第03回まっちゃ445勉強会は無事終わりました。ありがとうございました

まっちゃ445 IT セキュリティ

セキュアOSが進化した歴史を振り返って来年はチャレンジしよう(田口裕也さん)

セキュアOS有効にしていますか?

SELinuxをEnforceにしている人は会場でも数名・・・
でも企業では、Default Enforceになっているため、有効になっている会社も結構あったり。

セキュアOSのメリット

2003年当時の触れ文句は・・・アンチクラッキング機能
セキュアOSを入れると、特定のサービスがやられても、他のサービスとの間に壁を作るので、他のサービスへは被害を受けない

オープンソース

  • SELinux
  • TOMOYO Linux
  • AppArmor
  • RSBAC
  • LIDS
    → 面さん
  • SMACK
    → 最近Kernelに組み込まれた

■商用セキュアOS

結局どれつかったらいいの?

  • どれも実現したいことは同じ
    • 強制アクセス制御(MAC)
    • 最小権限
  • 商用製品は運用管理ツールが優れている
    • 統合管理
    • レポート機能
    • GUIツールなど・・・

なぜFedora 2でセキュアOSが実装されてきたか?

  • TCSEC、ISO15408とかの認証がないと、政府の調達に引っかかったため、そのためにセキュアOS機能が追加された(CC(ISO15408))
  • Labeled Security Protection Profile(LSPP)を実装するために、最近どれもEAL4とか取り始めた(これも政府調達系の案件の為)

導入には色々問題が・・・

  • 開発途上なため導入するのが怖い
  • Kernelパッチを当てたらLinuxサポート契約から外れない?
  • ポリシー設計たいへん
  • ラベルの維持・管理が大変
  • ドキュメントが少ない・・・
  • サポートKnowHowが少ない
  • 既存環境に影響を与えそう・・・
  • 対応できるセールスがいない・・・

でも、これは、2003年の話

管理運用面がかなり進化

  • 商用のは、ユーザよりの機能を追加していった
  • シンクライアント(SunRay、Cytrixとかに入れれる)
  • 24時365日対応サポート体制が整ってきた
  • アラートメールの送信
  • 出力されたログのグラフ化
  • GUIセキュリティポリシーの定義

OSSなツールもあるよ

  • SeeDIT
  • TOMOYO GUI
  • SELinuxの管理ツール日・中・韓で開発(OpenDRIM)
  • SUN Ray+Trusted

今後のセキュアOS

サーバ

  • サーバ向けは鉄板、導入例は激増
  • 応用例
    • SE-PostgresをDBにまで拡大
    • Apache-Selinux Plus Webアプリまでにラベルが継承

組み込み

  • Montavistaとか、WindRiver
    • 日立ソフトがAndroidにも実装
    • WhiteSHIeld For Meiden
      工場用コントローラ向け製品

クライアント

  • SELinuxKIOSKモード
  • 韓国では導入が激増(無人端末)映画チケット、ATM、POSとか。。。
    公共施設のPCとかにも入っている



みなさんのBlogの反応とか

noraさんwwwwwヒドスwwww!おいしいお菓子を食べに来ませんか?って、どんな勉強会だよwww

まっちゃ445といえば、お菓子!まっちゃ445では、おやつの時間に力を入れています!!おいしいお菓子を用意してセキュリティ勉強会を行ないます。お菓子を食べた上にセキュリティを・・・・じゃなくて、セキュリティを勉強できるうえに、おいしいお菓子も食べられる「まっちゃ445」と勝手に思っています。
社内で、後輩や同僚を誘う時には、土曜の昼上がりにおいしいお菓子を食べたくない?っと誘えば良いに違いない!!!(良いのかなぁ・・・・

http://techbank.jp/Community/blogs/nora/archive/2008/11/30/3484.aspx

正確には田口さんです。

まっちゃ445・セキュアOS by 田原さん

http://techbank.jp/Community/blogs/nora/archive/2008/11/30/3484.aspx

id:sakukaさん、いつもレポートありがとうございます。お菓子目当てでも来てくれるだけ本当に感謝です。

ポメラは・・・・正直厳しいなぁ>自分は。ATOK買うかな・・・

●散文まとめ
 ・まっちゃ445の感想の多数に『おいしかったです』 
 ・yamagataさんは名札が21
 ・ポメラ、わりとちゃんと打ててメモ取れてよかった。でも問題点発生(後述)
 ・今回も有名人とか良く見てるblogの中の人見れて良かった良かった
 ・リバースエンジニアリングチャレンジ上位入賞者の人たちがすごすぎる・・・
 ・セキュアOSについて、結局自PCには入れれませんでしたが、
 
  それなりにお話についていけて良かった良かった。
 ・1回、2回も思ったことですが、基本的に皆さんのLVが高すぎ・・・。
  わからない単語が飛び交う飛び交う。業務以外の事勉強不足だなあ。。。
 ・ブラッディ・マンデイごっこktkr!!
  まあ、原作もドラマも見て無いんですけど(笑
 ・炭酸でおなかが『げぷ』ってなりました。
 ・品川で楽天テクノロジーカンファレンスが開催されていたそうです。
  Linuxディストリ大集合、みたいなのやってたようで。
 ・どんな発表に対してもきちんと質疑ができるwakatonoさんとかhitoさんとか
  ほんとすごいよなあ・・・。

