読者です 読者をやめる 読者になる 読者になる

izuming's blog

IT技術系の情報発信、備忘録、書評などをしていきます。

@IT Security Live「UP!」に参加してきました。

先日の2014年2月25日、@IT Security Live「UP!」

〜絶対に守らなければならないシステムがそこにはある〜

という情報セキュリティ系のセミナーに参加してきました。

下の写真にもあるとおり、無料のセミナーです。

f:id:izuming:20140227011525j:plain 

参考)

@IT Security Live「UP!」 

https://itmedia.smartseminar.jp/public/application/add/903

 

当日は2つ並行で開催されるセッションのうち、1つを選んで受講するスタイル。

まずは箇条書きで各セッションの受講動機とか感想とかメモを。。

 

AK-1:サイバー攻撃の本質的要因と、(攻撃側に対峙する)防御側のあるべき姿

(株式会社サイバーディフェンス研究所 名和 利男 氏)

 

  • 講演者は元航空自衛官ということで、私が最も楽しみにしていた講演。※今回のセミナーを受講しようと思った動機の一つ。
  • 期待通り、むしろ期待以上にdeepなトピックが満載で大興奮満足
  • それって民間企業の仕事の領域ではなく・・・という感
  • 非公開のスライド多過ぎ(笑)でもまぁ、仕方ない(汗)
  • 現代でも一般公開されてるニュース記事からそこまで読み取れるんだなぁ、と感慨。
  • 書きたい感想たくさんあるけど書くと各方面に迷惑かけそうなので自粛
  • 話の主題は昨今のサイバー攻撃の分類(攻撃者分類、手口etc)とか傾向とか
  • Known your enemy (敵を知り己を知れば〜という孫氏のアレ)

 

BP-1:インシデントに即応!各種ログによる迅速な調査・分析の実現手法

(マクニカネットワークス株式会社 市川 博一 氏)

 

  • 個人的にApache httpdアクセスログ解析で苦労しているのでこの講演を選択。
  • 主題は標的型攻撃とか不正ログインの調査・分析事例の紹介。あとはログ解析ツール商品(splunk)の紹介
  • やっぱ監視するなら分析専用ツールは必要だよね。。
  • splunkの導入先にレイセオン社を発見(笑)

 

BL-1:標的にされた日、守れる組織のセキュリティ対策とは

(チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 宮川 淳一 氏)

  • もし今後、組織のセキュリティ対策を任されることがあったら役立ちそう、ということで選択。
  • 主題は昨今のサイバー攻撃の種類とそれに対応する製品の紹介
  • ソフトウェア単体での対処ではなくアプライアンス(特定の機能に特化したコンピュータ)というハードウェアの導入による対処
  • サイバー攻撃への対処に特化したハードウェアがあることに軽い驚きを覚えた。
  • 本気でセキュリティを維持するならこういう機器の導入も選択肢に入れたほうが良さげ。
  • ランチセッション、ということで無料でお弁当とお茶が配られたけど、自分の普段の昼飯(カップ麺とおにぎり)よりずっと豪華だった。。写真を撮るのを忘れたのが心残り(´・ω・)

 

BK-2:@IT人気筆者陣のパネルディスカッション

「煽るな危険! 正しいセキュリティ情報の恐がり方」

 

NTTデータ先端技術株式会社 辻 伸弘 氏)

株式会社インターネットイニシアティブ 根岸 征史 氏)

NTTコムセキュリティ株式会社 北河 拓士 氏)

  • 辻氏の名前は @ITのセキュリティ記事の執筆者としてよく名前を見かけていたので話を聞いてみたくなり、選択。今回のセミナーの受講の動機の一つ。
  • 素のWindows XPはネットワーク接続後、4分でウイルスやらなんやらに感染する、という話があるがそれはSP2の話でSP3だとなかなか難しい。ということで怖がるときは正確な条件の確認が大事
  • RLOというのを知る。
  • Catch, Patch, Match (オーストラリア国防省が提唱)
  • DDos攻撃は毎日発生していて官公庁は毎日攻撃を受けている(!)
  • 標的型攻撃メールに対応する訓練がある。「開かない訓練」ではなく「開いた後の訓練」
  • 標的型攻撃メールを開かないのを0%にするのは無理。
    だから標的型攻撃メールを開いた後にどうするか?が大事
  • 何を守りたいのか?をまず決める。そして対策。

