読者です 読者をやめる 読者になる 読者になる

サイバーセキュリティに愛と自由を取り戻せ!「サイバー考古学」を話してきたよ。〜解説編

前回のきっかけは!編からの続き。

解説というよりはほぼ副音声的な感じになりましたがご愛嬌ということで。

delphinz.hatenablog.com

本編のスライドはこちら。

解説編!

スライド11 f:id:delphinz:20170303025621p:plain どうしてもヒッピーの話を伝えたかった。

それはなぜか、私の人生の大事な局面において何度かヒッピーと出会いがあったからだ。

その人達は世の中に迎合することなく、自分のことを自分の頭とカラダで考え、自分で行動する強い意志を持っていた。

みな多芸でいろいろなことを知っていて、コミュニケーション能力に長け、探究心を忘れず、仕事を複数持ち、強い思想を持っていた。

その人達曰く、自分たちより過去に生きたヒッピー達は世界との協調を拒んだが故に「世界に押し出された」存在になり、世界を漂うことになったのだそうだ。

ジョブスのようにインドのゴアに流れたり、バイロンベイやイビサに行った人もいたのかもしれない。

スライド14 f:id:delphinz:20170303025717p:plain いつの頃からかずっと好きだったのが「wiredvision.jp(日本版のWired のWebサイト)」

wiredが醸し出すコンピュータやインターネットへの圧倒的な万能感の理由が知りたくて、たどり着いたのが「whole earth catalog」とその著者スチュアート・ブランドの「すべてはヒッピーのために」だった。

ヒッピーとハッカーの関係が点から線に繋がった時、とても衝撃だったのを覚えている。

日本語の本があまり見つからなかったのだけど、日比谷図書館でちょうど良いのを見つけたので興味のある方はこちらをどうぞ。

スライド15 f:id:delphinz:20170303025855p:plain 山形浩生さんをオチに使いましたが、メチャクチャすごい翻訳家で世界中でベストセラーになったトマ・ピケティの「20世紀の資本」も訳してたりする。

SFやハッカーへの造詣も深く、アメリカ文化をわかりやすく日本にいろいろな形で紹介をしているとも言える立役者なのです!

スライド18 f:id:delphinz:20170303025947p:plain もちろんWindowsは95からってわけじゃなくて3.1のありました。 ただし、中学生にそれ話してもわからんよなー、というわけでWin95を紹介しました。

ちなみにジョブスとゲイツのエピソードは「スティーブス」(うめ)を見ると雰囲気がわかると思います。

超オススメ!

スティーブズ 1 (ビッグコミックス)
うめ 松永 肇一
小学館 (2014-11-28)
売り上げランキング: 35,971

スライド22 f:id:delphinz:20170303030443p:plain

powers of tenを是非みて欲しい。

この映像を見た人たちがこれを実現しようとしてgoogle mapsが作られたと言われている。

ゲームクリエイター水口哲也さんは文字どおり、この映像により新しい視点が獲得されたことで地球を一つの星として感じられる意識が生まれた、と話していたのを聞いて感動しました。

ASCII.jp:21世紀的な文化のうねりはこれから──元セガの水口哲也氏が講演 (½)
大切なことは、新しい視点の獲得は、新しい意識を生み、新しいクリエイティブを生むということ。これからの時代のクリエイターは、新しい視点をどれだけ獲得していけるかにかかっている …
「大切なことは、新しい視点の獲得は、新しい意識を生み、新しいクリエイティブを生むということ。これからの時代のクリエイターは、新しい視点をどれだけ獲得していけるかにかかっている。(2008年の第弐回天下一カウボーイ大会での講演より)」

スライド24 f:id:delphinz:20170303031700p:plain

一時期、個人情報の定義を徹底的に調べたことがありました。

その時に「個人情報」ってコトバで思考停止に陥っているな、って思った。

本当に大事にすべきものが「ほっとかれる権利」であることに気づかないと個人情報のなにが大事なことなのかわからないままになってしまう。

ちょっと長いのだけど「隠すものがなければ、恐れることは何もない?」はぜひ読んでインターネットンいおける自由であるプライバシーをもう一度考えてみてほしい。

スライド25 f:id:delphinz:20170303032854p:plain

「この腐敗と自由と暴力のまっただ中」の時代に生きた人たちの「悲しみは絶望じゃなくて明日のマニフェスト」だったと思いながらこちらをBGMに読んでみて欲しい。

あんまり意味はないですが、1990年代の世紀末の雰囲気は伝わるはず。

スライド32 f:id:delphinz:20170303034413p:plain

クロアチアは紛争地域のど真ん中に位置しており、ザグレブからドゥブロヴニクまで車で走ってみると国中に戦争の爪痕が残っていました。

戦場を兵士として駆け巡ったブランコ・シカティックミルコ・クロコップが、平和を取り戻した後に日本のK-1で活躍したって本当にすごいことだと思う。

ちょうど旅行をした当時はシリアからの難民問題に揺れている時期だったので街ゆく人に聞いてみたところ、「自分たちも国が大変だった時期があり、逃げなければならない人たちの辛さは知っている。テロが起きたら観光業が吹き飛ぶような国だけど、困っている人は受け入れるべきだ。」と言っていました。

私のクロアチア旅行記も参考にどうぞ。 delphinz.hatenablog.com

スライド36 f:id:delphinz:20170303035526p:plain

rebuild.fmでNさんが「facebookはハーモニー」と称した回があった。

rebuild.fm

facebookの中は現実世界では当たり前のむき出しの激しい感情がなりを潜めて、すべてが協調や空気を読む感覚で満たされた世界ということなのだろう。

私はFacebookは「信頼という通貨をいかに積み上げることができるかを競うゲーム」だと思っているのでルールの中で楽しくしていればいいと思うのだけど、そうは思わない人も多いのかもしれない。

