発信が怖すぎる
日記
読書を開始してみた。個人的に地の文が多いやつが好きなので、適当に書店で探して中村文則さんの「銃」というのを買ってみたが当たりだったので嬉しかった。こっちまで悪いことをしている気分になった。
日記ではない
最近思うんだが自分が学んだ範囲の知識だけで発信*1をやってる人は恐怖とか感じないのだろうか。インターネットには自分よりよっぽどその分野を知っている人がいて間違ったことを言ったら消されてしまうかもしれない。ツイートが減っているのもここから来たりしている。
ただ、自分の意見が言えないってのも問題だなと最近思うようになってきた。実生活の近い未来くらいに影響が出そうな気がしてきたのだ。例えば人前で話したりするとき。あれもほぼ前の段落で書いたような状況に近いと言える。でもこれは避けられない義務なのでやらなければいけない。現代はコミュニケーション能力が無いやつは必要としていないので気の利いたスピーチの一つくらい出来なくてはいけない。だが急にぶっつけ本番でやっても上手くいくワケが無いので練習が必要だ。そこで発信が出番になってくる。怖いけどやるしかないのかもしれない。
結果的に予防線みたいな記事になってしまった。
*1:インターネットで意見を言うこととする
プレーイステイション4を買いたくなった話
//セミフィクションです
話は数年前に遡るんですけど、私が中学の半ばだったころに周囲がモンスターを殺生するゲームに熱中しておりました。話題としてたまに耳に入ってくるため私も少し気にかかっていました。ただ、私は厳しい家の出だったのでゲームなど買って貰える環境にはありませんでした。幼かった私はこの頃から自制心の強い人間への一歩を踏み出したと言っても過言ではありません。
☆
プレイステーション4が欲しいんだけど金が無かった。
それを購入した友人が社会復帰を果たしていたので自分も社会復帰したいと思った。
でも最近は安くなってるから買えるよと各所から言われたがとても今の財政では厳しそうだった。12月は一年の中で一番お金が気化しやすい。
そこで辞職後一向に給料を振り込んでくれないバイト先にクリスマスの挨拶をしに行った。人生で一番殺伐としたクリスマスだった。
//セミフィクションここまで
ご報告
こんにちは。今日はお話したいことがあるので書きます。
あえこと私あえは2016年12月1日未明に市内某所のカレー屋にてアルバイトを始めました。ファンの皆様におかれましてはご理解いただけることを要望します。
このカレー屋なんですが、最初に研修と称して二日間フルタイムで無賃で働かせて貰えるんですね。こういうのは私とって非常に初めてだったのでとても興味が深くなる経験となりました。
それで週が明けた月曜日(今日)から正式にホールスタッフとして働かせていただいております。何卒田舎上がりのもやしなので精一杯お役に立てるように邁進しております。
さて、話は変わりますが明日は火曜日ですので私のシフトはお休みだそうです。いつお店に行けば"あえ"るんだとの疑問が浮かぶと思うのですがずっとお休みだそうです。何卒その点に注意して来店していただけると嬉しいと思います。ですが個人的には武蔵塚のロータスの方が美味しいのでそちらに行ってはいかがかなと思います。おわり
#
"""
市内の ってお店で無賃労働やらされた挙句に初日でクビになったが特に悪いことはしてないんだけどなぁ。お給料も700円とお買い得だったのになぁおかしいなぁ
"""
#
内視鏡検査を受けた
特に異常があるわけでは無いが前々から調子が悪い気がしていたのでいきつけの医者で大腸の内視鏡検査を受けることにした。
検査前日は米と素うどんと食パンしか食べてはいけないとのことで水だけで暮らした。ジュースや茶もダメだ。
検査当日は早朝から病院に呼び出されて一リットルの下剤を飲まされる。これが大変苦痛でまるで出来損ないのアクエリアスを飲まされているような状況だった。
下剤を飲んだらもちろん中身が空になるまでトイレと病室を往復する生活が始まるがこれが何よりも苦痛だった。のべ13回ほど看護師のチェック(この辺は少しぼかして表現する)を受けたが、まるで終わりが見えなくて苦しかった。この過程に七時間かかった。今後受ける人はこの点について覚悟しておくと良いと思う。
