7月のささみに参加してきたよ。
久々のささみ参加!
久々にささみ参加してきました!
われらがMINI hardeningチームの発表もあるということで気合いれてブログ枠で申し込んでみました。
内容は私が気になった内容を中心にまとめていきたいと思います。
会場は汐留ソフトバンク本社! 100名以上も入る大きな会場で食堂から持ち込み自由といつもよりリラックスした雰囲気でした。
@tigerszk さんからの前説
ささみ勉強会の解説をあらためて説明
なんでもアリのゆるふわ勉強会。
始まりは @togakushi さんの「アウトプットしないのは知的な便秘」という一言から始まった
ささみの勉強会は新橋なんちゃらの元ネタらしい。
れっきとした運用勉強会です。基本はプレゼン形式 だいたい月イチで開催しています うちの会社で開催したいという方は運営までご連絡くださーい。。 他の勉強会ともコラボあり。
勉強会の歩き方にてもっとも注目度が高い勉強会として注目。
しかし、今月はインフラネタゼロでしたw
横田さん申し訳ありませんでした!
- slackもあるよ!53チャンネル!
@toshi_yaさん 「実践パラレルキャリア~合同会社はじめました~」
さくらインターネットの人がいない前提で話しますw
会社設立にいたるきっかけ
会社はやめませんよ!今の正社員のまま会社作ります。 →今の会社に入ってしばらくしてから定期連載がゼロになった。 (G〇〇インターネットが敵視している会社に入ったので連載が打ち切りになった。時効成立!?)良いものは良い、そして悪いものは悪い! サーバレスはつらいよ、ともいうよ
「時の器」世の中にある一番良いものを編集して売るのが本質。
会社員は仕事が選べない、個人は仕事が選びすぎてもイマイチ
じぶんの子供がかわいいというけれど、自分の会社はもっとかわいい サラリーマンをしながら自分の会社を育てるということを続けていきたいと思います。
Q.なぜ個人事業ではなく会社にしたのですか?手間ばかり増えませんかね?
A.法人をつくって実績を蓄積したい、と思った。
会社を作るともろもろ13万くらいかかりました。
夏のボーナスをもらって「法人格が欲しい」と思った。
損得ではそんかもしれないけど後悔はしてない。
@ken5scal さん 「俺のSMS認証がこんなに非推奨なわけがない」
NISTがSMSを非推奨にしている
googleの認証がSMSからプロンプトになった。
会社で使ってるのがSMS認証だったのでヤバい。
しかし、リンク先がない。なので原文をだどった。
1.PATN公衆交換電話網が全部だめ
2.SMSは非推奨ではなく、制限であった
3.制限があいまいで多い
→メンドクセーこうなるに至った経緯 →NISTがSMS or VOICEが非推奨にする
→CTIAがかみつく(米国の携帯電話事業者の団体)
→NISTから10倍で打ち返されたおれたちはどうすればいいか。
→まだ解決策はない。俺たちの戦いはこれからだ。
Q.NIST非推奨なもの使ったときのデメリットは?
A.グローバルな展開をしている企業がアメリカに展開できない可能性がある。
@typhon666_deathさん 「展示会の意義ある歩き方(仮」
よく見る人が出てきた。
ヘビィメタルと絡めていろいろ話してます。SNSを見ている人はおまえは仕事をしているのか、とよく言われる。
なぜ展示会に行くのか?
→新しい知見、新しい製品を見つける
→あらゆる展示会にいき、飯の種を探している意外に技術系ではない展示会がよい。
最近だとニコニコ超会議がとてもよかった。 メキシコ領事館とかも意外と面白い。ノベルティゲットが意外と役に立つ
意外な高級掘り出し物も見つかるかもよ。コミュニティでしゃべってもらえる人探し security × jawsでしゃべってもらえる人を探している。
イベントコンパニオンから業界動向を学ぶ!
企業によってどういうCOを採用するか戦略の1つ。
あえて営業サポート的存在として年上お姉さんがいるところもある。幕張メッセで6時間くらい歩く。
COと話す
→営業が寄ってくる
→営業と名刺交換
→COと連絡先交換
→あわよくば写真撮影!ただし、強制はダメ!絶対!
