第3回北海道情報セキュリティ勉強会に参加した
今回はサイバー大学後援の勉強会ということで、園田さん、横山さんにお話をいただきました。
園田さん「不正なアクセスとは何か」
不正アクセス禁止法の範囲やどこまでやってよいか、色々な過去の話も含めてしていただきました
闇歴史なんかもオフレコで話をいただき本当にありがとうございます。
サイバーノーガード戦法をすることで、誰が不利益を被るかを考えてのセキュリティ対策というのは参加者のみなさんの心に響いたことでしょう。横山さん「研究ってなんだ?:研究と現場、幸せな連携のために」
第1回のプレゼン資料を引用していただいた、恥ずかしくて恥ずかしくて・・・・すみません・・・
論文の読み方とか勉強になったのと、Googleの引用元++の仕組みが良い論文の見分け方にもあっている話を聞いたら納得だったです。
これを機に論文をたくさん読んでみようと思います。
参加者のレポートBlogとか
CHUTAがまとめてくれている。キーワードが分かりやすい。
不正なアクセスとは何か
Chuta Blog: 第3回北海道情報セキュリティ勉強会に参加してきた研究ってなんだ?:研究と現場、幸せな連携のために
- 研究とは、「仮説検証」
- 論文は、研究成果を文書化したもの
- 研究会論文→国際学会論文→ジャーナル
- ジャーナル論文は永久保存
- 研究の特徴に「一般化」。特定の人物のみが実現できるのではなく、誰もが実現できるようにする
- 「巨人の肩」
- 論文を読む事で、「巨人の肩に乗る」
- 論文データベースを利用する
- CiNii:http://ci.nii.ac.jp/
- Google Scholar:http://scholar.google.co.jp/
- 論文を読むポイント
- タイトルと概要を読んで取捨選択
- 最初と結論を先に読む
ろまん亭のチョコモンブラン最高でした!
チョコモンブラン!!!
第3回北海道情報セキュリティ勉強会(セキュポロ)に行って来た - 技術的な何か。
ろまん亭のやつ
http://r.tabelog.com/hokkaido/A0103/A010305/1001878/
こんなに箱に詰められると壮観だ。
もう一箱ありました( ̄◇ ̄;)
チョイスしたのは、smokeymonkeyさん!ないすチョイスです♪(´ε` )
セッション1では、不正アクセスの事について語られてました。
- 「保護」何をもって不正アクセスと言うのか?パスワードが掛かっていなければ不正アクセスには当てはまらい!?
- 「ノーガード戦法」こってこてにセキュアな環境にして「保護」の状態にして管理をさほど行わない戦法
- 「しょぼいサーバー」あなぽこだらけのサーバーは放置してもいいのか!?
- 「すんどめ」どっかサーバー、サービスに穴を見つけても、すんどめでやめておく事。IPAでは抵触しないと推察される行為の例として資料公開されてます(http://www.ipa.go.jp/security/fy17/reports/vuln_handling/documents/4_guideline.pdf 資料あってますかね?間違ってたら教えてください)。
セッション2では、研究者の立場から語られてました。
第3回北海道情報セキュリティ勉強会(セキュポロ)に行って来た - 技術的な何か。
大学で研究みたいなこともやっていたので、なんとなく共感できました。
衛星回線を利用したBotの検出した統計とか出てました。
CiNiiで調べると、自分の恥ずかしい過去がさらされるという罠もwww 査読付きなんて書いたこともないので(;´Д`)
質疑応答では、サイエンス・カフェ(http://costep.hucc.hokudai.ac.jp/project/cafe/)の関係者が来られていて、研究者と技術者、研究者と市民、技術者と市民間での取り組みなどが話題にとりげられました。京都のおはぎは、今西軒ですね、大福は出町ふたばの豆大福です。
結構、参加率が高かったですね。
第3回北海道情報セキュリティ勉強会(セキュポロ)に行って来た - 技術的な何か。
1次会 京都のうまい大福とおはぎ
2次会 ヘイ!マスター!
3次会 カラオケ大会。ここで帰宅しました。
4次会 焼肉?