煽るような書き方をしていますが、別に赤いピルが悪い、青いピルを飲め、という極端な話ではなく、何事もバランスを欠いては継続できないと思う。

なにごとも自分のアタマで考えて行動していけばいいと思います。

あと早くジョジョ5部のアニメが始まって欲しいです。(切実)

最後に

Freedom as a serviceについてはプレゼン時点では実はあまりまとまっていなかったのですごくぼんやりとしてはなしてしまいました。

もっと思うところがあるので、まとめておきたいと思います。

本当にささみのような発表の機会があるのはありがたいですね~。

今度の発表に向けてまたいろいろアイデアをあたためておかねば!

サイバーセキュリティに大局観を取り戻せ!ささみで「サイバー考古学」を話してきたよ。〜きっかけは!編

前回から1年以上も空いてしまいましたね。

イカンイカン、今年もちゃんとなんか書いていかねば。

ささみ勉強で話してきたよ

先日ささみ勉強会に呼ばれてきました。 #ssmjp

テーマは「サイバー考古学 ~ザックリ学ぶインターネット、自由と闘争の歴史~」

(※ささみではツィートできないオフレコトークの時は寿司ネタを呟くという伝統に習って壁紙は寿司にしてみました。)

「アウトプットしないのは知的な便秘」をキーワードに発表の敷居を低く、毎月の聴講枠があっという間に埋まる素敵な勉強会です。

#ssmjpとは – ssmjp Infomation

しかも先日、「connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017」で出席率の高い、"毛利名人タイプ"に選ばれたすごい勉強会なのです。

発表に至るまでのあれこれ

そもそも普段はシステムコンサルをしており、セキュリティ専業でない私がなぜ大人気のささみセキュリティ回で発表することになったのか、ということを話しておきたい!

きっかけは、昨年SGR2016というイベントに行った時のことでした。

SGR2016 – Security Groups Roundtable, 2016.9.23 | Web Application Security Forum - WASForum

内閣官房情報セキュリティセンターの初代情報セキュリティ補佐官として山口英さんを偲ぶ追悼イベントでした。

その中で「大局観を取り戻す」というキーワードがありました。

サイバーセキュリティの現状は各分野の人がタコツボ化しており、今こそ横断的な情報交換ができる場を作ることがこのイベントの趣旨でした。

これに参加してから自分でも何かできることは何かないだろうか、とぼんやり考えていました。

中学生に捧ぐ「インターネット、自由と闘争の歴史」

ちょうど今年の1月から近所の中学生にプログラミングを教えて欲しい、という要望があり、”サイバー寺子屋”と銘打って何度か開催しています。

その子は漫画「王様達のヴァイキング」を読んでプログラミングに興味が湧いたということでした。

中学生に何から教えるのが良いのかFacebookでいろんな人に相談したところサイバーでキュリティ界隈の人からは「ダークサイドに落ちない」ように教えてあげるべき、という意見が多かったのです。

ならばサブカルチャーハッカーへの尊敬と愛情を持って歴史を見てきた観測者として自分にできることは インターネットの"歴史"と"自由への強い意志"を、インストールしたいと考え、このスライドのラフ案を中学生に話をしました。

その話題を拾っていただいたのがささみメンバーの方で、あれよあれよという間に発表に漕ぎ着けました。

いろいろ調べて作っているうちに楽しくなってしまってあれもこれもと入れてしまったのですが、結局長すぎるが故に1/3の圧縮版になりましたw

次回は実際のスライドのごっそり落としてしまった部分の解説編を書いておきたいと思います。

つづく!

ぼくがクロアチアに旅に出た理由

2015年内には書いておきたかったこと。
10月の有給消化期間にクロアチアにいってきた。
みんな驚くのはなんであえてクロアチアなの?という聞かれた回数。

このあたりを少し話しておく。
f:id:delphinz:20151231200748j:image

バックパッカーの憧れの地。

昔からバックパッカーの話を聞くのが好きだった。
世界を彷徨った遊牧民は客人を丁重にもてなし、旅人から外の世界の話を聞いていた、という風習もある。

私も世界を旅行したヒトたちに絶対行くべき国は?と必ず尋ねることにしている。
そうするとヨーロッパでは必ずプラハ、そしてドゥブロヴニクがあがってくる。
 マイ・フェア・レディなどで有名な英国のかの劇作家バーナードショウが
ドブロブニクを見ずして天国を語ることなかれ」と言ったとか。

いつの間にか、自分の中でもいつか行くべき国ランキング上位になっていた。
f:id:delphinz:20151231200813j:image

世界で最も自由を尊ぶ都市、ドゥブロヴニク


クロアチアといえばK-1初代チャンピオン、石の拳ブランコ・シカティックやミルコクロコップを輩出した格闘王国
その土台にはセルビア紛争がある。
隣国ボスニアでは橋を隔てた隣町の友人が翌日から敵同士になるような戦争がたった20年前に行われていた。
そしてクロアチアでは古代からの自由都市ラクサの歴史を持つドゥブロヴニクは降伏を拒否したことにより攻撃の対象になった。
古代要塞の城壁に立て籠もり、現代の戦艦からの砲撃に耐えるなんて考えられるモノではない。
その自由都市の城壁にはこう刻まれている
「どんなに黄金を積まれても自由を売り渡してはならない」
f:id:delphinz:20151231202444j:image

本当にこの文字を見るためにドゥブロヴニクにきました。
ヨーロッパの中でも自由を決して手放さなかったヒトたちの歴史がここにあった。

クロアチアってどんなところ?


