夏だ!花火だ!憧れのWAS NIGHT で発表してきた!

憧れのスーパーデラックスへいざ出陣!

先日、8/20 六本木super deluxe で開催された「WAS NIGHT」で初プレゼンを体験してきました。

WAS NIGHTはセキュリティ業界の若手・ベテランが入り乱れるバトルロイヤル大喜利大会のような感じでしょうか。

特に初心者セキュリティ研究者には登竜門的なカジュアルかつマジメな研究結果を発表する場所という感じ。(大いに私見?)

ラップバトルに初出場するグリーンボーイの気分でちょっと震えながらも楽しくいってきました。

誤解のなきよう当日の会場の内容と雰囲気は本家のOWASP JAPAN BLOGをごらんください。

WASNIGHT 2015 Summer at SuperDeluxe開催報告 | OWASP Japan Blog 〜I can blog a little〜

発表までの経緯

そもそもこの発表は6月のhardening 10 MarketPlaceで特務メンバー「MP4」に任命された流れからでした。 (MP4のことは前回の記事参照

そう、我々に課された夏休みの宿題だったのです! f:id:delphinz:20150906162947j:plain

WordPressチートシートはhardening参加チームから集まった「WordPressセキュリティ管理マニュアル」から再編集をする予定でしたが、提出したチームは1チーム、内容は「プラグインをアップデートしましょう」との内容でした(涙)

というわけで大会直後からMP4で夜な夜なslackミーティングを再開しました。

ウラ話アレコレ

まずチートシートのコンセプトから練り直しました。

  • 誰向け
    • 一般的なwordpressセキュリティを語るものは多いのでやはりここはhardening参加者向けをターゲットにする
  • どこまでを範囲にするか
    • (必須)プラグイン対応
    • (必須)wordpressで完結しないセキュリティ対応
    • (できれば) 可用性の問題、みんなが気になるチューニング
    • (できれば) デモ入れたいねー

とまあこんな感じでざっくり方針を決めました。

「デモ入れたいねー」という話を出したのはワタクシなのですが、いざやるとなるとハードル高い! まずは自分で作らねばということでオトナの夏休み(実家に帰省中)は宿題として脆弱性検証用の構築をしてました。

そしていろいろ調査してWAS NIGHTで発表した「vulnerable-wordpress-playbook」に繋がるのです。

github.com

このWordPress脆弱性検証環境はどこかでもう一回記事にしてまとめる予定。

発表の時が来た!・・・はずだったが。。。

プログラムでは前半5番目くらいの発表順位。

サクっと発表してゆっくり飲む予定でした。

だが、そのままでは終わらないのがWAS NIGHT。

当日にプログラムの入れ替えがあったらしく後半になったのでした(泣)

結局飲み過ぎで舞台にあがっちゃったよ。

当日の我々MP4の発表資料はこちら。

実はこのプレゼン推しでした

どの発表も技術・プレゼン手法ともにレベルが高く仕上がってて面白くて勉強になるものばかりでした。

そして自分の発表とは別に某Mっち氏に聞きたいことがあり打診をしてました。

オレ「今回のMarketPlaceで1番売上あげたんでしょう? 与沢翼の格好で『もっともMarketPlaceで秒速で稼いだオトコ』のハナシしてよ」

とお願いしたところ

Mっち「やりましょー。ただし主にウチのY田くんがやります!」

とその場で採択&強権発動による回避の後、大爆笑の渦に包まれるあの発表に繋がるのでした。

「最も売り上げたサービス提供者から見た各チームの戦略~環境構築担当者の想定と実際」

「わかるヤツにわかればええ」っというくらいの与沢翼ネタの盛りに感動〜

NICT のY田さん、本当に面白かった!ありがとー!

2PMじゃないよMP4だよ。

WAS NIGHTに来てくれた方のブログにこんなのがありました。

本プロジェクトについては複数発表があり、Dive into More Effective Securityの部では「MP4」と呼ばれる男性四人衆が登場。 アイドルグループと思いきや、6月に沖縄で開催されたHardening 10 MarketPlaceに申し込んだものの、運営側に回ることとなったというMP4。

冗談でも嬉しいこの流れ。

ハンズラボ青木さん、ありがとうー!

長く短い祭りはまだまだ続く

夏休みの課題は終わった。

しかしこれはまだ算数ドリルにすぎなかった。

次回は自由研究ともいうべきMINI Hardeningに参加してきた、というお話をしますのでお楽しみに。

俺達の夏はまだ終わらない!

hardening 10 Market Placeに特務コンサルタントMP4として参加してきたよ!

戦い、再び

Untitled

めんそーれ!
6月は20、21日に沖縄で開催されたhardening 10 Market Placeに参加してきました。

昨年11月の合言葉「hardeningはオトナの修学旅行!」という思いを胸に沖縄への思いを募らせておりました。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 | Web Application Security Forum - WASForum
Hardening 10 MarketPlace ...
Hardening 10 MarketPlace

そして届いたのは・・・「悲報」!? 、とMP4結成

GWの前の”suepr early bird”で申し込んだから大丈夫でしょう!
とタカくくっていたところに結果のメールは届きました。

内容を要約すると
「残念ながら今回は競技者としての参加はできません。
が!マーケットプレイスという新しい概念を始めるので
選任した4名は競技参加者をサポートする『専門家としてプロフェッショナルサービス』を展開してください。」
とのこと。

な、なんだってー。

与えられたその名はMP4(MarketPlace4)となりました。
mp4

そして虎の穴に緊急招集

ここは神保町の、とあるビルの一角。

hardening実行委員会の実行部隊「kuromame6」の集まる会合に出席せよ!との指令があり、特務コンサルタントチーム「MP4」の4名で潜入してきました。

この日から「MarketPlace」の概念をいかに参加者へ浸透させるべきか、参加者に頭を使わせる仕掛けを考えはじめました。
そしてMP4で毎晩のオンラインミーティングを開始。

これが本当に楽しかった!
こんなのできたらいいよね~、やっぱり時間がないかな、これでいっちゃいましょうー etcetc。

この部室みたいな感覚がたまらなく心地よい。
連日の深夜ミーティングなのにまったく疲れを感じることなく沖縄入りが迫ってきたのでした。

いざ競技開始!