・・・・どこまでやったんだろうw
結局はノーガードで誰が困るか、誰を守るためにやっているのかが大事ってことですね。
最後のほうに言われた
セキュリティは何で必要なの?
管理者のためじゃない、そのサーバーを利用しているユーザーが被害にあうことが困る。
利用者をまもるため、セキュリティは必要。という言葉が非常に印象に残りました。
http://terakonya.sarm.net/wordpress/2009/11/23/117ぶはっwwwww俺の資料wwww
糸(技術)が織りなす布(製品)で誰かを暖めうるかもしれない(By.中島みゆき 糸)
研究者のやっていることがちょっとわかった気がします。
研究者と技術者がお互いの分野で上を目指していきながら
横の糸がつながっていく世界はすばらしいなと妄想。技術者よ、研究者たるな!
研究者よ、技術者たるな!冒頭に使われたこの言葉の意味が最後にわかる講演でした。
http://terakonya.sarm.net/wordpress/2009/11/23/117サイバー大学++!!!!
お金がたまったらこういう大学でちゃんと勉強したいなあ・・・と思った日でもありました。
http://terakonya.sarm.net/wordpress/2009/11/23/117
お願いしますー!僕もがんばりますw
【ご協力のお願い】第3回北海道情報セキュリティ勉強会の感想を見つけたらsecpoloタグでブクマお願いします。もしくは僕に教えてください。
すもけ on Twitter: "【ご協力のお願い】第3回北海道情報セキュリティ勉強会の感想を見つけたらsecpoloタグでブクマお願いします。もしくは僕に教えてください。"
本当にスタッフも楽しんでたし、目で指示が出せていたところが素晴らしかった。スモケ++志賀さん++!!!
共催という形でイベントにご協力頂いたサイバー大学様、遠くからわざわざご足労頂きました講師の園田先生・横山先生、ライトニングトークして頂いたi9R4un1さん・LOCAL学生部のらっこさん・札幌Javaの渡辺さん、そしてご参加頂いた皆さん、本当にありがとうございました!スタッフ一同大変楽しい時間を過ごさせて頂きました。ご参加頂いた皆さんも、我々スタッフと同じように、楽しんで頂けれていれば幸いです。
[-*煙猴*-]: 第三回北海道情報セキュリティ勉強会を開催しました
参加者の皆様には、ゴミの片付けや会場撤収等、ご協力頂き大変助かりました。わたわたしていた点もあったと思いますが、ぜひ次回以降の改善に役立てさせて頂きたいので、BlogやTwitter等の媒体に感想を投稿して頂けると嬉しいです。みんな上手にまとめてる。IPAの仕組みを作ったのが園田さんとか知られてないよなぁ・・・
【園田先生「不正アクセスとはなにか」】
[-*煙猴*-]: 第三回北海道情報セキュリティ勉強会を開催しました
・不正アクセスとは
→脆弱性を悪用・ID/PASSを盗用→認証を回避
・法律→形式犯、動機は関係無い
→国によって違う→米国と日本でも違う
・保護されているものを犯すことが不正アクセス
→しょぼい鯖→保護になるの?保護ってなに?
・現状はID/PASSがあれば保護→しょぼくても保護
→弱者を守るため、抑止効果のため
→ノーガード→保護を理由に管理をサボる
・利用者保護は個人情報管理法で
・脆弱性指摘の文化
→基本はアメリカ文化→指摘の動機が重要
→まずは開発者に通知、情報公開はしない
→パッチ公開と同時に情報公開
→開発者の対応が悪い場合→情報公開しちゃう場合も
・ディスコミュニケーションのリスク
→逆切れ、怪しまれる、無視、訴えられたり
→リスクコントロールとしてサービス閉鎖する場合も
・脆弱性情報届出制度
※感想→オフレコ話を混ぜ込みながらだったので笑えるポイントも多く、非常に楽しめました。テクニカルに深い話ではなく、わかりやすい論点だったので、多くの人が楽しめる内容だったと思います。
【横山先生「研究ってなんだ?」】
・研究とは→考察、調査、追及、発見
→イコール仮説検証
・仮説を立てて、検証して、照明する。
→そして論文を書く!ここがメイン
・巨人の肩(先行研究)
・一般化、普遍性、先行研究の引用
・研究の価値→知識のライブラリ化、知識体系の構築
・巨人の肩に乗る方法
・OWASP
地域で講師は是非建てたいですね。やっぱり講師がいると嬉しい。そんな大した内容じゃなくってもOKなんですよ!