第3回まっちゃ445勉強会に行ってきました - sakukaの日記

釣られましたwwwwてか、意識的につられに行きましたw

やっぱり触ってからじゃないと買えないですよね。

あ、そういえばポメラでまっちゃさんが釣れました(笑)
  軽く触ってもらったんですが、ちょっとまっちゃさんには合わなかったようです。
  実際買おうか悩んでる人は、これ絶対店頭で触るとかした方がいいです。

第3回まっちゃ445勉強会に行ってきました - sakukaの日記

福田さん遠くから?参加していただいてありがとうございます。

ホスピタリティとか難しいものではなく、みんなで楽しく!です!!!www

セキュアOSについては、2003年以降はノーチェックだったので、現状が良くわかった。(「ばりかた」でもセキュアOS話をして頂くのだが、デモも含めより実践的な内容になるみたいです)
なにはともあれ、すごく面白かった。おやつの時間があるのそうだが、参加者への話し掛けなど、勉強会のホスピタリティの面も秀逸・・。

2008-11-29 - セキュリティとJAZZとシステム開発の日々

おいしかった、ってのは本当に多かったwwww

てか、最初にお菓子目当ての人!って言ったら5名程度だったのが最後は、数十人にwwwwwwwwコラ喪前ら!!!www

「まっちゃ445勉強会は、おいしかったです。」
今回は(も?)頭が飽和状態だった感じ。
ほとんど目次だけのエントリになってます。。。コレが精一杯。

http://kinshachi.ddo.jp/blog/comp/archives/000828.html

http://www.muginoho.com/brand/36sticks/これっすね。

スティックケーキ。

STICK SWEETS FACTORYかなぁ?
でも、(京急|JR)蒲田駅駅前にあるって言ってたし。違うっぽい。

手がかりは「36 SWEETS FACTORY on the MAIN STREET」っていうシールが貼ってあった事。

http://kinshachi.ddo.jp/blog/comp/archives/000828.html

Kenji Aikoさんも、午前中のインタビューとかありがとうございました!

結構メールとか貰っていますが、評価高いですよ!!!!!これからバイナリアンの時代か!

感想ではなく実況なのでいろいろと雑です。
雰囲気を味わってもらえれば幸いです。
13時00分開始。参加者は60名〜80名ほどいらっしゃいます。会場いっぱいです。まず、開会の挨拶+スタッフの自己紹介です(開始22分)。続いて参加者の自己紹介です(開始28分)。

まっちゃ445勉強会をリアルタイムで実況してみた - KENJI’S BLOG

てか、遅れて懇親会に来たのは、猫カフェでですかwwwwwwwwwwwww>やまがたさん!

お。 今回は懇親会の場所がいつもと違うんですね〜。 勉強会終了から懇親会の開始まで1時間半の間があるのかな。 こ、これは、蒲田駅東口に今週オープンしたばかりの猫カフェ「ねこの魔法 東京蒲田東口店」に行け!というお告げでしょうか?w 1時間で出てこれるかなぁ。(←おいw)

a threadless kite - 糸の切れた凧(2008-11-29)

やっぱり、もういいやwwwwwお菓子な勉強会でいいやwww!

★まっちゃ445勉強会に関するみんなの感想: 「(お菓子が)おいしかったです!」

a threadless kite - 糸の切れた凧(2008-11-29)

ikepyonさんでもやっぱり、面倒で放置ですよね。前に中村さん@SEEDitな人が、GoogleSELinuxで検索すると無効化をお勧めされるらしいし・・・

講師の田口さん、参加した方ありがとうございました。
個人的にセキュアOSは興味がかつてあったのですが、設定が面倒だったので放置してました。
これからはちょっと試してみたいと思う。

眠い - ikepyonのお気楽な日々〜技術ネタ風味〜

ありがとうございます!!!!やっぱり攻撃ネタ?!wwwwwwwww

まっちゃ445、第3回行ってまいりました、とても美味しかったです(とりあえず言っておかなくてはいけないらしい挨拶)
今回のお題はセキュアOS
いつものことながら、ほとんど予備知識もなく参加してきた次第(マテ
話を聞いた限り、それ単体でOSという訳ではなく制御を行うためのオプションとかプラグインといったイメージで捉えたんですが、そういったという捉え方でいいんでしょうか?>どことはなく
個人で使う分にはOFFで問題ない感じですが、J-SOXとかに使う統制制御用にはまさにうってつけのものですね(って言うか、そもそもそのためのものだし)
ライトニングトークでお題を2つ用意してくださったゆまのさんのネタは興味深かったし面白かったです
やっぱりみんな大好きですね、攻撃ネタ(マテ
急遽トークしてくださったととろさんとwakatonoさんの話も大変面白かったです
次回からは多分逸般一般枠なので、立ち見でもいいから風味なのはダメですか?(ライトニングからも逃げれそうだし(激マテ))