※ 競技環境やインシデントについてはエッセンスのみ伝わるようにしています。
詳細を知りたい方はぜひ次回参加して体験してみてください。

今回はあの8時間耐久が帰ってくる!ということで参加者の気合がハンパない!
そして競技開始!
競技環境として提供されるネットワーク図を見て驚愕の声がそこらじゅうであがっておりました。

その数なんと20台以上!

WEB、アプリ、DBあたりはなんとなく想像がついてたけどロードバランサ、ファイアーウォール、windows端末まで!

業務システムしか扱ってない人間からするとクラクラしそうなほど規模ですね。
でも一般的にECサイトを稼働する会社では結構”あるある”な構成のようでした。


Untitled
競技会場は沖縄コンベンションセンター

大いなる方向転換

我々に与えられた任務は

マーケットプレイスをじゃんじゃん回して予算を使わせて、予算を使うことによる費用対効果を実感させること」

と考えていました。
ところが始めてみてすぐわかったことは
「絶望的に売れない!」ということ。

競技者のみなさんもどのタイミングでマーケットプレイス商品を購入すべきか、
そもそもチームで誰が予算を消費する権限があるのか、とか悩んでいるようでした。

机に座っていたってモノは売れない、
よろしいならば営業だ!

というのも私の海とサバイバルの師匠は昔、スーパー営業マンだったりして。
営業スキルの何たるかは普段から叩きこまれていたので、この場が初の実戦となりました。

「MP4は合同責任会社」という考えのもとMP4を売り込むべくローラー作戦を開始。

最初は胡散臭そうに見られていた私達もすべてのチームを繰り返し回っているうちに「ちょっと困っていることがあって」という言葉を引き出すことに成功。

kuromame6からの現状報告やガチャガチャの効果もあり午後から徐々にマーケットプレイスでの購入が活発化していったようでした。
後半戦にかけて各チームのサポート業務(押し売り含む)が増えていき、やっと与えられた任務は達成できたかな、といった感触でした。

ちなみにブレイクタイムは宜野湾でメチャクチャ美味しいHOME COFFEEさん。

そしてMP4のお守りは @togakushi センセイのssh本。
Untitled

HOME COFFEE 沖縄 〜自家焙煎珈琲豆宅配専門店〜


前回から大ファンになったのでお持ち帰り用も購入してみました。

なんと会場限定のhardeningのロゴいり!
Untitled



明日への希望、繋がる人の輪


翌日の日曜はsoftning dayということで実施内容の総括がありました。
各チームの発表、答え合わせは秘密。

門林先生の講評で、今回の「マーケットプレイス」の持つ本当の意味を話されていました。

会社が利益を貯めこむことは、現代では正しい経営判断ではなくリスクである。
大利益の追求のためにこそ、限られた予算から自社に無いリソースの
購入を検討し対処する方法も身につけて欲しい、と。

「セキュリティは経費ではなく資産である」、と2月に内閣サイバーセキュリティセンターのコラムにも書かせていただいたのですが、この瞬間に自分の頭の中で何かがカチっとハマったような感覚でした。
サイバーセキュリティ ひとこと言いたい![国民を守る情報セキュリティサイト]
ヒーローになろう! ...
ヒーローになろう!


そして、前回のhardeningでも話されていたひとりで「守る」からチームで「衛る」という進化について、この2日間一緒に戦ったここにいる人材すべてに価値がある、という話をされたところでグッときて涙してしまいました。
荒野を開拓する先導者として厳かに、そして力強く語る姿に熱狂、自分への悔しさ、そして明日への希望をインストールされてきました。


このイベント全体の雰囲気はtogetterがわかりやすそうですね。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 #h・m - Togetterまとめ



打ち上げ、そして新たな戦いへ

hardeningといえば沖縄、沖縄といえばビーチパーリー!

ここでもBBQリーダーを拝命いたしましたので、
みなさんの笑顔にこたえるべく大宴会とりしきりました。

実は技術系の宴会は買ってでも参加したほうが良い!
なぜならお酒を飲みながらする会話は楽しいので
いろいろと普段聞けないオフレコトークがいっぱいあるんです。

そういえば我らが酔っぱらいのプロ id:hyoshiok 先生も言ってたなあ。

ビアバッシュ(ビールなどを呑みながら勉強会を行う)。アルコールの力を借りて「質問をする」という羞恥心を低減する。わたしが最も好む方法でもあるが、呑み会での勉強会というのは意外と盛り上がるのである。

質問される力 - 未来のいつか/hyoshiokの日記
ビアバッシュ(ビールなどを呑みながら勉強会を行う)。アルコールの力を借りて「質問をする」という羞恥心を低減する。わたしが最も好む方法でもあるが、呑み会での勉強会というのは意外と盛り上がるのである。 ...

Untitled


MP4の戦いはまだ終わらない!

当日に突然「8月のWAS NIGHTで Hardening MarketPlaceの成果を発表せよ」、という重要ミッションが発令されました。
なんたるムチャぶり!

hardeningから派生したプロジェクト「MINI Hardening」へのMP4運営参加も決まったし、まだまだ立ち止まってはいられない!

そして11月に開催するであろう次回hardeningに想いを馳せるのでした。
また新たな仲間に会うその日のために。


※競技に参加された@watanabe_shin さんの写真を引用いたします。
ワンピースの名シーン!