セキュポロ勉強になった。次回に期待。懇親会開始まえの話で運営してる人の苦労を知って頭が下がる思いがした。地域で講師を育成する必要性に納得。
Kaji Hiroyuki on Twitter: "セキュポロ勉強になった。次回に期待。懇親会開始まえの話で運営してる人の苦労を知って頭が下がる思いがした。地域で講師を育成する必要性に納得。"参加者として、たのしかったですかね?
セキュポロ参加なう。
Kaji Hiroyuki on Twitter: "セキュポロ参加なう。"懇親会はカオスだったみたい・・・
セキュポロスタッフの写真撮影への気配りに感動した。
Kaji Hiroyuki on Twitter: "セキュポロスタッフの写真撮影への気配りに感動した。"最高でしたw
セキュポロのお菓子おいしかったです。 http://twitpic.com/qbym1
Kaji Hiroyuki on Twitter: "セキュポロのお菓子おいしかったです。 http://twitpic.com/qbym1"
リーチしたいところへリーチする方法って難しいですよね、って話をして気がする。リーチしたいところにリーチできない=断絶ってなるので、一歩ずつ進まないといけないのかもしれないですね。
第三回北海道情報セキュリティ勉強会。横山さんの、研究者と技術者の間の意識の断絶のおはなしがおもしろかった。同様に、研究者と市民の間の断絶、技術者と市民の間の断絶、どれも大きな問題だ。
sapporokoya on Twitter: "第三回北海道情報セキュリティ勉強会。横山さんの、研究者と技術者の間の意識の断絶のおはなしがおもしろかった。同様に、研究者と市民の間の断絶、技術者と市民の間の断絶、どれも大きな問題だ。"
おやつおいしかったーーー!一人で2つ食べたのは内緒w
せきゅぽろ お菓子の時間。 #secpolo http://f.hatena.ne.jp/twitt...
ぴずも on Twitter: "せきゅぽろ お菓子の時間。 #secpolo http://f.hatena.ne.jp/twitter/20091121151840"そんなたいしたもんじゃねーよーーー!www
せきゅぽろ まっちゃだいふくさんから名刺をいただきました。家宝にします! #secpolo
ぴずも on Twitter: "せきゅぽろ まっちゃだいふくさんから名刺をいただきました。家宝にします! #secpolo"
セキュポロたのしかったよーーー!
今日はせきゅぽろだよhttp://secpolo.techtalk.jp/...
http://twitter.com/sevenOthree/status/5905730936
被害を受けた場合に影響を受けるのが利用者ということをしっかり念頭に入れて、日々システム管理をしないといけないといけませんね。
横山先生のお話は研究者へのフィルタされた自分の意見があって申し訳ない限りでした。一歩近づけたかな?まずは園田 道夫さんによる「不正なアクセスとは何か」の感想
http://d.hatena.ne.jp/morikinn/20091123/1258945470
現状ではIDとパスワードがあれば保護されていると解釈されるそうです。それを理由に簡単な対策しか行わない管理者も中にはいるとの話にびっくりしました。弱者保護のために保護の定義を低くしているのに、管理者がそれを逆手に取って利用者を危険に晒しちゃいけないと思います。
質疑応答の中で園田さんが、「不正アクセスの被害者は利用者です。」と言っていたのがとても印象的でした。エンドユーザーは誰か?って視点は、全ての仕事で重要なことだと思います。
横山 輝明さんによる「研究ってなんだ?:研究と現場、幸せな連携のために」の感想
論文の読み方が参考になりました。最初と最後の項目だけ読んで、興味があるものを探せばいいそうです。論文ってだけでちょっと構えてしまう姿勢をどうにかしないと。
「論文の読み方」って論文があるみたいです。英語の勉強にもなるのでおすすめとのお話しでした。
巨人の肩(今まで築き上げた成果)はどんどん活用していきましょうとの事でした。
チョコモンブラン重要!!!www
ここ数年巷で大流行の、IT系技術者が勝手に集まって行う勉強会のひとつです。テーマがセキュリティということで、詳細な中身についてはオフレコなものが多くてここでは書けないのですが、これだけは言える。おやつのチョコモンブランはたいへん美味かった。
