〜 マイクロソフト社員が語る 〜 MVP アワードプログラムの魅力 第二回インタビュー : MVP アワードプログラム カスタマー サービス&サポート セキュリティレスポンスチームマネージャ 小野寺 匠(情報元のブックマーク数)
ぉーーー!!!小野寺さんだ!!!!前々回講師ありがとうございましたm(_ _)m
セキュリティのコミュニティどんどん増えていますよ!!!
See -> http://sites.google.com/site/securityworkshop/
Q. 小野寺さんは MVP の方が開催しているコミュニティにもご参加されているとお聞きしましたが、どのようなコミュニティに参加したことがありますか?
https://www.microsoft.com/japan/communities/mvp/interview/090527.mspx
小野寺: セキュリティのコミュニティでは、京都周辺で開催している、まっちゃ 139 ですね。東京だと、まっちゃ 445 や NT - Community2 です。
参加者として参加したコミュニティですと、セキュリティもみじや、博多のばりかた (セキュリティとんこつ) 、また合同コミュニティイベントにも参加させて頂いた事も何度かあります。
幾つかのコミュニティではスピーカーとしても、参加させていただいた事もあります。まっちゃ 139 では、まっちゃさんやはなずきんさんなどからスピーカーとしてのお声掛けをいただきました。
オフレコでも色々な意見を聞ける場。確かにねぇ、色々面白い話を聞ける場ですよねw
Q. 小野寺さんにとって、”コミュニティ“とはどのような場所ですか?
https://www.microsoft.com/japan/communities/mvp/interview/090527.mspx
小野寺: その土地その時期の美味しいものが食べられる場所ですね (笑) と言うのは冗談で、いろんな意見が聞けて、言える場所だと思います。例えば、トレーニングなどで、 “ここは安全な実験場なので、ここで起ったことはトレーニングの外へ持ち出さないで下さいね” というグランドルールが説明される事があると思うのですが、それに近いと思います。公の場で言えないような意見などもコミュニティの中ではぶつけてみる事ができるし、それに対し意見を返してきてくれる、他の多数の意見を聞けるのがコミュニティという場所なのかなと思います。それが主張と言う形になることもあるだろうし、相談と言う形になるなど形はいろいろですが、それがコミュニティという場所かなと思います。
ナオネット:セキュリティ部門 - livedoor Blog(ブログ)(情報元のブックマーク数)
おめでとうございます!就職すぐセキュリティ部門、これからは勉強会にも是非!
セキュリティは、あらゆる者から、価値ある物や情報を守らなくてはならない。
ナオネット:セキュリティ部門 - livedoor Blog(ブログ)
その対策を練る時に、必ず必要なのが、不正に価値ある物や情報を盗む手段を知ることである。
だれしも、そういった裏の情報、俗にいう、ダークサイドの話題は好きなものである。
「セキュリティ知識を学び深めていく上で、ダークサイドの知識は必ず必要。そこで大切なのは、ダークサイドに染まらず、こっちサイドに戻ってくること」と某I○Mのセキュリティ講師は言っていた。
っとまぁ、そんなこんなで、セキュリティ部門に配属が決まりましたよ。
小型スキャナ付き名刺管理ソフト「速攻!名刺管理」を使ってみました - できるネット+ 編集部ブログ(情報元のブックマーク数)
ちょっと名刺が増えてきた(てか1ヶ月100枚減って、50枚増える)ので、管理するために買ってもらおう。(他力本願w
ジャストシステムの「速攻!名刺管理」は、名刺から氏名や連絡先などのデータを読み取って管理し、さまざまなソフトと連携してデータを活用できるソフトです。
できるネット - 新たな一歩を応援するメディア
セキュリティ監視業務のアウトソーシング:ITpro(情報元のブックマーク数)
餅は餅屋、IPSの管理とかFireWallの管理は任せたほうが、何かあったときの気付きや対応、対策に対して速度を得ることも出来ます。アウトソースすることのメリットも考えたほうが良いかもしれないですよ!