腸の中身が空っぽになるといよいよ検査ということになるわけだが、その設備が思いの外仰々しくて間違って手術されてしまうのではないかといった印象を受けた。
検査はまず尻の部分に穴の空いた検査着を着せられ、その後にベッドに横たわって点滴が取り付けられる。これは栄養と水分を補給するためのブドウ糖を補給するためのものだ。ついでにここから麻酔も入れられる。少しふわふわすることになる。
下ごしらえが済んだらいざ検査と言う事になるが自分は知人からうぐーっという状況が来ると教わっていたのでかなり緊張しておりさながら初めてを迎える女性の恐怖感のようなものを擬似的に体験出来た気がする。確かに怖い。
だが実際のところ、検査自体は全く苦痛でもなくただ横になってぼーっとしていれば終了したので寧ろ新鮮で楽しかった。
最後に費用だが、およそ五,六千円で受けることが出来るので意外とリーズナブルなところを突いている。お得だ。
まとめると、内視鏡検査は検査に至るまでの段階が苦痛で仕方ないが検査自体は大したことはないので怖がらずに受診してみるのも悪く無いと思った。でも普通大腸が心配な人なんてあんまりいないよね。
第15回セキュリティさくら参加レポート
ブログはサボるためにあるんだ
セキュリティさくら第15回参加レポート
7/30 に開催されました!
半分くらいポケモンやってるって言っていた。
みんなやりすぎなのでは。
以下まとめです。教科書みたいで眠いので赤いところだけ読んでいただければいいと思います。
『クラウド不安とか言ってる場合じゃない最近のクラウドセキュリティ』
presented by Amazon Web Serviceの松本照語さん
前半
1)評価の分かれるクラウドセキュリティ
最近の話。ITの市場は停滞してきているけどクラウド関連はまだ伸びているよ。と。だがそのクラウドを採用した場合のセキュリティについて世間の見解が二分している。クラウドを採用することでシステムがセキュアでなくなるという考え方とその逆である。アメリカでは既存の手法よりクラウドを使う方がよっぽど安全だよねという風潮がある。このギャップとは。
2)そもそもクラウドとは
そもそもクラウドは何かサービスを作る時に役に立つものである。最近だとゲームをリリースしたが思いの外人気が出てしまって資源を調達しなくてはいけなくなった。などのような何が起こるか分からない場合などに適している。逆も然り。まぁそれだけじゃなくて使いたい分だけリソースを使えるし柔軟に使えるよねといった風に電気のような形で必要な分だけ使うことが可能となっている。これによってビジネスモデルの変化などが行われるんじゃないだろうか。これまでは設計の段階で徹底的に検証してサービスを作り上げていった形式だったがこれからはサービスを成長させていく形に変化するのではないか。ニューノーマルともいう。
3)クラウドセキュリティの不安を除くために
当初クラウドのセキュリティは独自でやっていることを売り出していたがそれでは信用されにくいため、信用されるためにISO27001のような基準に則る方式になった。なお、ISO27001はクラウドのセキュリティの基準である。他にも色々あるよ。
AWSではこの基準に則ってある一定までの構成を作っておき、そこに顧客のニーズに合わせたカスタマイズをしてもらう手法にすることでクラウド側と顧客側の担当する領域を明確化させている。コンプライアンス。
4)クラウドセキュリティの常識が変わる
クラウドにおいてセキュリティ技術を導入し、安全性(こう書いたけどしっくりきてない)を高めることは当然であり、それは日に日に増している。(後で読んでみたらこの文だけ特に翻訳にかけたみたいになった。)アクセスコントロール、暗号化、冗長化などが当てはまる。