Untitled

資本主義の理想郷!?シンガポールに行ってきた

3年ぶりのシンガポール

ゴールデンウィークの終盤からシンガポールに行ってきました。

3年ぶりの東南アジア
シンガポールは建国50周年。
そして建国の父である、リー・クアンユー初代首相が2015年3月23日に逝去されました。

ちょうど金融系の会社勤務の友人2人もいるし、出かけてみるかということでいってきました。

シンガポール、リー・クアンユー初代首相死去でアジアの「英雄の時代」が終わった[橘玲の日々刻々]|橘玲の日々刻々 | 橘玲×ZAi ONLINE海外投資の歩き方 | ザイオンライン

毎度おなじみエクストリーム海外旅行

なんだかんだで休暇が決まったのが4/30。
航空券とホテル予約は5/5、出発が5/8という具合でいつもの通りバタバタの忙しさ。

毎度おなじみのskyscannerとbooking.comでネット予約完了です。


自分では当たり前に思っていたネットを駆使した旅行術も
ゴールデンウィーク中に話した実家の父母にとってはすごく不思議に見えたとのこと。

羽田まで1時間、飛行機で7時間、半日後には海外にいるって感覚は想像がつかないらしい。
海外旅行は添乗員がいないと行けない、という層もまだまだ需要ありそうですね。

今回の旅の目的は!

友人を訪ねるのが一番大きな目的だったのだけど、実は裏テーマがあったのです。
それは

橘玲 小説タックスヘイブンの舞台を巡る旅!」

今でこそ当たり前になった海外投資を20年近く前から実践し、
1997年に刊行された「ゴミ投資家」シリーズの立役者。

前作「マネーロンダリング」でとりあげられた割引金融債
大量に香港の銀行に持ち込んで脱税がするスキームが流行った、とかどうとか。

3年ぶりのシンガポールはめまぐるしく変化を遂げていました。
AIC:海外投資を楽しむ会:橘玲:国際金融ミステリー『タックスヘイヴン』フォトツアー

ランドマークの様変わり、「マリーナ・ベイ・サンズ」と「ガーデン・バイ・ザ・ベイ」

SMAPのCMでおなじみの空に浮かぶ船のホテル。
世界的にカジノリゾートで有名なサンズグループが作り上げた最高傑作がマリーナ・ベイ・サンズ。
もちろんラスベガス、マカオでも有名な噴水ショーはちょっとレベルが違ってた。
ホテルからのレーザーショーに霧のカーテンへのプロジェクションマッピング

マリーナ湾を大きく使ってのショーは圧巻でした!

そしてもう一つの目玉がガーデン・バイ・ザ・ベイ。

緑の公園に突然現れる巨大なバオバブの樹木のオブジェ。
こちらも夜はライトアップがあって、なんとも神々しい。
まるでファイナルファンタジーの世界に迷い込んだみたいな不思議な感覚。

淡い色で浮かび上がるので上海のテレビ塔みたいな禍々しさがない!

マリーナ・ベイ・サンズを挟んで近い時間帯でショーが見れるのでぜひ両方を見ておきましょう。

シンガポールプライス雑感

なんだかんだと好景気に沸くシンガポールで感じるのは「物価が高い!」
日本の円安とダブルパンチで3年前より2倍弱の感覚。

ホーカーズといわれる下町のフードコートは安いけど、
普通のレストランではランチが1,500-2,000くらい。
缶ビールは350mlで400円前後。
(酒税が25%あがったのもあるみたいよ)

東南アジアと思って出かけてはダメですね(涙)

シンガポールのバブルを味わう

どうせ行くなら、ということで在住の友人のオススメスポット巡ってきました。

チョンバルエリア

下町だった場所が、海外からのアート作品が軒を連なる流行の先端スポットに変貌。
とはいえ街の中心はチョンバルマーケットは下町の台所で雰因気満点。
元フジアナの中野美奈子さんも御用達の鶏肉屋さんもありました。

素敵な本屋

行列のできるパン屋兼カフェ「チョンバルベーカリー」

下町の台所「チョンバルマーケット」のホーカーズ ※フードコード

毎度おなじみのフィッシュマーケットめぐり

セントレジスのハイティー体験

イギリス統治下時代の風習を色濃く残す土地柄だけあって
アフターヌーンティーも様々なものがあります。
特にイチオシがセントレジスのハイティーとのこと。

食べ物の種類も豊富なのはさることながら、内装もハイクオリティ。
午後はピアノの演奏を聞きながら美味しいお茶をいただくのは優雅そのもの。

ちなみにハイティーはアフターヌーンティーよりも食べ物が多くて、
実質の夕飯に近いものらしい。
なんちゃってではない、ワリとちゃんとした寿司がでてきたのは驚いた。


https://www.starwoodhotels.com/stregis/property/dining/attraction_detail.html?propertyID=1533&attractionId=1001144010&language=ja_JP

クラークキーからマリーナ湾へのボートタクシー

国際色豊かなバーやレストランの集まる繁華街はがクラークキー。
そこからシンガポールのマンハッタンともいえるマリーナ湾までを
ボートタクシーで移動。
シンガポールで有名な建築物はほとんどみることができます。
低い水面から望むマーライオンはちょっとマヌケ顔。


レベル33

スタンダードチャータード銀行のビルに入る33階にそびえるクラフトビアバー。
入り口がメチャクチャわかりにくい!