サイバー攻撃が損失につながるという事実と,現在の景気低迷(さらに,景気低迷で強まる経費削減の圧力)という状況を合わせて考えると,「米国では企業などの61%がITセキュリティ業務をセキュリティ・サービス業者(MSSP:managed security service provider)に任せているか,依頼を検討している」という調査結果も納得できる。調査対象としたセキュリティ担当者たちは,アウトソーシングに切り替える理由として「24時間365日の運用」(55%),「セキュリティの専門知識入手」(48%),「全体的なコスト削減」(46%)を挙げた。興味深いことに,欧州の組織は77%がアウトソーシングしており,その割合は米国(61%)よりも高い。
セキュリティ監視業務のアウトソーシング | 日経 xTECH(クロステック)
もちろん,セキュリティ分野でのアウトソーシングは,監視などの業務以外(例えば,セキュリティ戦略やポリシー,制御の立案)では役に立たない。実際,調査でアウトソーシングを検討している対象業務について尋ねたところ,「セキュリティ監視」(53%),「セキュリティ管理」(52%),「ID/アクセス管理」(54%)という回答が多かった。また興味深いことに,回答者の31%は「セキュリティ・アウトソーシングの一環として,IT業務のフルアウトソーシングを検討している」と答えた。つまり,インハウスでのIT管理にこだわる理由はセキュリティだけとは限らないということだ。
Perl Mongersはセキュリティの夢を見るか? − @IT(情報元のブックマーク数)
上野宣さんのshibuya.pmレポート。そういえば今回はローレイヤーでセキュリティ系の人が登壇してましたっけね。
2009年4月22日、Perlユーザーグループのイベント「Shibuya Perl Mongers テクニカルトーク #11」が開催されました。Perl Mongers(パールモンガース)は、プログラミング言語であるPerlのユーザーグループのことで、地域ごとにコミュニティが形成されているという特徴があります。ニューヨークが発祥で世界各地に存在し、日本では Shibuya.pmやKansai.pm、Yokohama.pmなどがあります。
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
先に開催されたShibuya.pmのイベントでは、情報セキュリティの業界を中心に活動している人々が何人もスピーカーを務めていました。彼らは、誰に、何を伝えようとしていたのでしょうか。ここにセキュリティ情報の伝え方のヒントがあるかもしれません。
これだけですごすぎる!!!
スピーカーにはShibuya.pmの2代目リーダー竹迫良範氏をはじめ、小飼弾氏などPerlで著名な方々が登壇する中、情報セキュリティ関係で著名な園田道夫氏、福森大喜氏、そしてBlack Hat Japan 2008でもスピーカーを務めた愛甲健二氏やはせがわようすけ氏などがスピーカーとして名を連ねていました。
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
うほっ!かっこええww
Perl MongersにCTF参戦を呼びかける愛甲健二氏
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
サンドボックスの必要性と、サンドボックス攻撃→改善でよりよいサンドボックスを作っていこう!という福森さんのお話、確かにねぇ。たたかれないと強くならないよね
福森大喜氏は「Native Client Hacks」というタイトルで、サンドボックスの1つである「Google Native Client」を破るまでの過程を紹介しました。サンドボックスというのは、保護された領域でプログラムを動作させることで外部に悪影響を及ぼさないというセキュリティの仕組みです。
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
広く使われているActive Xもサンドボックスの1つですが、数多くのセキュリティホールがあり、サンドボックスの役目を果たしているとはいいがたいです。福森氏はサンドボックスは皆で破れば強くなるので、破る方法を見つけて報告しましょうと呼びかけていました。
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
うほっ!これは聞きたかったw
2008年にTBSにてドラマ化された「ブラッディ・マンデイ」のハッキングシーンについて解説した、3月まで現役高校生だという石森大貴氏による「ブラマンのブラックな話」などのセキュリティ関係のセッションが行われていました。
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
そうですね、全国にセキュリティ勉強会が増えてきたので、他の勉強会とコラボとかで是非やっていきたいですね。
今後もセキュリティとは一見無関係に見える技術系イベントで、セキュリティが多く語られることを期待しています。
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) - @IT
BlackBerry Security Advisory:US-CERT Current Activity(情報元のブックマーク数)
BlackBerryのPDF distillerサービスに脆弱性が存在との事。
Research In Motion has released security advisory KB18327 to address multiple vulnerabilities in the PDF distiller of the BlackBerry Attachment Service. By convincing a user to open a specially crafted PDF file on a BlackBerry smartphone, an attacker may be able to execute arbitrary code on the computer hosting the BlackBerry Attachment Service.