北海道情報セキュリティ勉強会: あんどコンサ研究者との技術者との間にあるマリアナ海溝、市民と技術者もマリアナ海溝。ディスコミュニケーションの部分については歩み寄る必要がある。確かになぁ。
個人的にもっとも面白かったのは、アカデミックな世界の「研究者」と現場の「技術者」の間の意識の断絶をテーマとした、横山さんのプレゼンですかね。研究者達は、自分たちの研究が現場の技術者に理解されないと嘆き、技術者達は、大学の連中は役に立たない研究しかやらないと怒る。たしかにこれは大きな問題です。
北海道情報セキュリティ勉強会: あんどコンサ
でも、特にIT系の技術の場合は、この勉強会に集まってくるような現場の「技術者」と「一般市民」の間にも、大きな大きな断絶があるんじゃないかなと思ったりします。これは園田さんのプレゼンにも関係するのですが、社会全体のセキュリティに関するリスクコミュニケーションがきちんと行われるためには、リスクに対する社会全体の雰囲気がかわらないといけないわけで、そのためには技術者が市民に対して情報を発信する必要があるのだけれども、技術者側がそれを行っているかというと、かなり疑問。市民から見れば、セキュリティ技術者という胡散臭い連中が、社会不安をあおっているとしか見えないわけです。IPAさんと企業と両方も一つの手、IPAが入ると問題を一度IPAが受け取ってくれますから、指摘側からすると楽ですし、寸止めでも確認をしてくれますね。
さて、勉強会の内容ですが、サイバー大学の園田さんと横山さんによるセッションです。 園田さんは「不正アクセスとは何か」で、横山さんは「研究ってなんだ?」というお題。 両方とも大変勉強になりましたが、園田さんのセッションは特に最近直面した問題だったので大変興味深かったですわ。
http://www.kumachan.biz/pismo/blog/archives/2009/11/21_1920/
脆弱性を発見したときに「不正アクセス」にならないようにするためには「寸止め」しかないとのこと。 日本の法律的には「動機は関係ない」のだそうで、パスワードで保護されているサーバーに対する、他人のアカウントによるアクセスは全て「不正アクセス」になってしまうのだそうである。 なので、寸止めしか自分の身を守る手段はないとのこと。 また、該当の企業に通報してもリスクを負うだけなので、IPAの脆弱性通報システムを活用して欲しいそうだ。
あ0、先日の場合、企業への通報とIPAへの通報を同時にしちゃったけど、IPAへの通報だけにしておいた方が良かったのかなぁ。 難しいモンだね。
うふ。かわいかったw
もともとせきゅぽろの時間帯に、知り合いと会う約束をしていて、それとかぶってしまったので、「だったら一緒に連れて行こう!」というわけで、あろうことか文系大学に通っている女性を連れてきてしまった訳ですw
http://d.hatena.ne.jp/pacsolution/20091122/1258889985ぎくぅ・・・・・ドキドキw
今回のせきゅぽろは、運営のみなさんはもちろんのこと、サイバー大学さんのおかげで成り立ったと言っても過言ではないでしょう。
http://d.hatena.ne.jp/pacsolution/20091122/1258889985是非次回に参加してみてください!美味しい勉強会を約束しますw
ちなみに、詳しいお話などは、あまりかけません。情報セキュリティ勉強会なので、あまり書けないのです。気になる方は、次回以降せきゅぽろに参加してみてはいかがでしょうか。
http://d.hatena.ne.jp/pacsolution/20091122/1258889985
ちなみに、撮影禁止ですが、お菓子だけは撮影OKなので、後でお菓子の写真だけアップロードします。
捕まるとどうなるかというか、人生は予定通りじゃなくなりますよね。懲役とか賠償金よりも、予定は全滅かも・・・
「捕まるとどうなるか?」
http://tech-ezo.jp/blogs/nami/archive/2009/11/22/11-21-3.aspx
・退学処分、懲戒免職
・1年以下の懲役、50万円以下の罰金
…等々
・賠償金が高いのは、被った損害が大きいから?