お約束だけどセキュリティリスクは掛け算で計算する。だからサービスの規模が日々変化するクラウドだとそのリスクは日々変化し、そのリスクに合わせた柔軟な対応が求められるのではないだろうか。ここで適応型セキュリティという考え方が出現する。予測、防御、検知、対応。これらを継続的に行い、監視と分析を行う手法だ。クラウドではこのような考え方が有効である。コストコントロールで優勝。クラウド有効コストコントロール優勝でラップが出来る。
後半
5)クラウドならでは、のセキュリティへ
クラウドは顧客が本来やるべきことに集中するためのセキュリティを目指す。この場合の本来やるべきこと、とはサービスを作る上で独自であったり新規であるなど特別な部分について考えることを指す。少し遠回しな言い方になってしまったかもしれない。
AWSではSecurity By Design、Dev Opsという仕組みを採用している。(唐突)
・Security By Design:設計の各段階について要件の組み込み
開発・運用プロセスにセキュリティ評価を組み込む。
・DevSecOps:ライフサイクルを高速化させるための取り組み
自分には少し難しかったのでこの辺りで理解してもらえるといいと思う。
DevOps とは何か? – アマゾン ウェブ サービス (AWS)
6)一歩進んだセキュリティのために
よそ見してたら終わってた
7)終わりに
クラウドによって「できなかった」ができるようになりつつある。
変化や要求に応じること。ビジネスも環境も変わる。
本当にやるべきことに集中できる環境を作ること。
感想
ちょっと宣伝が入っていた気がするがクラウドの持つ強みを聞いてこれからはクラウドの時代。となった。ただ、現状の日本ではやはり導入に違和感を感じる人が抵抗してくると思うのでその辺りとの折り合いを付けながらやっていくのは大変だろうなとも思った。中小が使い始めてどんどん結果を出せば流れが変わっていっていいのではないかと思った。
最後にLTの紹介
『イベント(SGR2016)のご案内』前田さん
・カンファレンスをやります(東京・御茶ノ水)
・9/23
・SGRはSecurity Groups Roundtableの略
・テーマはサイバーリスク×サイバー法のように複数のテーマの融合
・1万円で参加できる
『ビギクラ! 開発入門者向け脆弱性学習アプリ』政倉さん
・プログラミング入門者が簡単に攻撃を試せるアプリ
・脆弱性の理解が進む(多分)
・デモをしてくれた(すごく配慮されて作られていると思った)
・アプリで実行されたSQL文とその実行結果が見られる
・遊んでみてくれよな
・授業とかで使ってもいいぞ
『パスワード管理ソフトの有用性と危険性について比較してみた』Cyberforceさん
・有用性
- マスターさえ覚えておけばよい。これを強力にしておけばよい。
- パスワードの使い回しが減る。
- 持っているアカウントの把握が出来る。
- パスワード以外の情報を管理することもできるよね。クレカとかライセンスキーとか免許証の番号とか
- 自動入力
- 同期(クラウドなどを通じてあらゆるデバイスで管理が簡単)
- セキュリティレポートとかもある
・危険性
- 全てを一度に盗まれる(実例がある。トレンドマイクロの脆弱性とかLastPassへのハッキングとか。)
- 全てを一度に失う。ファイルとして持っておくタイプだとそれがなくなるとマズい。
・考察
- 盗まれるのはマスターパスで(業界最高水準で)暗号化されたデータ
- 脆弱なパスワードにしない
- マスターパスの変更
- 二段階認証にしよう
・結論
- 下手な管理より圧倒的に安全
- 預けるデータを選ぶという発想
- クラウド同期機能を使わないという作戦
- 有用性 > 危険性
・個人的にダッシュレーンがおすすめとのこと(有料)
『TeslaCryptを焼肉に変えた話』李さん
・ウイルスに感染したので助けてと相談→TeslaCrypt(通称VVVウイルス)だった。
- 全部.vvvにしちゃうという由来
・有志によるTeslaCrackというツールがある
・よく見たら.vvvじゃなくて.mp3じゃねーか→TeslaCrypt3と呼ばれている脆弱性がない強力なやつだった
・対処方法がない!RSA4048
・諦めてたらTeslaCryptの作者がマスターキーを公開???