クロアチアはヒトも優しく旅人に優しい国でした。
そして若い人たちが元気!
一晩中若い人たちが街を歩き、遊んでいた。
f:id:delphinz:20151231201722j:image
f:id:delphinz:20151231201737j:image
クロアチアは難民問題でトルコからハンガリーへの通り道でもあり、また戦争の歴史を知る国民であり、自由の対価を身にしみている。

だからこそヨーロッパの歴史を理解しつつ、若い活気に満ちている。

レンタカーでザグレブからドゥブロヴニクまで縦断したけど、東洋人のほとんどが日本人バスツアーだった。
ありきたりのヨーロッパの都市に行くよりクロアチアは一度は行くべき場所としてオススメいたします!
f:id:delphinz:20151231200837j:image

MINI Hardening#1.2をお手伝いをしてきたよ

夏の祭りはクライマックス!

先日のWAS NIGHTの興奮冷めやらぬままMINI Hardening#1.2の開催(ほぼお手伝い)をしてきました。

なにを隠そうワタクシ MINI hardening第1回目の優勝を勝ち取っているのです!

仲間で戦う高揚感がたまらない!みんなで行こうhardening!(本家とminiと) - delphinz's diary

6月のhardening 10 MarketPlaceでMP4になった経緯もあり運営チームにジョインすることになりました。

MINI hardening に関する紹介は第1回開催の川口さんのコラムがわかりやすいのでこちらを御覧ください。

今回は中の人としてネタバレしない程度にお話したいと思います。

運営メンバーがアツい!

もともとは沖縄のhardening10 evolutionのアンカンファレンスから始まったこのイベント。

運営メンバーである「始まりの4人」はかなりの実力者ぞろい。

そして毎週のオンラインミーティングでもアツい意見を戦わせて次はどうやったら盛り上がるのかを常に模索しています!

なんだか久々に部活感がでてきて興奮しました。

いざその日を迎え、出陣

忘れもしない3月のあの日。

二日酔いの頭をかかえならがら向かった鋼鉄の魔城、IIJ飯田橋本社。

前回の教訓を踏まえ、今度は前泊して最高のコンディションで臨みました。

3回目ともなるとみなさんも手慣れた準備の様子。

参加者のみなさんが集まるころには会場設営も演習環境の準備もバッチリ。

今までは人手が足りなかった、というお話を聞いていたのでカメラマン役を買って出て イベントの様子を写してきました。

いざ演習開始!

開催は3回目ということで参加者の皆さんもかなり研究してきた方もチラホラ。

運営チーム側でも「今回はかなり対応してくる時間が早い!」と驚きの声があがっていました。

セキュリティの基本は穴のないように当たり前と思えることを対応する、なので本家やMINIの様子で対策をねってきたと思われます。

終盤のほうになると、こんな煽りツィートまで出る始末。

そして、この一言が運営チームに火を付いた!

クライマックスへ向けて倍増した運営チームによる怒涛の攻撃が始まりました。

SLAを計測するためのサーバ監視状況もあっという間に真っ赤に!

(死活監視できてない状態)

残り30分を切り、徐々に報告書提出に時間がシフトしつつ、無事に競技が終了しました。

MINI名物 おやつ & LT タイム

今回も Food & drinkスポンサーである はWASForumとOWASP JAPAN様からコーヒーとクッキーをいただきました。

疲れた頭に染み入るスィーツは本当に助かります。 ありがとうございます!

競技終了後に運営チームの採点中も参加者のみなさんを楽しませる工夫としてトークセッションが設けられてます。

今回は「ZAPを使ったHardening対策術」をykameさん。

LTと頼んだのになぜか30分枠が与えられるという謎仕様。

ぜひ次回のhardeningに活かして欲しいとのこと。

資料はこちらから

そしてスポンサーであるOWASP Japan Promotion Teamから仲田さんが活動状況のお話も。

いつもながら惚れ惚れするような軽快な口調で素敵な紹介をしていただきました。

やってきました種明かしと表彰タイム

hardeningといえば忘れてはならないのは「タネ明かし」

競技中に行われた攻撃の内容を簡単に説明していきます。

中身はここでは明かせませんがこれが本当に面白い!

最終的に優勝に輝いたチームは、非常にバランスが取れたチームでした。

各人の特色に合わせて役割分担されていたようで採点内容をみても3時間でここほどちゃんと対応できるのか、というくらい文句なしの内容でした。

優勝賞品もあのASABUKUROからスポンサー様よりマグカップやバッグなど豪華になりました。

おめでとうございます。

憧れの優勝商品はこちら。

家に帰るまでがならぬ・・・

このイベントは8/29に行われたのですが、折しもちょうど本家hardening の8月末申込期限の直前だったのです。

参加された方の中にも本家への申込をしたよ!というツィートがあり、盛り上がりの手応えを感じました。

第二次のbird申込期限は9/25! ぜひこの機会に参加して仲間をいっぱい見つけましょう。

夏だ!花火だ!憧れのWAS NIGHT で発表してきた!

憧れのスーパーデラックスへいざ出陣!

先日、8/20 六本木super deluxe で開催された「WAS NIGHT」で初プレゼンを体験してきました。

WAS NIGHTはセキュリティ業界の若手・ベテランが入り乱れるバトルロイヤル大喜利大会のような感じでしょうか。

特に初心者セキュリティ研究者には登竜門的なカジュアルかつマジメな研究結果を発表する場所という感じ。(大いに私見?)