マリーナ湾で行われるサンズのショーを見下ろしながら飲むクラフトビールは格別。


Welcome to LeVeL33

クデタ

マリーナ・ベイ・サンズの最上階のバーラウンジはかなりスノッブなクラブっぽい雰囲気。
展望台もあるけどこちらならなんと無料で入れちゃいます!
いちおうお酒を注文しないとダメらしいけど人が多すぎてわからないでしょう。
ドレスコードがあるのでサンダル、短パンは入れませんのでご注意を。

同じフロアに有名なインフィニティプールがありますが、
こちらは宿泊客専用、残念。

ちなみにクデタで提供される最高峰のビールはなんとCOEDOビール!
日本の傑作ビールがアジアの最先端スポットで提供されていることに感動した!
Untitled


KU DÉ TA Singapore


締めのアレはもちろん「肉骨茶(バクテー)」

前回のシンガポールで超ハマったのが「肉骨茶(バクテー)」でした。
ポークリブをニンニクとスパイスで煮込んだスープがたまらなく美味しい!
シンガポーリアンは酒飲んだ〆にいただくらしい。


最後にシンガポールの魅力

というわけで備忘録的にシンガポールの旅を書いてみた。

物価も高いし、熱い。それでもシンガポールには行くべきだと思います。

なぜならアジア最大の金融センターであり、多民族、他宗教を許容しつつ、
奇跡の復興を遂げたこの国は他の東南アジアとは全く違う熱気があった。

リーマンショック前の絶好調のドバイに行った時に感じた「資本主義が究極に進化した姿」を
シンガポールでも感じることができました。


アジアで一番エキサイティングな熱気を感じつつ、絶対また来たい!と新たに決意をしたのでした。

2015年の最高傑作! 藤井太洋 著 「ビッグデータコネクト」は、ITに関わるすべての人に送る鎮魂歌だ。

2015年だからこそ、絶対にオススメするこれだけの理由!(ネタバレ注意)

ネタバレしたくないのであらすじなどはAmazonとかでご確認ください。

この小説はゼロ年代以降に発生したIT事件、事故、犯罪のありとあらゆるエッセンスが散りばめられています。
ざっと思いつくだけでも
ACCS事件
・遠隔操作ウイルス事件
TSUTAYA武雄市図書館
・顔認証万引き防止システム
・ベネッセ個人情報流出事件
住民基本台帳マイナンバー導入


そしてハッカーであり、冤罪被害者である主人公「武岱 修」や元エンジニアからサイバー捜査官になった警官、万田や小山から語られる言葉が心をえぐります。

ソフトウェア開発において、開発エンジニアは「IT土方」と称されるます。
そんな環境で仕事をしたことのある人ならわかる、諦めとも捨てきれない願いともとれる心情を吐露する場面は
IT業界で働く人たちがおもわず泣けてしまいます。

これは長年ソフトウェア開発の現場で働いてきた作者のなんともやりきれない心情ともいえるのかもしれませんね。

「よく見とくといいよ」
 揺れた車をいなす綿貫へ武岱が投げた言葉は軋むタイヤの音にかすれてしまったが、近くで聞いていた耳ははっきりとその言葉を捉えていた。
 エンジニアの地獄だ。

「ああ。ITの請負やってるんだ。ただ組むだけのつまらん仕事は中国にぶん投げてる」
「再委託は禁止されていないのですか?」
「おれへの発注自体が偽装請負みたいなもんだからな。
一度なんか大クライアントから数えると十二次請けで仕事が降ってきた。その先が一つ二つ増えたって変わらないさ。」

ごめんなさい。ちょっと嫌なことを思い出してました。
開発系の業務って成果が見えにくいんで〝君はもういらない〟って言われるのがとにかく怖いんですよ。
それでつい働きすぎてしまう」

プロジェクトに、根本的に人か時間か、その両方が足りなかったんだ。
ただ、それを月岡は言い出せなかった。
言えば管理能力がないと見なされる。
それでもなんとか前に進めるために、外注に任せるべき仕事をプロジェクトに、根本的に人か時間か、その両方が足りなかったんだ。

「なんで、助けを求めなかった」
「多分──」
武岱は、問いが自分に向けられていることに気づいたのか、口をつぐんでこちらを向いた。
それから、ゆっくりと言葉を押し出した。
「要らない、と言われたくないから、だろうな」


うーん、ここまで極まった”エンジニアの地獄”というものが本当に存在するのか、
それは読者のみなさんのご想像におまかせします。

しかし、この小説がスゴイのは今までの映画・小説のフィクションに登場するハッカー像とは一線を画する『血の通った』人間であることです。
全知全能の存在のようなハッカーが映画みたいにバーゲンセールのように現れるわけなく、地道な技術の積み重ねて世界は作られています。

まとめ、それは絶対読め!ということ

この小説にはIT業界の過去、現在、未来のリアルが詰まっています。

技術、犯罪、法律、そして人間の心情が複雑に絡み合い、最後にはすべての伏線が回収されていきます。
ラストはご自身の目でご確認ください。

もう一度言います。
ぜったいに読め!

追伸:
勢いが余りすぎてNaverまとめを作成してみました。
togetterほどじゃないけどシンプルで使いやすいね。

2015年小説の最高傑作!藤井太洋著、「ビッグデータコネクト」はここがスゴイ! - NAVER まとめ

仲間で戦う高揚感がたまらない!みんなで行こうhardening!(本家とminiと)

3月はいろいろ書きたいネタがあったのだけど忙しすぎたので思い出しながら。


3/7(土)に都内でHardening miniのイベントがあるということで参加してきました。
場所は日本のインターネットの巨人、飯田橋にあるIIJさん。



f:id:delphinz:20150423131003j:plain
沖縄ではなく、都内開催ということで顔ぶれがだいぶ違うみたい。
学生も多く、「セキュリティ・キャンプ卒業生です」とか「CTFバリバリしてます」
とか尖った人が多い印象でした。

イベントの様子は我らが川口さんがレポートしてくださっていますので、そちらをご覧ください。
川口洋のセキュリティ・プライベート・アイズ(53):Hardening Projectから派生した「MINI Hardening Project」に行ってみた! (1/2) - @IT

で、結果どうだったの。


なんと優勝してしまいましたwww


というのも前半戦はどのチームも管理サーバにすらログインできない環境問題に悩まされたのですが、
うちのチームのひとりが安定したログイン状態を保つことができて、
どんどんと怪しいところをリストアップしてくれてました。
そのおかげで中間発表時点で堂々の1位通過!

