第15回セキュリティさくらさんに参加レポート

2016年7月31日 02:14:47

第15回セキュリティさくらさんに参加してきました!
 

「セキュリティさくら」さんとは

 公式サイト:https://sites.google.com/site/hackinthecafe/kumamoto
 第15回 概要 : https://atnd.org/events/78426
 
熊本で開催されている情報セキュリティ関連の勉強会。
「セキュリティの技術、仕組み」というよりも「セキュリティの目的とは」「目的のためにどのような運用をしていくべきか」というような根本的な考え方やマネジメントについてを多く考える機会を提供して下さっている勉強会、という印象です(…が大丈夫だったでしょうか?違ったらすみません)
 
また、おいしい馬刺し(任意)とスイーツを頂ける勉強会、としても名高く
某所では「一番おいしい勉強会」というキャッチコピーも見かけました。
実はこそっと前回の0.5回にも参加してきたのですが正式ナンバリングが今回は初めになります。

 

さてさて本題へ

今回のテーマはクラウドのセキュリティについて。
AWSことAmazon Web Services所属の松本照吾氏がご講演下さいました。
 
(※どのくらいまでレポートしていいのか迷ってある程度省略しています。
「書きすぎ」、「分からない」等のご指摘があればご連絡下さい。)

 

まずはクラウドセキュリティの「評価」について
クラウドサービスの利用者と、非利用者で評価が反転しており、
非利用者は使わない理由に「クラウドサービスのセキュリティへの不安」を挙げ、
利用者は使う理由に「クラウドサービスを利用することでセキュアに運用できる」という評価。
使わない理由、使う利用各々の上位に「セキュリティ」が挙げられている、ということから始まります。
 

その次に「そもそもクラウドって?」というお話。
電力の供給が自家発電から広域電力供給のように変遷していったように、
「使う分だけお金を払いましょう」という重量課金制への移行にしているようなイメージ。
クラウドのように環境の調達時間を短縮することができるようになった。
そして今まで「良し」とされていたものが無かったことになり、クラウド前提とした設計・物事の考え方がされるようになってきた。
 

とはいってもクラウドに不安も持つ人もいる。
だからこそ、認証をとってセキュリティについて大丈夫だという証明をとったり、コンプライアンスを整えている。
それに数ヶ月に1度というハイスピードで新しい機能が追加されていったりどんどんイノベーションしてるよ、とのこと。
(クラウドに関するセキュリティの問題発生の原因は8割は利用者。2割が大きく取り上げられている印象がある、というお話もありました)
 

さてさてそんなクラウド。
恩恵を受けるとともに今までの常識が変わるらしいです。
クラウド導入によって
・ ビックデータ、分析インテリジェンスが簡単に手に入る => セキュリティビックデータ。分析インテリジェンスが簡単に手に入る
・全ての社内リソースが可視化される => 全ての社内リソースが可視化される
・リソースのロギング
などなどの「今までできなかったこと」ができるようになりクラウドを利用することによって変化に応じた対応ができるように。
また多すぎる「やらないといけないこと」をクラウド側に任せることができる。
つまり「クラウドのセキュリティが心配?いやクラウドのほうが安全だよ」というレベルではなく
「クラウドだからこその変化に応じたセキュリティができるんだよ!」になってきた、ということ。
 

ではその「クラウドだからこそ」ってなんぞや?というと…
「止まっても大丈夫な仕組み」をつくること。
    今までのように「落ちないサーバ」を求めるのではなく、落ちても良いように「止まっても大丈夫な仕組み」を作りだしていくべきである。
またセキュリティは「費用対効果が求められない」ということがネックになることもあるそうですが
クラウドのセキュリティ利用でることになって「本来やるべきこと」に注力できる、「できなかったことができるようになる」セキュリティが実現できるのだよ!!という夢のあるおはなしも。
 

次はさてはて「できなかったことができるようになる」ってどんなふうにやってくの?というお話です。
そのためには2つのアプローチがあり、1つはSecurity By Design(設計の各段階への要件の組み込み)、
もう1つはDevSecOps(開発運用におけるセキュリティ評価の組み込み)。
 
Security By Designは要は設計について…ということになるのでしょうか?
クラウドにある「テンプレート」という機能を用いてネットワーク構成までも自動化できる。
これらを上手く用いて、権限や利用するサービス、環境を統一し、監査もテンプレートに対して行うことで楽にできるよ、制御もできるよ!とのこと。
あら素敵!!
これでよく分からない人が「何となく動くもの」ではなく、テンプレートを利用した「堅牢な環境」「だれもが前提を把握できる環境」「検証も簡単な環境」ができます。
ちなみにAWSはクイックスタートで複数のテンプレートを用意しているそうです。
 
もう1つのDevSecOpsは巷で話題の「DevOps」にSecurityを加えた形。
アジャイル開発したサービス対して「期待する動作を行うか」等の評価に加えて「セキュリティは問題無いか」という評価を行た上でデプロイをしていく、というイメージでしょうか?
最近増えたAWSのサービス「Amazon Inspector」ではサーバーの検証等もやってくれてセキュリティの評価も実行してくれるそうです、なんて便利!
 