 

BS-1:自民党が導入したクラウド型WAF

日本ベリサイン株式会社 安達 徹也 氏)

  • 自民党御用達(?)のソリューションに興味があったので受講。
  • 中小企業も攻撃者に狙われることが増えているので注意!とのこと
  • パスワードの使い回しは危険(漏洩すると芋づる式に不正ログインされる。これがパスワードリスト攻撃。)
  • クラウド型のWAF(Web Application Firewall )を提供してるとのこと
  • クラウド型のWAFは、アプライアンス型やソフトウェア型のWAFより安価にお手軽に導入・運用可能
  • 自民党本部のwebサイトでもクラウド型のWAFを導入されてるとのこと。

 

BS-2:あなたの知らない、とっても恐ろしいDDoSサイバー攻撃

(日本ラドウェア株式会社 井谷 晃 氏)

  • DDos攻撃なんて単なるF5アタックだから大したことないのでは?という認識だったので受講
  • Radwareはイスラエルの会社
  • DDos攻撃は攻撃元ホストの数がむちゃくちゃ多い。しかも攻撃期間が数週間と長期化。
  • 海外では、DDos攻撃が成功するとサービスダウンが数週間、という事例も。それに伴う損失は・・・?
  • DDos攻撃に対するラドウェア社のソリューションはアプライアンス(DefencePro)

 

BS-3:アプリ脆弱性、危うい現実と究極の解決策!

ソニーデジタルネットワークアプリケーションズ株式会社 松並 勝 氏)

  • 私がまだプログラマだった頃にSQLインジェクションに対応したコードを頑張って実装してたけど、最新の対策動向を知りたかったので受講。
  • ソニーデジタルネットワークアプリケーションズは、Androidアプリのコードがセキュアなコーディング規約(JSSECのコーディングガイド)に則っているかどうかをチェックするツール(SecureCodingChecker)を提供。
  • Checkstyleを思い出したけど、この製品は多分セキュアなコーディング規約に特化させているのだと思う。。

 

BT-1:情報セキュリティ人材が足りないってホント?

(株式会社ラック 長谷川 長一 )

  • 今後のキャリアの参考にしたく、選択
  • 情報セキュリティ人材は量も質も足りてない。特に質の向上が優先課題
  • でも売り手市場ではない
  • 外部で通用する実践的スキルを持った人材が必要。つまり、どこでも通用する「使える」人材が必要
  • 現在の情報セキュリティ人材の第一線の人達で王道系(情報工学系の大学卒業後、その道一筋、みたいな情報セキュリティの申し子みたいな人)の人は実は少ない
  •  実践的な知識と技術を外(※)で学ぼう ※社外イベント、コンテスト、ワークショップetc

 

AC-1:あの日から3年「エフスタ!!」の通った道

(影山 哲也 氏)

  • 福島のITエンジニアスキルアップコミュニティの方のお話
  • 一応、私も東北出身(青森出身)なのでこれは見ておかないと、、ということで参加
  • エフスタとは何か?という紹介と311の時のお話。
  • 現在の福島の状況、特に避難指示区域でのレポート(写真と動画、簡易線量計での測定結果も含む)
  • 避難指示区域はまだ線量も高いし、道路が凸凹のままのところとかある
  • それでも、セミナーや勉強会を福島を中心とした東北地方各地で頻繁に開催中
  • 福島は頑張ってます!