後半はネットは安定してきたのですが、公開サーバにトンネルが通せないという不甲斐ない状態に。
やれることからやろうということでWEBサーバのwgetでの死活監視、ログ分析、報告資料の精査、を
分担してやりました。

最終的には、サービス継続、脆弱性の発見数、報告書の品質ともに1位だったとのことでホッと一息。
前半何もできなかった分は、後半は社会人スキルを駆使して、なんとかチームに貢献できました。


優勝商品は安定の麻袋・・・。
f:id:delphinz:20150423131123j:plain

気をつけたこと

大事なポイントはやはり「役割分担」に尽きます!
自分はどう考えてもアタッカー向きではないのは把握した上でもやれることはいくらでもある。
・マネジメントスキルで役割分担を決めるチームビルディング
・ビジネススキルで報告書様式の整備(報告される側にとっては見た目もかなり重要!)
・踏み台の向こう側とローカルでファイルを行き来(ログファイルとかRPMとか)

新鮮だったのは「CTFならこうやっちゃうのにな」「ビジネス視点でサービス運営って難しい」という意見。
仕事としてのバランスを保つのもHardeningの難しくて、面白いところですね。

待望のブレイクタイム!

本家からの差し入れいただきました!
紀の善のまっちゃといちごのあんみつ。


f:id:delphinz:20150423131045j:plain
疲れた頭には最高に美味しかった!
東京みやげでかなりのランキングなだけある。


復習せねば:

あまりのSSH力の不甲斐なさにHardeningの正式成果物?
@togakushi 先生の本を購入しました。
これでssh踏み台10段も怖くない?


しばらくはこれでSSHサーバを放浪してみたいと思います。

OpenSSH[実践]入門 Software Design plus
技術評論社 (2014-11-05)
売り上げランキング: 42,461


そして待望の2回目の関東開催

ちなみに今週は2回めのhardening mini1.1の応募が始まりますよー。

MINI Hardening Project #1.1 - connpass


前回もあっという間に枠が埋まってしまったので、
開始と同時にポチッとしましょう。
2015/04/25(土) 16:00 はボタン押す準備忘れずに。

始めての人向けなので前回参加者はダメですよ。


Road to 沖縄!

そうこうしている間に本家で6月の沖縄での開催が決定しました。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 | Web Application Security Forum - WASForum
Hardening 10 MarketPlace

今回は原点回帰の地獄の8時間耐久レース。
梅雨明け前の熱い夏の予感を感じつつ、普段では味わうことのできないスリルを味わいに行こうと思います。

情報セキュリティスペシャリストに合格した&モチベーションを保つための書籍

2014年秋期の情報処理試験情報セキュリティスペシャリストに合格しました!
普段の仕事とは分野違いなので勉強は大変でしたが、なんとか合格できました。

合格記、みたいなの書こうかと思ったけど他のブログでも資格合格系はいっぱいあるので読んだ本をピックアップしておきます。

ポケットスタディ 情報セキュリティスペシャリスト - 村山 直紀 (著)

本当にお世話になりました。
というか、最後の2週間は通勤時間でずっと読み込んでいました。3回くらい?
王道の過去問の繰り返しと合わせて行えば、めっちゃ効率的に得点力があがります!

新版暗号技術入門 秘密の国のアリス - 結城 浩 (著)


数学ガールでおなじみ、結城浩先生の名著です。
セキュリティをやるには避けて通れない、「暗号化」がストーリー仕立てでわかりやすく解説されています。
試験に関する知識というより、理解を深めて勉強を楽しくするためのモチベーションアップに最適な書籍でした。

暗号を理解するとともに数学も切っても切り離せない関係なので数学ガールシリーズも合わせて読むのがいいかも。
数式出てきたらチンプンカンプン(私もだけど)の人はマンガから読んでみましょう♪


体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 - 徳丸 浩

情報セキュリティに関わるならIPAの情報と徳丸本を押さえておけ!という言われるくらいスタンダード本。
今回も当たり前のようにWEBアプリケーションの問題が出題されてましたが、XSSなにそれみたいな人もこれを読めば、問題読むのにひっかからなくなるでしょう。

HTTPの教科書 – 上野 宣 (著)

また上野宣か」でおなじみの上野さんのHTTP再考の一冊。
私はこれで合格しました!というありがたい本。
XSS脆弱性はこうやって対処しよう、というケーススタディも含めて載っているので、この本の知識が頭の片隅にあれば、
テスト中の思い出せるかもしれない。


まとめ

あんまりジャンルとかまとめずに書いてしまった。

お勉強というと大変だけど、モチベーションを高くもって楽しんでやるのが一番大事ですね♪
さて、次は何を受けようか。

セキュリティ競技会「hardening evolutions」で技術点トップ獲得してきた!

行ってきました、秋の沖縄!

前々から友人に誘われていたWASForum主催、内閣府の共催しているセキュリテイ競技会hardeninge evolutionsに参加してきましたー。(若干修正しました。)

Hardening 10 Evolutions, 2014.11.8-9 | Web Application Security Forum - WASForum

hardeningってなあに?

という方はこちらの引用から。

“Hardening 競技会といえば、丸腰のサーバを満足な道具もなく必死で守る過酷な8時間イベント”、という認識が定着してきたころかもしれません。「セキュリティ堅牢化の8耐」とも言われます。しかし、それは本来の意図とは異なります。Hardening Projectの目的は、より実践的な堅牢化の技術の価値を最大化すること、だからです。

http://wasforum.jp/2014/09/hardening-10-evolutions/


普段はSIをやってる身としてはセキュリティ分野でサーバ防衛のコンテストとか、もう全然の畑違い。
とはいえ飲み友達の某K氏の「学生も参加しているし、競技中はいくらでもやることあるから参加してみて!」
のひとことに押されて本当に参加してきちゃいました。

結果は・・・惜しくも優勝は逃しましたが、技術点最高得点の結果を獲得しました!