・あっけなく復号完了
・焼肉を奢ってもらえるらしい
原因と考察
・セキュリティソフトってノートンがプリインストールされてるけどこれ期限切れたらなにも守ってないことになるよね、デフォルトでMicrosoftのやつがあるのにね
『CSIRTって知ってますか』橘さん
・セキュリティインシデントの受付、調査、対応を行う組織。組織の中にあるCSIRTを組織内CSIRTという。
・インシデント検知、対応、教育、外部との連携などが業務
・CSIRTが必要なわけ
- 小さなインシデントに対応することで大きなインシデントを防ぐ。
- あらかじめ対応を準備することでインシデント発生時に冷静に対応出来る。
・インシデントレスポンスとはインシデントマネージメントの一部。CSIRTはインシデントが起こらないと動かないわけではない。
・日本シーサート競技会の加盟数が上がっている。
・CSIRTの実装形態がある。
- 独立部署
- 部署横断
- 個人
・最近は「見える化」もやってる
・組織内CSIRTは必要
・日本シーサート協会は拡大してきている。
・キャラがシーサーだった。
『タイピングチューブ』竹森さん
・動画の歌の歌詞に合わせてタイピング練習できるサービス
・早いぞ
・仮想キーボードもあるぞ
・やってみてくれよな
おわり
ところで僕のゴルバット倒したの誰ですかね
第14回セキュリティさくら参加レポート
あえだよ。17日中に書くと言ったな。あれは嘘だ。
今日は1月16日に開かれたセキュリティさくらのレポートをするよ。
ちなみに本記事では内容について重点的に書くよ。
// セキュリティさくら!
今回のテーマはマネジメントのシステムと運用について。講師にはセキュアシステムスタイル代表取締役である松尾秀樹氏をお迎えし、主催のgreenzさんと交互に仕組みと運用についての講演をしていただきました。構成は以下。
それぞれのテーマについてgreenzさんには仕組みについて、松尾氏には運用について解説していただきました。
- 今だから考えるマネジメントシステムな話 過去編
- 今だから考えるマネジメント… 現在編
- 今だ… 未来編
今回の講演では過去のマネジメントシステムを振り返り、現状を知り、そしてどのような未来が待っているかといったように順序をつけて説明をしていただきました。いつものさくらと比べてもかなりのボリュームでついていくのに精一杯でしたが素人の私でも分かるような話の展開だったので非常に有意義な時間になりました。
参加出来なかったり内容が気になっている方のために少しだけ聞いたことをまとめておきます。嘘書いてたら言ってくれよな。
greenz氏(過去編)
- マネジメントとかマネジメントシステムとかごちゃごちゃになってるけど今回取り扱うのはあくまで情報マネジメントシステムであり、これらの言い回しによって意味が異なってしまい、意志の齟齬が発生したりしている現状がある。
- 仕事をやっていく上でどうしても個人で管理しきれない部分は必ず存在し、複数人での業務を考えないといけないがその上で共通の認識、規則が必要となる。そのための共通の指標としてISOやJISの定めた規格がある。
- この規格に則って認証を行う制度がある。Pマークとか。これは資格のようなもので、金儲けの道具になっていたりする。
- 規格に従うことも大切であるが形だけで意味を成して無い部分があったりする。例としては繰り返すことが目的となっているPDCAサイクルとか。
- リスクアセスメントではあくまでリスクを管理することが目的であり、ゼロにすることが目的ではない。
- このリスクアセスメントの手法としてベースラインアプローチ、詳細リスク分析、非形式的アプローチなどがあるが主観が入ってしまっている部分については疑問が残るよね
- 限られたリソースを最適化することが大切である。
- 情報セキュリティマネジメントは正義ではない。効率的にやることが大切。
松尾氏(過去編)
- 情報マネジメントシステムはあまり効果がないと批判されていたりする。理由として、企業側は認証を楽に取ろうとして悪徳コンサルを雇ったりするし制度及び審査員側は技術の進歩に対してあまり柔軟な対応を示していないところがある。