ラップバトルに初出場するグリーンボーイの気分でちょっと震えながらも楽しくいってきました。

誤解のなきよう当日の会場の内容と雰囲気は本家のOWASP JAPAN BLOGをごらんください。

WASNIGHT 2015 Summer at SuperDeluxe開催報告 | OWASP Japan Blog 〜I can blog a little〜

発表までの経緯

そもそもこの発表は6月のhardening 10 MarketPlaceで特務メンバー「MP4」に任命された流れからでした。 (MP4のことは前回の記事参照

そう、我々に課された夏休みの宿題だったのです! f:id:delphinz:20150906162947j:plain

WordPressチートシートはhardening参加チームから集まった「WordPressセキュリティ管理マニュアル」から再編集をする予定でしたが、提出したチームは1チーム、内容は「プラグインをアップデートしましょう」との内容でした(涙)

というわけで大会直後からMP4で夜な夜なslackミーティングを再開しました。

ウラ話アレコレ

まずチートシートのコンセプトから練り直しました。

  • 誰向け
    • 一般的なwordpressセキュリティを語るものは多いのでやはりここはhardening参加者向けをターゲットにする
  • どこまでを範囲にするか
    • (必須)プラグイン対応
    • (必須)wordpressで完結しないセキュリティ対応
    • (できれば) 可用性の問題、みんなが気になるチューニング
    • (できれば) デモ入れたいねー

とまあこんな感じでざっくり方針を決めました。

「デモ入れたいねー」という話を出したのはワタクシなのですが、いざやるとなるとハードル高い! まずは自分で作らねばということでオトナの夏休み(実家に帰省中)は宿題として脆弱性検証用の構築をしてました。

そしていろいろ調査してWAS NIGHTで発表した「vulnerable-wordpress-playbook」に繋がるのです。

github.com

このWordPress脆弱性検証環境はどこかでもう一回記事にしてまとめる予定。

発表の時が来た!・・・はずだったが。。。

プログラムでは前半5番目くらいの発表順位。

サクっと発表してゆっくり飲む予定でした。

だが、そのままでは終わらないのがWAS NIGHT。

当日にプログラムの入れ替えがあったらしく後半になったのでした(泣)

結局飲み過ぎで舞台にあがっちゃったよ。

当日の我々MP4の発表資料はこちら。

実はこのプレゼン推しでした

どの発表も技術・プレゼン手法ともにレベルが高く仕上がってて面白くて勉強になるものばかりでした。

そして自分の発表とは別に某Mっち氏に聞きたいことがあり打診をしてました。

オレ「今回のMarketPlaceで1番売上あげたんでしょう? 与沢翼の格好で『もっともMarketPlaceで秒速で稼いだオトコ』のハナシしてよ」

とお願いしたところ

Mっち「やりましょー。ただし主にウチのY田くんがやります!」

とその場で採択&強権発動による回避の後、大爆笑の渦に包まれるあの発表に繋がるのでした。

「最も売り上げたサービス提供者から見た各チームの戦略~環境構築担当者の想定と実際」

「わかるヤツにわかればええ」っというくらいの与沢翼ネタの盛りに感動〜

NICT のY田さん、本当に面白かった!ありがとー!

2PMじゃないよMP4だよ。

WAS NIGHTに来てくれた方のブログにこんなのがありました。

本プロジェクトについては複数発表があり、Dive into More Effective Securityの部では「MP4」と呼ばれる男性四人衆が登場。 アイドルグループと思いきや、6月に沖縄で開催されたHardening 10 MarketPlaceに申し込んだものの、運営側に回ることとなったというMP4。

冗談でも嬉しいこの流れ。

ハンズラボ青木さん、ありがとうー!

長く短い祭りはまだまだ続く

夏休みの課題は終わった。

しかしこれはまだ算数ドリルにすぎなかった。

次回は自由研究ともいうべきMINI Hardeningに参加してきた、というお話をしますのでお楽しみに。

俺達の夏はまだ終わらない!

hardening 10 Market Placeに特務コンサルタントMP4として参加してきたよ!

戦い、再び

Untitled

めんそーれ!
6月は20、21日に沖縄で開催されたhardening 10 Market Placeに参加してきました。

昨年11月の合言葉「hardeningはオトナの修学旅行!」という思いを胸に沖縄への思いを募らせておりました。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 | Web Application Security Forum - WASForum
Hardening 10 MarketPlace ...
Hardening 10 MarketPlace

そして届いたのは・・・「悲報」!? 、とMP4結成

GWの前の”suepr early bird”で申し込んだから大丈夫でしょう!
とタカくくっていたところに結果のメールは届きました。

内容を要約すると
「残念ながら今回は競技者としての参加はできません。
が!マーケットプレイスという新しい概念を始めるので
選任した4名は競技参加者をサポートする『専門家としてプロフェッショナルサービス』を展開してください。」
とのこと。

な、なんだってー。

与えられたその名はMP4(MarketPlace4)となりました。
mp4

そして虎の穴に緊急招集

ここは神保町の、とあるビルの一角。

hardening実行委員会の実行部隊「kuromame6」の集まる会合に出席せよ!との指令があり、特務コンサルタントチーム「MP4」の4名で潜入してきました。

この日から「MarketPlace」の概念をいかに参加者へ浸透させるべきか、参加者に頭を使わせる仕掛けを考えはじめました。
そしてMP4で毎晩のオンラインミーティングを開始。

これが本当に楽しかった!
こんなのできたらいいよね~、やっぱり時間がないかな、これでいっちゃいましょうー etcetc。

この部室みたいな感覚がたまらなく心地よい。
連日の深夜ミーティングなのにまったく疲れを感じることなく沖縄入りが迫ってきたのでした。

いざ競技開始!

