけでなく、”どう考えるか”が大切な分野です。
それぞれの思考プロセスを言語化し、共有することで、理解が一段と深まっていく様子が見られました。
画面を囲みながら自然と議論が広がっていく様子からも、学びを楽しむ空気が感じられました。
参加者の声
アンケートでは、
・自身の開発におけるセキュリティ意識が高まった
・難しそうという印象がやわらいだ
・さまざまな視点や角度から脆弱性を判断することができ、とても有意義だった
・フォローの体制が手厚く、あまりセキュリティの経験がなくても参加しやすい
といった声をいただきました!
「楽しかった」という感想も多くありましたが、その背景には“理解できた実感”があったように感じます。
次回開催について
沖ハックは、今後も開催を予定しています。
開発経験をお持ちの方で、「セキュリティをもっと具体的に理解したい」「攻撃の仕組みを体験してみたい」と感じている方は、ぜひ次回ご参加ください。
知識を“知っている”から“使える”へ。
その一歩を踏み出せる場を、これからもつくっていきます。