- マネジメントを行う上で重要なのはまず自分の会社の本業を知ること。技術担当ばかりしていると見えてなかった部分があったりする。
- また、言葉が通じない人に対して通じるビジネス用語に言い換えて話したりなど相手に対する配慮が必要。協力を得るためには円満な関係が大事。
- セキュリティ業務を組み立てる順序は、
1.情報資産、責任者の確認
2.脅威や弱点の確認
3.影響度の確認
4.障害発生の確率
5.対応策の選択
6.実施
greenz氏(現在編)
- マネジメントシステム自体はそこそこ浸透しており、認証の取得企業数も落ち着いてきている。
- マネジメントシステムに対する批判がある。(前述)
- マネジメントシステムは開発で言うところのフレームワークでありそれ自体にバグが残っているような現状である。
- マネジメントシステムという手段のみに目が行き、真の目的を忘れているのではないか
- それに伴うルールの硬直化、非合理的な運用、手段の目的化などの形骸化が起こっている。なんのためにあるのか分からないルールとかがそれ。
松尾氏(現在編)
- セキュリティに対する組織のモデル
1.大企業型:金もあるし意識も高い。担当の方が権力があったりする。
2.中小企業型:金はない。必要最小限の規定や対策はてきぱきやる。
3.意識のない大企業型:やる気が無い。漏洩したらごめんなさい。
4.意識も金もない企業型:意識が無い。
- Pマークが値崩れしてきている?
greenz氏(未来編)
- 未だに現場の問題は山積みであり、規格にも様々な問題が内在している。本来であれば、企業や組織単位でのセキュリティに限定しない管理が必要で、効率よく必要なことを押さえるアプローチが必要とされている。
- そこでマネジメントシステムの概念を使ってマネジメントシステムを見直してみようじゃないか(過程略)
- 業務手順と対策が一体となった最適化が必要だ。
- セキュリティのためのセキュリティは意味をなさない。
松尾氏(未来編)
- 私見だそうです。
- 国際規格が日本に定着するのだろうか。
- 日本の商習慣は輸入パッケージや規格に対してカスタマイズを要求し、やはり元あった形に直してしまうと思われる。
- セキュリティ施策は会社を愛している人が考え尽くすべきだ。
- 認証は必ずしも必要ではなく、効率の良いリスク削減は可能である。
- しかるべき後に、アピールのため、または社内施策を推し進めるための根拠としてメネジメントシステムや認証を利用することは非常に有効。
- つまり目的が異なる
現場の施策・・・現場が作るべき
施策の推進・・・マネジメントシステムを根拠に利用
経営・営業・・・体外的なアピール
//ここからLT編
くまっしー氏『HAPPY ENGINEERING』
- 世の中は思っている以上にしっかりしているようでしてない
- 自分の周りを自分でよくできるエンジニアは幸せ?
- 楽しいし、嬉しいし、炎上したりする
- いろんな人がいるから仕方ないのだろうか
- いいチームを作ろう。人から変えよう。
- ウォーターフォール形式からスクラム形式にしたり、
- 味方をじわじわと増やしたり、
- 他者の介入について学習したり。
- 行動するための動機付けには内発的、外発的なもの以外に親和的関係のためのものがある。これが大事。
- これらを実践して幸せになろう。
セキュリティボタン氏『身に染みた中小企業のセキュリティ ~冬~』
- タイトルうろ覚えです。申し訳ありません。
- 情報セキュリティ業務を始めました。
- 中小企業に売り込みに行く。
- 「立ち入り禁止です、帰すように言われてるんで。」
- 堅牢!
- その反面セキュリティ意識は低かったりする。
- 「IPアドレスってなんですか?」
- 営業頑張ってください。
じゅんくどう氏『Azure,AWSで出来るセキュリティ対策』
- Azure及びAWSにどのようなセキュリティ対策があるか紹介。
- 双方で対策が用意されているのはアカウント管理、ファイアウォール、専用線、VPN、ログ、評価ツール など…
- また、Azureでは文書管理ができる。統合監視ができる。
- AWSにはWAFと言うものがある。
- オンプレでやってたことは大体AzureやAWSで出来るよ。
現場からは以上です。