※ 競技環境やインシデントについてはエッセンスのみ伝わるようにしています。
詳細を知りたい方はぜひ次回参加して体験してみてください。

今回はあの8時間耐久が帰ってくる!ということで参加者の気合がハンパない!
そして競技開始!
競技環境として提供されるネットワーク図を見て驚愕の声がそこらじゅうであがっておりました。

その数なんと20台以上!

WEB、アプリ、DBあたりはなんとなく想像がついてたけどロードバランサ、ファイアーウォール、windows端末まで!

業務システムしか扱ってない人間からするとクラクラしそうなほど規模ですね。
でも一般的にECサイトを稼働する会社では結構”あるある”な構成のようでした。


Untitled
競技会場は沖縄コンベンションセンター

大いなる方向転換

我々に与えられた任務は

マーケットプレイスをじゃんじゃん回して予算を使わせて、予算を使うことによる費用対効果を実感させること」

と考えていました。
ところが始めてみてすぐわかったことは
「絶望的に売れない!」ということ。

競技者のみなさんもどのタイミングでマーケットプレイス商品を購入すべきか、
そもそもチームで誰が予算を消費する権限があるのか、とか悩んでいるようでした。

机に座っていたってモノは売れない、
よろしいならば営業だ!

というのも私の海とサバイバルの師匠は昔、スーパー営業マンだったりして。
営業スキルの何たるかは普段から叩きこまれていたので、この場が初の実戦となりました。

「MP4は合同責任会社」という考えのもとMP4を売り込むべくローラー作戦を開始。

最初は胡散臭そうに見られていた私達もすべてのチームを繰り返し回っているうちに「ちょっと困っていることがあって」という言葉を引き出すことに成功。

kuromame6からの現状報告やガチャガチャの効果もあり午後から徐々にマーケットプレイスでの購入が活発化していったようでした。
後半戦にかけて各チームのサポート業務(押し売り含む)が増えていき、やっと与えられた任務は達成できたかな、といった感触でした。

ちなみにブレイクタイムは宜野湾でメチャクチャ美味しいHOME COFFEEさん。

そしてMP4のお守りは @togakushi センセイのssh本。
Untitled

HOME COFFEE 沖縄 〜自家焙煎珈琲豆宅配専門店〜


前回から大ファンになったのでお持ち帰り用も購入してみました。

なんと会場限定のhardeningのロゴいり!
Untitled



明日への希望、繋がる人の輪


翌日の日曜はsoftning dayということで実施内容の総括がありました。
各チームの発表、答え合わせは秘密。

門林先生の講評で、今回の「マーケットプレイス」の持つ本当の意味を話されていました。

会社が利益を貯めこむことは、現代では正しい経営判断ではなくリスクである。
大利益の追求のためにこそ、限られた予算から自社に無いリソースの
購入を検討し対処する方法も身につけて欲しい、と。

「セキュリティは経費ではなく資産である」、と2月に内閣サイバーセキュリティセンターのコラムにも書かせていただいたのですが、この瞬間に自分の頭の中で何かがカチっとハマったような感覚でした。
サイバーセキュリティ ひとこと言いたい![国民を守る情報セキュリティサイト]
ヒーローになろう! ...
ヒーローになろう!


そして、前回のhardeningでも話されていたひとりで「守る」からチームで「衛る」という進化について、この2日間一緒に戦ったここにいる人材すべてに価値がある、という話をされたところでグッときて涙してしまいました。
荒野を開拓する先導者として厳かに、そして力強く語る姿に熱狂、自分への悔しさ、そして明日への希望をインストールされてきました。


このイベント全体の雰囲気はtogetterがわかりやすそうですね。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 #h・m - Togetterまとめ



打ち上げ、そして新たな戦いへ

hardeningといえば沖縄、沖縄といえばビーチパーリー!

ここでもBBQリーダーを拝命いたしましたので、
みなさんの笑顔にこたえるべく大宴会とりしきりました。

実は技術系の宴会は買ってでも参加したほうが良い!
なぜならお酒を飲みながらする会話は楽しいので
いろいろと普段聞けないオフレコトークがいっぱいあるんです。

そういえば我らが酔っぱらいのプロ id:hyoshiok 先生も言ってたなあ。

ビアバッシュ(ビールなどを呑みながら勉強会を行う)。アルコールの力を借りて「質問をする」という羞恥心を低減する。わたしが最も好む方法でもあるが、呑み会での勉強会というのは意外と盛り上がるのである。

質問される力 - 未来のいつか/hyoshiokの日記
ビアバッシュ(ビールなどを呑みながら勉強会を行う)。アルコールの力を借りて「質問をする」という羞恥心を低減する。わたしが最も好む方法でもあるが、呑み会での勉強会というのは意外と盛り上がるのである。 ...

Untitled


MP4の戦いはまだ終わらない!

当日に突然「8月のWAS NIGHTで Hardening MarketPlaceの成果を発表せよ」、という重要ミッションが発令されました。
なんたるムチャぶり!

hardeningから派生したプロジェクト「MINI Hardening」へのMP4運営参加も決まったし、まだまだ立ち止まってはいられない!

そして11月に開催するであろう次回hardeningに想いを馳せるのでした。
また新たな仲間に会うその日のために。


※競技に参加された@watanabe_shin さんの写真を引用いたします。
ワンピースの名シーン!