状況開始

4人1チームだったけど勝因は組んだチームのバランスが良かった。

自然とフォワード2名、ミッドフィルダー1名、ディフェンス1名体制が出来上がっていた。

とりあえずアイスブレイクの自己紹介と情報共有の方法だけパパっときめて、とりあえず環境設定から。
最初はウガーーーって唸るくらいつながらない!
portforwardの踏み台前提の環境はわかってないとなかなか厳しい!

とはいえ俺も予習してないワケじゃないぜ。
SSH力をつけよう

SSH力をつかおう


@togakushi さんのスライドは今まで何回見たのかわかんないくらいみたいのでslideshareを参考にやっと接続。
(あとでhardeningがキッカケで本を出すことになったというお話とか。紙の成果物までできてしまってスゴイ!)

途中から世界のYOUちゃんを味方に加えてスピードアップ。
「YOUさん、康介さんの手ぶらで帰るわけにはいかないっス。」
とかひとり思いながら作業続行。

アタッカーの二人がバンバン脆弱性を見つけてくれたので私は中盤で沖縄パッチマネージャーと化しておりました。

そして、後衛が社長向けの報告書を書きあげてくれたので、最終的にパシッとハマったのかも。

とりあえず今年流行りの脆弱性に狙いを絞ってコンソールを叩く。
手を動かして、修正していくのは楽しい!

しかし、strutsのライブラリだけ交換したらtomcatが動かなくなったのここだけの秘密です。
(ちゃんとキャッシュを消してデプロイしましょう!)

感想とか

hardeningの面白いところは、「守る技術」主眼に置かれているところ。
脆弱性発見だけでなく、サーバ防衛のための事業継続性の対策と、会社や顧客向けの対応も求められる。

CTFとはまた違った対応を求められるので、実務経験でタコツボ化した知識だけだと役にたたないのを痛感。
それでも自分でサーバ管理をしてみたり、情報セキュリティスペシャリストを受験したりしてきたことが
結果的に実ったのは本当に嬉しい!


後半戦は競技会とは違う形式の「アンカンファレンス」
これについてはいろいろ話したいこともあるので、またあらためてブログに書きたいと思いまーす。

その他、初日いろいろの図。

お弁当美味し!
しかし味わってるヒマなし、という別の意味で無慈悲な攻撃。


沖縄で有名な富士屋のぜんざい。
オーバーヒートしかけたアタマに染み入ります。

1番感動したのがHome Coffee!
香り高いのなんのって。
沖縄でNo1サードウェーブは本当に美味かった。ついてきたお菓子も

au未来研究所2014キックオフミートアップにいってきた

前回からだいぶ空いてしまいました。

au未来研究所が雑誌WIREDとコラボしたイベントに行ってきたよ。
正式には
au未来研究所2014 KICK OFF MEETUP supported by WIRED」
【イヴェント】未来の生活から「スマホの次」を考える。au未来研究所2014キックオフミートアップ(終了しました) « WIRED.jp

[まえがき]

今回のお目当てはなんといっても「水口哲也」さん
wikipedia:水口哲也


有名なのはセガラリーからRez、Child of Edenなどゲームクリエイター
私にとってはなんといっても元気ロケッツのプロデューサとしての活躍が1番好きなところ。

その昔、水口哲也さんの講演を聞いた時の衝撃が忘れらない。

ASCII.jp:21世紀的な文化のうねりはこれから──元セガの水口哲也氏が講演 (1/2)

今も忘れずにいる言葉がある

「大切なことは、新しい視点の獲得は、新しい意識を生み、新しいクリエイティブを生むということ。」

iPhone待ち受けでおなじみ、ホールアースカタログで1番有名な地球の写真。
この写真こそ、人類が新しい視点を獲得した証であり、地球が1つであることを人類に再認識させたシンボルだ、と。
http://www.wholeearth.com/index.php


あれから6年、水口さんの話はとても思慮に富んでおり、我々が未来を描くためのひとつの道標になるものでした。

メモから起こしているので、あえて文章にしないで形で残しておきます。

[水口哲也さんの講演]

テーマは「Future Creation Design Future Wants

人がどう感動するか、そして言語を超えたことに感動するのかに興味がある。
キーワードとしての共感覚(シナスタシア)」

そしてイノベーションは人間の欲求であるWantsが生み出してきた。

マーシャル・マクルーハンの言葉を引用して

「すべてのメディアは人間の感覚と身体機能の延長線上に存在する」


そして

すべての身体機能の拡張にはかならず「Wants」がある。

われわれの世の中は何でできているのだろう?

→ この世の中は人間のウォンツが外在化したものでできている(完全な自然を除く)
  → 我々はその欲求を身体や感覚の延長線上に外在化してきた
   → イノベーションの実現にいたるヒントとして潜在的なwantsが必ず存在する。
     その裏側に隠されたhidden wants を探すことが21世紀を生きるクリエイターの役割である。
     

Wantsとは 「人間の欲求・本能その先にある夢すべてを含む」とのこと。

具体的な例として以下のものを挙げていました。

・パーソナライズの欲求 →本、音楽、電話(知を携帯したい)

インタラクティブの欲求→4K(より精細な解像度にしたい)、ソーシャルゲーム(いまのこの5分を暇つぶししたい)

・ソーシャル×創造の欲求→遠隔地でコーラスに参加したい
 http://www.ted.com/talks/eric_whitacre_a_virtual_choir_2_000_voices_strong?language=ja

自己実現の欲求 → 3Dプリンタ(今すぐ作りたい)


★ポイント:
ニーズからイノベーションは起こらない!
 だからマーケティングではイノベーションは起こらない。
 ニーズからみるとウォンツは水滴のようなものであるが、ベクトルを揃えることで強いパワーを持つ。