最後に、クラウドはセキュリティに対し「今までできなかったこと」を提供し「変化や要求」に応じ「本当にやるべきこと」に集中できる環境をもたらすよ、
ということで結びでした。

この講演の他にもLTも6件あり、とても興味深い内容だったのですが、ちょっと今回は割愛させて頂きます。

 

感想

講師の松本さんが丁寧に分かりやすく講演して頂いた、ということが大きいのですが
「クラウドを利用することによりよりセキュアになる」という考え方はちょこちょこAWSの勉強会に参加したおかげで理解しやすかったです。
「クラウドだからできること」という響きには夢が広がりますね。
また、「リソースの可視化」という利点は目から鱗だったのですが、それは確かに大きな利点ですよね。
(管理しているサーバのIPアドレスが分からなくなる…ということとか…、その調査を何回もするとか…あり…)
お話もすごく面白く、興味深く拝聴できました。
 
欲を言えば今回はクラウドの「良い面」」ばかり紹介頂いたので「クラウドだから気にしないと行けない点」「利用者が原因により起きたトラブル」等も伺えればよかったかなとも。
質問タイムの時に聞ければよかったのですが、その時は何も思いつかず、今後悔しています。
次回こそはこういうことが内容その場で解決出来るようにしたいですね。
 
 

最後に

馬刺しは当日食べれなかったのですが美味しいスイーツはいただいてきました。
ごちそうさまでした。

PHPカンファレンス福岡2016に参加してきました。

2016年5月24日 12:43:59

先日2016年5月21日(土)に行われたPHPカンファレンス福岡に参加してきました!!

その間に九州ソフトウェアテスト勉強会さんですとか、JAWS-UG 福岡さんにも参加させていただいたのですが延ばし延ばしでレポートを書けていません。
まだ諦めてないのでそのうち作成します。(…書きます!)
 

PHPカンファレンス福岡 2016 とは

公式HP: http://phpcon.fukuoka.jp/
2016年5月21日(土)に行われたPHPの勉強会…というよりPHPに触れたい人のためのお祭りな気がしてます。
福岡での開催は昨年に続き2回目。
懇親会でお話をちらっと聞いたところ、「毎年開催する!」と決まっているものではないらしいですね。
 

セッションについて

1サイクル2セッション(30分セッション、15分セッション、15分休憩)× 5セット× 2部屋で進行。
スポンサーセッションの2つを含めると22セッションも開催されたことになります。
計算してみると凄い数!
内容は開発のノウハウに限らず、テスト、環境など様々。
見たいセッションが同時にあって、どれを聞きに行こうかとても迷いました!!
 

このセッションを見てきたよ!

スライドのまとめを作成されてますので、詳細はぜひこちらをご覧ください。
 
https://t.co/84grSYcmWf

私が参加したセッションは以下の通り。
詳しいレポートは後で追加する(…します!!)としてタイトルと登壇者のお名前(敬称略)だけ記述します。
(PHPカンファレンス福岡2016 の公式サイトより引用しております。実際に発表されたタイトルと異なるものもありますのでご注意下さい。)
 
  • 制約と上手く付き合う〈30分〉
    • 登壇者:新原 雅司 (@shin1x1)
  • Dockerで社内外向けの環境を整えた話〈15分〉
    • 登壇者:富所亮 (@hanhan1978)
  • スポンサーセッション(GMOペパボ株式会社)
  • ロリポップ!で目指す、PHPのためのセキュリティと性能要件を同時に満たすサーバホスティング技術
    • 登壇者:松本亮介 技術基盤チーム シニアプリンシパル
  • スポンサーセッション(さくらインターネット株式会社)
  • PHPerの皆さまへ!「さくらクラブ」で何か楽しいことしませんか?
    • 登壇者:油井 佑樹 広報宣伝室 コミュニティー/スタートアップ支援担当 
  • CakePHP3で学ぶAPIマネジメント〈30分〉
    • 登壇者:松村優大 (@tsubakimoto_s)
  • Go言語で実装するLinuxNameServer〈15分〉
    • 登壇者:山下 和彦 (@pyama86)
  • PHPに型推論を実装する〈30分〉
    • 登壇者:久保田 光則 (@anatoo)
  • 日本で一番PHPのシステムをテストしている手動テスターが思うところ〈15分〉
    • 登壇者:フクダリナ (@____rina____)
  • HTTPメッセージ - PHPで扱う場合の再入門〈30分〉
    • 登壇者:させざき (@sasezaki)
  • Slim3とPSR-7〈15分〉
    • 登壇者:市丸 朋史
  • WordPress REST APIが開くWordPressの未来〈30分〉
    • 登壇者:宮内 隆行 (@miya0001) 
  • CakePHP3レポート〈15分〉
    • 登壇者:伊藤 潤樹 (@Junkins_110)