Untitled

資本主義の理想郷!?シンガポールに行ってきた

旅行

3年ぶりのシンガポール

ゴールデンウィークの終盤からシンガポールに行ってきました。

3年ぶりの東南アジア
シンガポールは建国50周年。
そして建国の父である、リー・クアンユー初代首相が2015年3月23日に逝去されました。

ちょうど金融系の会社勤務の友人2人もいるし、出かけてみるかということでいってきました。

シンガポール、リー・クアンユー初代首相死去でアジアの「英雄の時代」が終わった[橘玲の日々刻々]|橘玲の日々刻々 | 橘玲×ZAi ONLINE海外投資の歩き方 | ザイオンライン

毎度おなじみエクストリーム海外旅行

なんだかんだで休暇が決まったのが4/30。
航空券とホテル予約は5/5、出発が5/8という具合でいつもの通りバタバタの忙しさ。

毎度おなじみのskyscannerとbooking.comでネット予約完了です。


自分では当たり前に思っていたネットを駆使した旅行術も
ゴールデンウィーク中に話した実家の父母にとってはすごく不思議に見えたとのこと。

羽田まで1時間、飛行機で7時間、半日後には海外にいるって感覚は想像がつかないらしい。
海外旅行は添乗員がいないと行けない、という層もまだまだ需要ありそうですね。

今回の旅の目的は!

友人を訪ねるのが一番大きな目的だったのだけど、実は裏テーマがあったのです。
それは

橘玲 小説タックスヘイブンの舞台を巡る旅!」

今でこそ当たり前になった海外投資を20年近く前から実践し、
1997年に刊行された「ゴミ投資家」シリーズの立役者。

前作「マネーロンダリング」でとりあげられた割引金融債
大量に香港の銀行に持ち込んで脱税がするスキームが流行った、とかどうとか。

3年ぶりのシンガポールはめまぐるしく変化を遂げていました。
AIC:海外投資を楽しむ会:橘玲:国際金融ミステリー『タックスヘイヴン』フォトツアー

ランドマークの様変わり、「マリーナ・ベイ・サンズ」と「ガーデン・バイ・ザ・ベイ」

SMAPのCMでおなじみの空に浮かぶ船のホテル。
世界的にカジノリゾートで有名なサンズグループが作り上げた最高傑作がマリーナ・ベイ・サンズ。
もちろんラスベガス、マカオでも有名な噴水ショーはちょっとレベルが違ってた。
ホテルからのレーザーショーに霧のカーテンへのプロジェクションマッピング

マリーナ湾を大きく使ってのショーは圧巻でした!

そしてもう一つの目玉がガーデン・バイ・ザ・ベイ。

緑の公園に突然現れる巨大なバオバブの樹木のオブジェ。
こちらも夜はライトアップがあって、なんとも神々しい。
まるでファイナルファンタジーの世界に迷い込んだみたいな不思議な感覚。

淡い色で浮かび上がるので上海のテレビ塔みたいな禍々しさがない!

マリーナ・ベイ・サンズを挟んで近い時間帯でショーが見れるのでぜひ両方を見ておきましょう。

シンガポールプライス雑感

なんだかんだと好景気に沸くシンガポールで感じるのは「物価が高い!」
日本の円安とダブルパンチで3年前より2倍弱の感覚。

ホーカーズといわれる下町のフードコートは安いけど、
普通のレストランではランチが1,500-2,000くらい。
缶ビールは350mlで400円前後。
(酒税が25%あがったのもあるみたいよ)

東南アジアと思って出かけてはダメですね(涙)

シンガポールのバブルを味わう

どうせ行くなら、ということで在住の友人のオススメスポット巡ってきました。

チョンバルエリア

下町だった場所が、海外からのアート作品が軒を連なる流行の先端スポットに変貌。
とはいえ街の中心はチョンバルマーケットは下町の台所で雰因気満点。
元フジアナの中野美奈子さんも御用達の鶏肉屋さんもありました。

素敵な本屋

行列のできるパン屋兼カフェ「チョンバルベーカリー」

下町の台所「チョンバルマーケット」のホーカーズ ※フードコード

毎度おなじみのフィッシュマーケットめぐり

セントレジスのハイティー体験

イギリス統治下時代の風習を色濃く残す土地柄だけあって
アフターヌーンティーも様々なものがあります。
特にイチオシがセントレジスのハイティーとのこと。

食べ物の種類も豊富なのはさることながら、内装もハイクオリティ。
午後はピアノの演奏を聞きながら美味しいお茶をいただくのは優雅そのもの。

ちなみにハイティーはアフターヌーンティーよりも食べ物が多くて、
実質の夕飯に近いものらしい。
なんちゃってではない、ワリとちゃんとした寿司がでてきたのは驚いた。


https://www.starwoodhotels.com/stregis/property/dining/attraction_detail.html?propertyID=1533&attractionId=1001144010&language=ja_JP

クラークキーからマリーナ湾へのボートタクシー

国際色豊かなバーやレストランの集まる繁華街はがクラークキー。
そこからシンガポールのマンハッタンともいえるマリーナ湾までを
ボートタクシーで移動。
シンガポールで有名な建築物はほとんどみることができます。
低い水面から望むマーライオンはちょっとマヌケ顔。


レベル33

スタンダードチャータード銀行のビルに入る33階にそびえるクラフトビアバー。
入り口がメチャクチャわかりにくい!