http://www.us-cert.gov/current/index.html#blackberry_security_advisory2
パターンアップ-6.155.00
Trendmicroのパターンがアップしました。
パターン番号:6.155.00
イエローアラートJP/US:JP 迷惑メールがイエロー:Confickerエイプリルフール、2009年03/04月度パッチ、Wordpadの脆弱性、AdobeReader/FlashPlayerのZero-DayとMS09-002のExploit警告/US 特筆無し アップデート理由:未調査 新規対応 未調査 亜種対応 未調査
セキュアOS塾-03レポート
本日のスケジュール
会場の雰囲気
PuppetによるSELinuxポリシー管理の紹介(石川さん)
Puppetを使って、SELinuxのポリシーを各サーバに配信しちゃって中央管理が可能なツールらしい
簡単にデモをしていたが、内容的にはシステム管理上とても楽になるツールですよね
TOMOYO Linuxを使ったサーバセキュリティ(半田さん)
TOMOYO Linuxを使って上手に簡単にサーバセキュリティ設定
デモもありました
なんと、今日TOMOYO Linux 1.6.8がリリースされたそうです!パチパチTOMOYO Linux version 1.6.8をリリースしました
ニュース: TOMOYO Linux version 1.6.8をリリースしました - TOMOYO - OSDN
今日はノリノリw>宍道さん
参加者のBlogとかは以下のリンクでもまとめています。
ってことで、
id:hshinjiさんLTお疲れ様でした。お手上げタイムなどを適宜入れていい感じでしたよ!
雨雲は・・・帰りの新幹線で東京を過ぎた瞬間に消えました・・・
まっちゃさん、更新早杉。(塾の様子はこちらから)
セキュアOS塾 - 03 - hshinjiの日記
id:ripjyrさんは、いつも雨雲を連れているんですね。
参加いただきましてありがとうございました。回数を重ねることで理解できるものもあるか・・・やっぱり基本読書会とかやったほうがいいのかな>セキュアOS塾
お題は「SeLinuxを使ってみる入門 BoF」を海外浩平さんから、またライトニングトークでは石川さん、半田さんそれと宍道さんが話された。少しはSElinuxとTomoyo Linuxについてそのイメージが掴めてきた。自分のCentOSもSELinuxをdisableではなく、enforceにて運用してみよう。でもまずはpermissiveか?YLUGなどで見かけていたお顔のかたも何人か参加されていた。
http://wfc.dip.jp/wordpress/?p=1597
PacSec2008でTOMOYOによるSSHブルートフォース対策ってのをやったらしいので熊猫さんが資料のリンクを出してくれています。
PacSec2008 で使用した資料は「振る舞いに基づくSSHブルートフォース対策」からダウンロードすることができます。
ケロちゃんチェックの動画: 熊猫さくらのブログ
この資料の中で紹介されているデモの内、「ケース1:対話型シェルセッション」「ケース2:対話型シェルセッション」「ケース3:非対話的シェルセッション」については、動画で観ることができるようになっています。
懇親会
未成年補完計画って何じゃ?!