マズローの欲求ピラミッドを例にしてどこが重要なのか。

それはneedsとwantsの境目であり、それこそがbefore internetと after internet そのものである。

After Internetによる変化が、今まで思いつかなかったようなWantsが顕在化してくるようになった。


Wantsによるイノベーションの具体例

・CDからipodへの移行の際にウォンツ視点で何が起こったか
 → ex)あなたの生まれてから死ぬまでの音楽がアーカイブできる、プレイリストが友達とシェアできる
   
   
・ガムが売れなくなった話(15年ほど前にあった、本当の話)
 →ライバルは同じお菓子ではない、携帯電話だった。
  →気分転換したかったというwants
  ★人間のwantsは質的ものに固執しない(つまり、なんでも良かった)
  
  
  

wantsの化学反応の連鎖が起こった例

・AKBの総選挙にみるwants →会いたい、応援したい、祭りに加わりたい。

初音ミクの裏側 →作りたい、歌って欲しい、聞いて欲しい。

facebookのイイね →承認欲求がふきだした素晴らしい設計である。

・kickstarter → 人々のwantsの循環を作り出した。

・UBER →ちょっといい車に乗りたい。決済が楽。時間がわかる。

・シャオミ → コラボレーションしたい。自分の思い描いたスマホが欲しい。

最後に

「人間のウォンツは常にその先を探している。
 これからのデザイナーの仕事とはwants設計をする。
 形あるものないものを合わせて設計する。」


「デザインとは、ウォンツを実現できるHowの道筋を設計すること。その循環や化学反応を起こすこと。」


そのためクリエイターがすべきことは?

 wantsを因数分解する方法
  →自分に問いかけること、何度も何度も
   →やがてhidden wantsを実現できる未来が見えるのではないか

と締めくくられました。

Wantsに秘められたイノベーションへのエネルギーは、結局は自分の中にあるということ。

まるで宗教家の説法を聞いているように静かに深く胸に突き刺さる、不思議な体験でした。
  

[パネルディスカッション]

au未来研究所の研究員である3名
・wantedly の仲暁子さん
・批評家、アイドル「PIP」プロデューサ 濱野智史さん
・暦本研究室出身、『PossessedHand』開発者の玉城絵美さん

・『WIRED』日本版編集長の若杉恵さん
スマホの次を考えてディスカッションしていました。

テーマは「未来生活:テクノロジーはぼくらの人生をこう変える」

水口さんのWantsを引き合いに各人の興味あるところを掘り下げて意見を交わしていました。

詳細はガジェット通信の記事が詳しいです。

“スマホの次”への模索始まる 『au未来研究所』が2014年度活動のキックオフミーティング開催 – ガジェット通信
スマホの次”への模索始まる 『au未来研究所』が2014年度活動のキックオフミーティング開催 ...
スマホの次”への模索始まる 『au未来研究所』が2014年度活動のキックオフミーティング開催


ひとつだけ印象的だったのが、
濱野智史さん:
「みんな握手会好きですよね?議員がハグしたりするのも同じことですよ。
 スマホの次を考えるなら身体的接触にみる盛り上がりをもっと体験すべき!」

というながれで、パネラーさんと握手する機会ができたこと。

やっぱり握手しながら少しでも直接話すって機会はネット記事を何度読むより体験としての情報量が圧倒的に多い。
水口さんと直接お会いして、かなり興奮して話しこんでしまいました。
ありがとうございました!

[懇親会]

さすがauさん。
クリエイター系の人が集まる立食パーティっぽい雰囲気でいろいろな人と話をさせてもらいました。


WIREDの編集さんと話したところ、結構な少数精鋭で運営されてるようでした。、
普通の雑誌とは作り方が結構違うみたい。

WIREDさん、いつも楽しみに読ませていただいております。
いろいろ面白そうな情報も聞いたのですがオフレコということで。


出演者、出席者、ともにパワフルで溢れ出るアイデアのある方ばかりでとても面白いイベントでした。
何より自分が何をしていくべきか?そんなことを深く考えるいい機会になりました。

自分のWantsを大切に、深く掘り下げてみたら今よりもっと面白い未来が迎えられそうな気持ちになったよ!


ちなみに開催場所になったアーツ千代田3331 はすごーく素敵な空間でした。
3331 Arts Chiyoda:アーツ千代田 3331:3331 ARTS CYD


気になったらぜひfeedlyに登録してください!
 

follow us in feedly
 
 

まとめて読んだ本と、雑誌「wired」の伝える未来感とその源流について。

4月に珍しく時間がとれたので9年ぶりにバリ島に行ってきた。
とはいえ今回は旅行の話ではなく、読書の話。


kindle積ん読に溜まっていた本を旅行中に一気に読破してみました。
その数合計9冊。


漫画も入っているけど1ヶ月に2〜3冊ペースの読書量なので
なかなかのペースで読めたらのが嬉しい。
なにより情報ダイエットも兼ねて旅行中にメール,SNSに触れなかったのが一番の正解だったのかもしれない。

WIRED VOL.11 (GQ JAPAN.2014年4月号増刊)]

コンデナスト・ジャパン (2014-03-10)
・WIRED最新号。
 21世紀の教科書と新しいタクシーサービス「Uber」の記事が面白い!