マリーナ湾で行われるサンズのショーを見下ろしながら飲むクラフトビールは格別。


Welcome to LeVeL33

クデタ

マリーナ・ベイ・サンズの最上階のバーラウンジはかなりスノッブなクラブっぽい雰囲気。
展望台もあるけどこちらならなんと無料で入れちゃいます!
いちおうお酒を注文しないとダメらしいけど人が多すぎてわからないでしょう。
ドレスコードがあるのでサンダル、短パンは入れませんのでご注意を。

同じフロアに有名なインフィニティプールがありますが、
こちらは宿泊客専用、残念。

ちなみにクデタで提供される最高峰のビールはなんとCOEDOビール!
日本の傑作ビールがアジアの最先端スポットで提供されていることに感動した!
Untitled


KU DÉ TA Singapore


締めのアレはもちろん「肉骨茶(バクテー)」

前回のシンガポールで超ハマったのが「肉骨茶(バクテー)」でした。
ポークリブをニンニクとスパイスで煮込んだスープがたまらなく美味しい!
シンガポーリアンは酒飲んだ〆にいただくらしい。


最後にシンガポールの魅力

というわけで備忘録的にシンガポールの旅を書いてみた。

物価も高いし、熱い。それでもシンガポールには行くべきだと思います。

なぜならアジア最大の金融センターであり、多民族、他宗教を許容しつつ、
奇跡の復興を遂げたこの国は他の東南アジアとは全く違う熱気があった。

リーマンショック前の絶好調のドバイに行った時に感じた「資本主義が究極に進化した姿」を
シンガポールでも感じることができました。


アジアで一番エキサイティングな熱気を感じつつ、絶対また来たい!と新たに決意をしたのでした。

2015年の最高傑作! 藤井太洋 著 「ビッグデータコネクト」は、ITに関わるすべての人に送る鎮魂歌だ。

書評 ハッカー

2015年だからこそ、絶対にオススメするこれだけの理由!(ネタバレ注意)

ネタバレしたくないのであらすじなどはAmazonとかでご確認ください。

この小説はゼロ年代以降に発生したIT事件、事故、犯罪のありとあらゆるエッセンスが散りばめられています。
ざっと思いつくだけでも
ACCS事件
・遠隔操作ウイルス事件
TSUTAYA武雄市図書館
・顔認証万引き防止システム
・ベネッセ個人情報流出事件
住民基本台帳マイナンバー導入


そしてハッカーであり、冤罪被害者である主人公「武岱 修」や元エンジニアからサイバー捜査官になった警官、万田や小山から語られる言葉が心をえぐります。

ソフトウェア開発において、開発エンジニアは「IT土方」と称されるます。
そんな環境で仕事をしたことのある人ならわかる、諦めとも捨てきれない願いともとれる心情を吐露する場面は
IT業界で働く人たちがおもわず泣けてしまいます。

これは長年ソフトウェア開発の現場で働いてきた作者のなんともやりきれない心情ともいえるのかもしれませんね。

「よく見とくといいよ」
 揺れた車をいなす綿貫へ武岱が投げた言葉は軋むタイヤの音にかすれてしまったが、近くで聞いていた耳ははっきりとその言葉を捉えていた。
 エンジニアの地獄だ。

「ああ。ITの請負やってるんだ。ただ組むだけのつまらん仕事は中国にぶん投げてる」
「再委託は禁止されていないのですか?」
「おれへの発注自体が偽装請負みたいなもんだからな。
一度なんか大クライアントから数えると十二次請けで仕事が降ってきた。その先が一つ二つ増えたって変わらないさ。」

ごめんなさい。ちょっと嫌なことを思い出してました。
開発系の業務って成果が見えにくいんで〝君はもういらない〟って言われるのがとにかく怖いんですよ。
それでつい働きすぎてしまう」

プロジェクトに、根本的に人か時間か、その両方が足りなかったんだ。
ただ、それを月岡は言い出せなかった。
言えば管理能力がないと見なされる。
それでもなんとか前に進めるために、外注に任せるべき仕事をプロジェクトに、根本的に人か時間か、その両方が足りなかったんだ。

「なんで、助けを求めなかった」
「多分──」
武岱は、問いが自分に向けられていることに気づいたのか、口をつぐんでこちらを向いた。
それから、ゆっくりと言葉を押し出した。
「要らない、と言われたくないから、だろうな」


うーん、ここまで極まった”エンジニアの地獄”というものが本当に存在するのか、
それは読者のみなさんのご想像におまかせします。

しかし、この小説がスゴイのは今までの映画・小説のフィクションに登場するハッカー像とは一線を画する『血の通った』人間であることです。
全知全能の存在のようなハッカーが映画みたいにバーゲンセールのように現れるわけなく、地道な技術の積み重ねて世界は作られています。

まとめ、それは絶対読め!ということ

この小説にはIT業界の過去、現在、未来のリアルが詰まっています。

技術、犯罪、法律、そして人間の心情が複雑に絡み合い、最後にはすべての伏線が回収されていきます。
ラストはご自身の目でご確認ください。

もう一度言います。
ぜったいに読め!