あまり一般的とは言えない逸般向けニュース 12/1 本当のことなんか世の中に何ひとつない: Stressful Angel

本来なら、本編LTの方はお金を頂かないのですが・・・すみません緊迫財政で・・・もらちゃいました。

この間のまっちゃ445勉強会で初めてLTしてきたが、
けっこうみなさんの受けがよくてびっくりした。
仕込んでいたネタが受けると非常に気分がいい。
それと少し話しただけで喉も何も渇かないのに
お茶がもらえたのがうれしかったwwww

らいとにんぐなトーク - 実はhokkai7go

ロシアンルーレットLTをほめられたーwwwwうれしいーーー!

意外と鬼!とか言われるんですけどwwww

そしてロシアンルーレットLTっていい制度だなって思った。
そのおかげでこうしてノートPCを手にする機会にめぐり合えたわけだし、
わざわざ東京にいく口実にもなった。

らいとにんぐなトーク - 実はhokkai7go

id:sakukaさんも書かれていますがこの部分に、参加者驚愕でしたねwwww

東京に行くついでにと思って参加申請した
まっちゃ445でLTをやることになったので、
軽くて持ち運べそうなノートPCを買った。

まっちゃ445 - 実はhokkai7go

ひさびさに、AzureStoneさんを見た。

第03回まっちゃ445勉強会に参加してきました。

http://d.hatena.ne.jp/azurestone/20081201/1228141957

kirara_397さんにレポートを書いていただきました!(催促したんじゃないんだからね!

先日、第03回まっちゃ445勉強会に出てきました。午前が目覚まし勉強会、午後が本番勉強会となっていました。残念ながら途中退出してしまいましたが。

第03回まっちゃ445勉強会 潜入記 - 謀 跡地

なんか、雲の上の世界でしたねぇ・・・・バイナリで理解とか、Cに組み替えるとか・・・

リバースエンジニアリングチャレンジ」上位入賞者の授賞式とインタビュー。
インタビュー内容は雲の上の世界でした。凄すぎる。

第03回まっちゃ445勉強会 潜入記 - 謀 跡地

SELinuxやセキュアOSについてこれからも是非よろしくお願いします♪

中途半端な感想としては、SELinuxに関して全くの素人がとりあえず話聞いてみました状態だったので、ひたすら

「へぇーへぇーへぇー」

としか思えない数時間でした。いえ、ムダにはならないと思いますけどきっと多分おそらくメイビー?

とりあえずプライベートでそのうち試してみようかにゃー、とか思いました。以上。

第03回まっちゃ445勉強会 潜入記 - 謀 跡地

id:miryu2008さん本当にありがとうございました。手順を作って手順を放置する手順ではなく、手順を守るための手順ってのも大切であって

手順はみんなを守るためにある手順であって、苦しめる手順は手順じゃないってことが大切ですね。

人前でしゃべるって楽しい!
もともと仕事でも社員の前で話す機会が多くて、話すこと自体はあまり抵抗はなかったのです。
ほぼ全員初対面という。で、技術者が多い。これも経験があったので。
本当に楽しかった。
アウェイの中よく頑張りました、とか言われましたが、僕のお仕事は常にアウェイです!
話を聞いてもらえるっていうのはうれしい。本当にうれしい。
うなずかれたりするともうね。うれしくてたまらないのです。

http://d.hatena.ne.jp/miryu2008/20081202/p1

実は勉強会の本質は、発表側が勉強できるんだと、よしおかさんが言われていました。

発表することに意義がある。これからも是非よろしくお願いします♪

質疑応答から学ぶ

HRO(高信頼性組織)についてはどうするんだ、みたいな話を頂きました。

不勉強のため、HROという言葉自体を初めて知ったのですが、一つ賢くなれました。

発表者側が勉強しちゃうってのが面白いところだなと。

HROにはどうするの、という話はその場ではもちろん回答できなかったのですが、ちょっと調べて自分なりの意見を持ったので後でエントリにしておきたいと思います。

http://d.hatena.ne.jp/miryu2008/20081202/p1

みんなそこかよwwwwwwwww

次回は講師wwww

また行きます!刺激たくさん!わーい!
次回は午後の会にも参加しておいしいお菓子も食べたいと思います!(そこかよ)

http://d.hatena.ne.jp/miryu2008/20081202/p1

F.Koryuさんも資料を公開してくれました!

セッション2:「5分で分かるPCI DSS v1.2(まっちゃ445編)」(F.koryuさん)
是非是非ご覧ください!

先日開催されたまっちゃ445勉強会#03の午前の部(めざまし勉強会)で発表したプレゼン資料を公開いたしました。
入り用の方は、上記リンク先末尾の「資料ダウンロード」からダウンロードして下さい。

資料公開>まっちゃ445勉強会#03 めざまし勉強会 LT - Garbage Script on Goo BLOG