スティーブ・ジョブズを手っ取り早く理解するには漫画とコレを読むのがいいです。

・日本ではイマイチよくわからないエンジェル投資家の実例が語られてます。
 企業するひとだってみんな最初からうまく行ってるわけじゃない、ってのがわかる。

・待望の第6巻。
 前回の楽しい結婚式と一変して戦争が始まりました。
 馬の描き方はやっぱり綺麗〜。

「Chikirinの日記」の育て方
ちきりんブックス (2013-11-26)
売り上げランキング: 837
・読んでみてやっぱり「chikirin日記」はそう簡単にマネできないってことがわかる。
 人気を得るのではなく、話題の場を作るってことに一貫してるからこと続いてくんだね。


超思考 (幻冬舎文庫)
超思考 (幻冬舎文庫)
posted with amazlet at 14.04.26
北野 武
幻冬舎 (2013-08-01)
売り上げランキング: 53,691
・たけしといえば世相を切るのも定番。
 何をいっても批判が起こりにくいから素晴らしくキレがいい。

ここは退屈迎えに来て (幻冬舎文庫)
山内 マリコ
幻冬舎 (2014-04-10)
売り上げランキング: 6,369
・実は一番おもしろかった一冊。
 都会すぎない田舎に住む人の悲喜こもごもを物語に綴った傑作。
 こじらせた人しか出てこないけど、共感しすぎて泣けます。


・今や経営の神様扱いの「スティーブ・ジョブズ
 カウンターカルチャーの洗礼を受けたかと思えばLSDと禅にハマり、インドに行った、とか
 ”appleの” という肩書が付く前の破天荒な青年期が描かれます。
 テルマエ・ロマエヤマザキマリさんなのでとりあえず買い推奨銘柄。




上のうち、WIRED 11とスティーブ・ジョブズ特集、僕らの新国富論、漫画スティーブ・ジョブズを読んで
ふとあるつながりがあることに気が付いた。

それは「whole earth catalog


スティーブ・ジョブズスタンフォード大学の演説で有名になった
「stay hungry ! stay foolish!」が最終号に刻まれた伝説的なアメリカの雑誌。

帰国して図書館で見つけたのがspectatorの特集「SEEK & FIND Whole Earth Catalog」



この特集は本当に面白くて、カウンターカルチャーから生まれたこの雑誌がたどってきた足跡、
そしてwhole earth catalogが語った未来がシリコンバレーを生む原動力になっていく流れなどが考察されている。
スティーブ・ジョブズはこの雑誌の大ファンだったし、雑誌wiredの初期ライターはwhole earth のライターだったとか。

何よりあまり語られることのない日本でのこの雑誌の受け入れられ方などが面白い!


日経ビジネスや日々のネットニュースだけじゃ、大局観は絶対に養えない。
シリコンバレーを作った人たちがどんな文化の中から生まれ、何を見て育ってきた
世代なのかを知りたい。
そんなことを感じている人はwhole earth catalogのアーカイブを読んで、
そしてその魂を受け継ぐ雑誌wiredを読んでみることをオススメします!


忘れてましてがコンディナスト社に移ってからのwired第1段の表紙がまさにwhole earth catalogの地球の写真でしたね。

気になったらぜひfeedlyに登録してください!
 

follow us in feedly
 
 

新しい時代の始まり!?日本人は全員「教養としてのプログラミング講座」を読もう!

我らが電脳空間カウボーイズのケイスさんの兄貴が本を出したよ!
その名も「教養としてのプログラミング講座」


アメリカのオバマ大統領も日本の安部首相も小学校でプログラミングを課目にいれる、なんて盛り上がってるので最高のタイミングですね。
プログラミングが義務教育に!政府の成長戦略素案に盛り込まれたプログラミング教育の内容とは | TechAcademyマガジン
プログラミングが義務教育に!政府の成長戦略素案に盛り込まれたプログラミング教育の内容とは ...



ちょっと遅くなったけど、読んだ感想が簡単に書いてみます。


プログラミングの成り立ちとプログラミング入門

プログラムは特別なものじゃないよって視点を1章まるまるページを割いてます。
プログラム入門の前に知らないうちにあなたもプログラムをしてるんですよって解説からスタートします。
コンピュータ考古学者としても造詣が深いのでソフト、ハード両面からのコンピュータの成り立ちを説明してくれるのですごくわかりやすい!

そして、プログラミングが実生活に密接に結びついており、誰でもプログラミングの経験がすでにあるという実例をあげて説明してくれます。
もうとっつきにくいプログラミングって言葉がいきなり身近に感じられるはずですよ!

プログラミング講座からプログラミングの未来へ

実際のプログラミングの解説がはじまります。
さすが文系女子大生に教えてるだけあってつまづきやすいポイントを抑えた説明でした。

そして誰にでもプログラミングをできるようにイチから開発した環境である、moonblockで実際の簡単なプログラミングをためしていきます。
とりあえずクマが動くだけでも感動的!


最後の章では、誰でもプログラミングをする時代が来ており、当たり前になるのももうすぐだと書いています。
これを読めば簡単なゲームは作れるし、プログラマーの思考をなぞることができるようになるはずとのこと。


この本を読めばプログラムがわからないと思っているお父さんお母さんも、実は普段からプログラマーであることがわかるはず。
そして明日から子供にプログラムを教えることができるようになる、なんて素敵な未来のカタチじゃないですか?


英語本やビジネス書もイイけど、まさに今読むべき本としてこの本を猛烈にオススメします。
誰でもでプログラミングできる世界をみんなで作りましょう!!!

清水亮さんとは

株式会社UEIの社長にして、経産省の認める認定スーパープログラマー

ちなみにこの時の論文がiモード時代のコンテンツ管理システムとして実用化されていて、かなりのシェアがあるらしい。
他にもIT業界の論客だったり、哲学のためのカフェを経営したり、ソフト会社なのにハード作ったりとなかなか攻めの社長です。

Software Designの連載「enchant 想像力を刺激する魔法」はメッチャ面白い!
ソフトウェアベンチャーがハードを作るまでの生々しい過程が描かれています。
ソフトウェア・ハードウェア・サービスまで一気通貫でプロダクトを作りたい人は必見です。
連載がkindleにまとまらないかな。

ちなみに

この本、すごい売れてるみたい。
Amazonでもプログラミングのカテゴリ1位で売り切れ!
kindle版で手にいれるのが良さそうですね。

社会人にお勧めの4冊 / ついでに「教養としてのプログラミング講座」Kindle版がリリースされました - UEI shi3zの日記


気になったらぜひfeedlyに登録してください!
 

follow us in feedly