追伸:
勢いが余りすぎてNaverまとめを作成してみました。
togetterほどじゃないけどシンプルで使いやすいね。

2015年小説の最高傑作!藤井太洋著、「ビッグデータコネクト」はここがスゴイ! - NAVER まとめ

仲間で戦う高揚感がたまらない!みんなで行こうhardening!(本家とminiと)

3月はいろいろ書きたいネタがあったのだけど忙しすぎたので思い出しながら。


3/7(土)に都内でHardening miniのイベントがあるということで参加してきました。
場所は日本のインターネットの巨人、飯田橋にあるIIJさん。



f:id:delphinz:20150423131003j:plain
沖縄ではなく、都内開催ということで顔ぶれがだいぶ違うみたい。
学生も多く、「セキュリティ・キャンプ卒業生です」とか「CTFバリバリしてます」
とか尖った人が多い印象でした。

イベントの様子は我らが川口さんがレポートしてくださっていますので、そちらをご覧ください。
川口洋のセキュリティ・プライベート・アイズ(53):Hardening Projectから派生した「MINI Hardening Project」に行ってみた! (1/2) - @IT

で、結果どうだったの。


なんと優勝してしまいましたwww


というのも前半戦はどのチームも管理サーバにすらログインできない環境問題に悩まされたのですが、
うちのチームのひとりが安定したログイン状態を保つことができて、
どんどんと怪しいところをリストアップしてくれてました。
そのおかげで中間発表時点で堂々の1位通過!

後半はネットは安定してきたのですが、公開サーバにトンネルが通せないという不甲斐ない状態に。
やれることからやろうということでWEBサーバのwgetでの死活監視、ログ分析、報告資料の精査、を
分担してやりました。

最終的には、サービス継続、脆弱性の発見数、報告書の品質ともに1位だったとのことでホッと一息。
前半何もできなかった分は、後半は社会人スキルを駆使して、なんとかチームに貢献できました。


優勝商品は安定の麻袋・・・。
f:id:delphinz:20150423131123j:plain

気をつけたこと

大事なポイントはやはり「役割分担」に尽きます!
自分はどう考えてもアタッカー向きではないのは把握した上でもやれることはいくらでもある。
・マネジメントスキルで役割分担を決めるチームビルディング
・ビジネススキルで報告書様式の整備(報告される側にとっては見た目もかなり重要!)
・踏み台の向こう側とローカルでファイルを行き来(ログファイルとかRPMとか)

新鮮だったのは「CTFならこうやっちゃうのにな」「ビジネス視点でサービス運営って難しい」という意見。
仕事としてのバランスを保つのもHardeningの難しくて、面白いところですね。

待望のブレイクタイム!

本家からの差し入れいただきました!
紀の善のまっちゃといちごのあんみつ。


f:id:delphinz:20150423131045j:plain
疲れた頭には最高に美味しかった!
東京みやげでかなりのランキングなだけある。


復習せねば:

あまりのSSH力の不甲斐なさにHardeningの正式成果物?
@togakushi 先生の本を購入しました。
これでssh踏み台10段も怖くない?


しばらくはこれでSSHサーバを放浪してみたいと思います。

OpenSSH[実践]入門 Software Design plus
技術評論社 (2014-11-05)
売り上げランキング: 42,461


そして待望の2回目の関東開催

ちなみに今週は2回めのhardening mini1.1の応募が始まりますよー。

MINI Hardening Project #1.1 - connpass


前回もあっという間に枠が埋まってしまったので、
開始と同時にポチッとしましょう。
2015/04/25(土) 16:00 はボタン押す準備忘れずに。

始めての人向けなので前回参加者はダメですよ。


Road to 沖縄!

そうこうしている間に本家で6月の沖縄での開催が決定しました。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 | Web Application Security Forum - WASForum
Hardening 10 MarketPlace

今回は原点回帰の地獄の8時間耐久レース。
梅雨明け前の熱い夏の予感を感じつつ、普段では味わうことのできないスリルを味わいに行こうと思います。

情報セキュリティスペシャリストに合格した&モチベーションを保つための書籍

2014年秋期の情報処理試験情報セキュリティスペシャリストに合格しました!
普段の仕事とは分野違いなので勉強は大変でしたが、なんとか合格できました。

合格記、みたいなの書こうかと思ったけど他のブログでも資格合格系はいっぱいあるので読んだ本をピックアップしておきます。

ポケットスタディ 情報セキュリティスペシャリスト - 村山 直紀 (著)

本当にお世話になりました。
というか、最後の2週間は通勤時間でずっと読み込んでいました。3回くらい?
王道の過去問の繰り返しと合わせて行えば、めっちゃ効率的に得点力があがります!

新版暗号技術入門 秘密の国のアリス - 結城 浩 (著)


数学ガールでおなじみ、結城浩先生の名著です。
セキュリティをやるには避けて通れない、「暗号化」がストーリー仕立てでわかりやすく解説されています。
試験に関する知識というより、理解を深めて勉強を楽しくするためのモチベーションアップに最適な書籍でした。

暗号を理解するとともに数学も切っても切り離せない関係なので数学ガールシリーズも合わせて読むのがいいかも。
数式出てきたらチンプンカンプン(私もだけど)の人はマンガから読んでみましょう♪


体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 - 徳丸 浩

情報セキュリティに関わるならIPAの情報と徳丸本を押さえておけ!という言われるくらいスタンダード本。
今回も当たり前のようにWEBアプリケーションの問題が出題されてましたが、XSSなにそれみたいな人もこれを読めば、問題読むのにひっかからなくなるでしょう。

HTTPの教科書 – 上野 宣 (著)

また上野宣か」でおなじみの上野さんのHTTP再考の一冊。
私はこれで合格しました!というありがたい本。
XSS脆弱性はこうやって対処しよう、というケーススタディも含めて載っているので、この本の知識が頭の片隅にあれば、
テスト中の思い出せるかもしれない。


まとめ

あんまりジャンルとかまとめずに書いてしまった。

お勉強というと大変だけど、モチベーションを高くもって楽しんでやるのが一番大事ですね♪
さて、次は何を受けようか。