 

まとめの感想

参加無料のイベント、ということで大抵のセッションは「昨今のサイバー攻撃事情紹介」→「その対策としての自社の製品・ソリューションの紹介」という流れでしたが、ITセキュリティについて不勉強な私には最新のITセキュリティ事情を学ぶことができて有意義なセミナーでした。

また、今後もしITセキュリティの担当になった場合でも、実際に製品の選択をする際のよい選択肢を得たと思います。

ただ、やはり有償のセミナーに比べると得られる知識は概要レベルなので、深くは学べないと感じました。

この手の無料イベント系は「その分野の概要把握」とか「最新動向のチェック」の目的で参加するのがいいと思います。

なお、出展企業のご提供なのだと思いますが、昼食のお弁当が無料で配られるセッションがあったり、会場外では無料のコーヒーサービスがあったりとかなり快適な環境でした。

#無料のお弁当とお茶とコーヒー、ありがとうございました(*´ω`)

 

AuthzSVNAccessFileでのsvnauthzファイルについて

Subversion

 

Subversionにおいてディレクトリ毎のアクセス制御を行うために

AuthzSVNAccessFileディレクティブで指定するsvnauhtzファイル(※)ですが

そのファイル中の設定について少々覚書を。

 

※:正確にはアクセスファイル、というようです。httpd.confで指定してやれば別にファイル名はsvnauthでもhogeでも構わないのですが大体はsvnauthzにするのが一般的です。

 

 ●上位階層の設定より下位階層の設定のほうが有効となる

 

こういう設定がされている場合

testproject/trunk/01では全員read権限しかありません。

 --------------------------------

[testproject:/trunk]

* = rw

[testproject:/trunk/01]

* = r

 --------------------------------

当たり前のようですが、意外とわからなくなるので大原則として覺えておきたい仕様です。なお、これはsvnbookでは"詳細に設定されている方が有効となる"という書き方で表現されています。

 

●ディレクトリ自体を指定する際は末尾は「/」となる

特定の階層について権限設定する際に

[testproject:/trunk/01]ではなく[testproject:/trunk/01/]のように設定すると
testproject/trunk/01/というディレクトリ自体(配下のファイル・フォルダを含まず)について権限設定がされます。

 

例えば下記のような設定の場合、全ユーザは[testproject:/trunk]の設定が継承されるため

testproject/trunk/01配下のファイル・フォルダについてread/write権限がありますが

testproject/trunk/01 ディレクトリを削除する際にはユーザはread権限しかないため、forbiddenエラーとなります。

 --------------------------------

[testproject:/trunk]

* = rw

[testproject:/trunk/01/]

* = r

 --------------------------------

ディレクトリ自体に権限設定する需要があまり思い浮かびませんが

例えばディレクトリ名の変更のみを制限したい場合などに使えるかもしれません。

とはいえ、レアなケースだと思いますので、特定の階層以下について権限設定する際には[testproject:/trunk/01/]ではなく[testproject:/trunk/01]のように設定しましょう。

 

参考にした情報ソース

・Version Control with Subversion

 "The thing to remember is that the most specific path always matches first."

 http://svnbook.red-bean.com/en/1.7/svn.serverconfig.pathbasedauthz.html

 

・svnbook日本語訳のPDF版を作成してみました

 http://psyto.s26.xrea.com/misc/svnbook/

ブログはじめました。(ご挨拶と自己紹介)

 

izuming(イズミン)といいます。

会社の先輩に勧められたのでブログを始めました。

複雑な経緯・事情はありません。

勧められた、だから始めた、ただそれだけです。

 

そしてこのブログはIT技術系や書評などの記事を載せていく予定です。

ブログを書くのは初めてではないですが、IT技術系のブログを書くのは初めてです。

そしてIT技術系のブログは「はてな」を利用してる人が多い気がしたので「はてな」で書き始めてみました。

 

で一応、ITエンジニアを生業としております。

ここ数年はSubversionTracの社内技術サポートや社内セミナーの講師をしております。(とはいえ、せいぜい「ちょっと詳しいユーザー」のスキルレベルなので大したことないです。)

 

一番得意な技術分野はWindowsServerと仮想化(VMware系)でしょうか。

プログラミングは大昔にCやらC#やらVB(.net含む)を1年ほどやった程度で

最近はbatしか書いてないです。

 

そんな具合で少々残念なかんじではありますが、普段、googleで技術情報を調べる際に個人ブログの情報にお世話になることが多々ありましたので、ここで何かの恩返し(有益な情報の発信・提供)が出来れば幸いです。

 

長く続けられるといいな。。。

 

それでは、よろしくお願いします。