*コンパニオンに仕事上で気をつけていることを聞きました。
ロゴがちゃんと見えるようにしています
丁寧な接客と笑顔
- 企業名がわかるカタログを見せるようにする
- 雇った意味があったなと思わせる仕事をする
- 企業のためになる仕事をする
Q.1か所どれくらい時間かけてみますか。
A.おじさんひとりのところとかは時間かけます。
海外の国とつなぐようなところはしっかりみる。
例:イスラエルのAIを使ったマルウェア解析
ニコニコ超会議で警察にサイバーセキュリティを聞いてみたりetc
@uranariz さん 「MINI Hardeningの話」
hardeningプロジェクトを知っている人? →全体の7割くらい。
hardeningはわざわざ沖縄に行って8時間攻撃を食らい続けるドMプロジェクト 難易度高いよねー。
遠いよねー。
2日以上かかるよねー。
→MINI hardeningがあるじゃないか!まだ黒くない「SORAMAME6」
ボス岡田からは「もっと黒くなっていけ」、ということらしい。hardeningは「精神と時の部屋」 →ドラゴンボール読んだことないけどねw
qiita及川さんが話した「ストレッチな環境が人が育てる。」から引用。
マイルドな修羅場が大事なのだよ。- コンセプト
・基本的な対策で大丈夫
・訓練や練習だと思って参加して欲しい。
・セキュリティ専門家より開発や運用をやっている人に参加してほしい!
- インシデントが発生した時に対応する人は?
→セキュリティエンジニアでなく、現場の人であるシステム管理者、運用担当者、開発者etc
都合よくセキュリティがわかるひとはいない!
- 個人的に考えている実際の現場で必要な人
・セキュリティポリシーに照らし合わせてリスク評価をできる
・脆弱性のパッチを適用する
・異常に気付く、発生している可能性について考慮できる
・インシデントが発生した際に落ち着いて対処できるひと
ほんとうに必要なのはスーパースターではなく、日々の現場のオペレーションを回せる人
開発や運用をやっている人がセキュリティを身に付けるのが理想。まとめ
みなさん MINI hardeningに参加してみませんか?
ささみはインフラ勉強会ですよね?
そんなみなさんのためにささみ参加枠も用意しました。
MINI hardening に参加してみてください。
キーワードは「****」で覚えてください。
ジャスティス!
- 腕試しにセキュリティの人が来てもいいんやで。
Q.参加資格はありますか?
A,本家参加者もOKです。
でもメジャーバージョンごとに1回の参加です。
バージョンがあがったら次回の参加OKですよ。
@bbr_bbqさん 「脆弱性診断データの活用例」
脆弱性診断結果から新しい価値を生み出す仕組みを作り出す
過去の活用事例
・学習教材
・脆弱性検出の自動化→診断データをベクトル化し、機会学習モデルに落とし込む
・検査値の自動生成
検査値の自動生成
・手動でやる
・GANでやる
・★今回は、遺伝的アルゴリズム、でいこう!
→生物進化をシミュレートし複雑な問題の最適解を探す。今回のタスク
1.XSSの検査値を生成
2.過去の未使用の検査値の生成
3.WAFを回避する検査値の生成やり方
・過去に使用した検査値を収集
・タグや属性の最小構成要素に分解
・最小要素を遺伝子と定義、過去未使用の要素も遺伝子に追加初期集団の生成
選択→交叉→突然変異→適応度評価のループ- 検証結果
検査値の自動生成により30種類の新たな検査値を生成できた。
6307世代でWAFを回避する検査文字列を生成(所要時間5時間)
- まとめ
・GAは組み合わせ最適解の探索に有効
・評価関数の設定がキモ
・ブラウザ依存の検査値を生成可能
- 設定次第ではあらゆるテストに応用可能か?
→ただし、遺伝子の組み合わせ数が多くなると収束しない可能性あり
Q.他に検証する予定はありますか?
A.やるのが面倒臭いものをやるのがよさそう。簡単に見つけらるものはやる意味ないですよね。
Q.終了条件はどうなっているか
A.1万世代、スコア3.0以上
Q.なぜgaを選んだんですか?収束するのに時間がかかりそう。
a.組み合わせの数が少ないのと評価しやすいのでこれにしました。
まとめ @yakumo3
- 次回は100回記念らしい。
・大きめの会場でうちわネタで盛り上がるよ。
・次回は8/25、場所はDMM.COMで200名くらいでやるよ!
[感想]
様々な分野の人が集まって熱心に熱量高く学ぶ姿勢は行くべき勉強会にふさわしいですねー。
ぜひ、ネタを用意してまた話にいきたい!
次回の100回大会もお楽しみに!