・裁判での事例:「個人情報の対価は1万〜3万円」
●「しょぼいサーバならやってもいいの?」
「“しょぼいサーバ”とは?」
・アプリがしょぼい、対応がしょぼい等々
→保護されているものは不正アクセスになるのは当然として、保護されていないしょぼサーバは保護されていると言えるのか?
・Webアプリがしょぼくても、SSHでのパスがかかっているとOK(裁判の事例)
・なぜしょぼくても「保護」とするのか?
→法律は弱い人を守るためにある=突出した行動や異常心理を助長させないためにある
・論点:もし「保護」としなかったらどうなる?
→経済的に:管理コストがあがる等、負担が大きい、個人情報保護法だけでも手一杯なのが現状
よかったよかったwww
各方面にご心配おかけしましたが、ブツは無事、飲みの後深夜に行ったラーメン屋さんでみつかりました。どうもですー。
物理的セキュリティ - 極楽せきゅあ日記オフレコwwww、まぁ公開資料では読めない空気感や説明なんかもありますし、参加に躊躇されてる方には、是非一度参加してもらえたらと思いますー!
今回はサイバー大学特集ということでsonodam先生・ 横山先生がいらっしゃいました。 不正アクセスになる閾値は実はものすごく低かったりすることが目から鱗だったり、OWASPなど、あっという間の 3時間半。勉強会の真の楽しさはオフレコにありとかいつもの面白さでした。
[SECURITY]セキュポロいってきました - しゃある通信
今回のスイーツはチョコモンブランで、モンブランが苦手な俺も美味しくいただけました。苦手というより栗がダメだった?本当にリーチしたい所へのリーチできない点や、リーチできる言葉で話をするとかは難しい。相互に歩み寄る必要があったりするが、なかなか難しいのが現実。
第三回北海道情報セキュリティ勉強会。横山さんの、研究者と技術者の間の意識の断絶のおはなしがおもしろかった。同様に、研究者と市民の間の断絶、技術者と市民の間の断絶、どれも大きな問題だ。
sapporokoya on Twitter: "第三回北海道情報セキュリティ勉強会。横山さんの、研究者と技術者の間の意識の断絶のおはなしがおもしろかった。同様に、研究者と市民の間の断絶、技術者と市民の間の断絶、どれも大きな問題だ。"
グラフを作ってみた。わかりやすいだろうか・・・
せきゅぽろ第三回のアンケート結果が出ている。 http://secpolo.techtalk.jp/... #secpolo
ぴずも on Twitter: "せきゅぽろ第三回のアンケート結果が出ている。 http://secpolo.techtalk.jp/3rdworkshop/questionnaire #secpolo"
@tukaによるレポートだ!!!パッチの適用は色々ありますね。1か月寝かすのもあるけど緊急もある。うーん、悩ましい
パッチが出たからすぐ適用とかなかなか難しいよなぁというのが思ったところです。
http://blog.tsukacyi.net/2009/11/25/%e7%ac%ac%e4%b8%89%e5%9b%9e%e5%8c%97%e6%b5%b7%e9%81%93%e6%83%85%e5%a0%b1%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e5%8b%89%e5%bc%b7%e4%bc%9a/
全く同じ検証環境なんてなかなか用意できないし、検証してる間も時間は過ぎてゆくし…
夏くらいに某社製品のパッチで若干痛い目見せてもらったのでパッチ適用は一月くらい寝かせたいのが個人的なところですね….サイバー大学も面白そうですよねぇ!!!
http://blog.tsukacyi.net/2009/11/25/%e7%ac%ac%e4%b8%89%e5%9b%9e%e5%8c%97%e6%b5%b7%e9%81%93%e6%83%85%e5%a0%b1%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e5%8b%89%e5%bc%b7%e4%bc%9a/サイバー大学について
サイバー大学ができた頃に気になってはいたのですが、ここ数年モチベーションが無いため見なかったことにしていたのですが、学ぶならこの大学がベストなんだろうなとは思いました….とりあえず園田先生割引コードちゃんと控えさせていただきました!!w