ライトニングトーク〈各5分〉
  • トランスパイルという文化の話
    • 登壇者:平尾ゆうてん (@cloud10designs)
  • セキュリティは2016年も「熱男」で行こう!
    • 登壇者:Tomohiro Hanada (@decoy_service)
  • PHP関数他探訪2016
    • 登壇者:平田 哲 (@debility)
  • Codeceptionでテストしよう
    • 登壇者:野島 隆 (@nojimage)
  • Composerを活用した脆弱性ハンドリングツールのご紹介
    • 登壇者:諌山鉄平 (@tette)
  • まだ正規表現で消耗してるの?
    • 登壇者:岸田 健一郎 (@sizuhiko)
  • Perlに比べてPHPが不便(主観です)ああ…だから僕は…
    • 登壇者:石田 絢一 (@uzulla)
  • swaggerでかっこいいAPIドキュメントを作ろう
    • 登壇者:渡辺 一宏 (@kaz_29)

懇親会も参加してきました。

ご飯が美味しかったです。
去年から色んな勉強回に顔をだしたこともあって今回はお知り合いがたくさん。
のんびりと楽しく過ごさせて頂きました。
ずっとご挨拶したいと思ってた方や同小学校出身の方など、新しいご縁もありました。
この後約束があったのもあって終了直前に失礼したり、お話するのを優先してLTを見過ごしたりともったいなかったなあという反省も。
(神社駆動開発っていいですね…!)
 

総感

やっぱり知らないことってたくさんあるな、と実感できました。
インフラ周りの知識はまだまだまだまだ不足しているし、
PHPだけでもPSRについても「なんとなく」で違う認識していたり、トレイトとか知らなかったり。
こうした「知らなかったこと」に気がつけるの場があるのは本当にありがたいです。

また、今回のカンファレンスは「PHP」といってもテストだったり開発環境だったりと
多様な面から「PHP」について触れることができ、それも楽しかった。

ただ、個人的には紹介されたフレームワークがCakePHP3のみだったのが残念かな、という感想も。
前回のPHPカンファレンス福岡では独自フレームワークですとかPhalconが紹介されていたので。
でも福岡がCakePHPが強いらしい、ということですので地域色がでてきた、と考えれば悪いことでもないのかもしれませんね。
(どこどこのカンファレンスに行けばこの分野の知識は手に入るぞ~という特色もそれはそれで良いかなと)

そんなこんなでやっぱり「楽しかった!!」なPHPカンファレンス福岡2016。
参加者の皆さんお疲れ様でした!
そして懇親会では既にお疲れの様子だったスタッフの皆さん、登壇者の皆さんに感謝を!

Japan ComCamp 福岡会場に参加してきました!

2016年2月22日 22:16:54

2016年2月20日(土)に開催された「Japan ComCamp」福岡会場に参加してきました!

https://technet.microsoft.com/ja-jp/mt637807.aspx

「クラウド」、「IoT デバイス」、「セキュリティ」セッションの中、
私はセキュリティセッションに参加。すっごく楽しかったです!

セキュリティセッションの発表は以下の3つ。
  1. サイバー リスクにおけるリスク分析手法の限界を探る
  2. もしも工場がサイバー攻撃されたらどうなるか?
  3. もし一般企業の技術者がセキュリティ知識を身につけたら
  ダラダラ〜と感想を述べていきます。
 

「サイバー リスクにおけるリスク分析手法の限界を探る」

   ー greenzさん( セキュリティーさくら) ……という紹介でよかったでしょうか??
「マネジメント」ってそもそも何?というところから始まり、「マネジメントの中の1つ」としてセキュリティマネジメントを考えてきました。
セキュリティマネジメントの現状、課題、そして解決策の模索という内容。
50分という限られた時間の中、たっぷり、濃くお話を聞かせてくださいました。
(見直したらPCに残したメモが100行超えてました……。)

セキュリティの事故は人により情報漏洩がほとんどであり「人が弱点になる」「人である以上不完全である」。
だからこそフロー分析+手順書の融合で対策を行っていくべき。
けれどもその手順書も完全ではないし、まして正義でもない。
「サイバーリスク」、「セキュリティ」はあくまで組織運営の課題の1つであって、
大事なことは組織として間違いが起こりにくい仕組みを作ってリスクを管理していくか……。

改めて「マネジメント」というのが大事しなければ、という感想を持ちました。
実はgrennzさんには別の勉強会でお会いして、こういったお話も拝聴していたのですが、
今回聞いた内容はさらに濃くとても興味深かったです。
また、先日拝聴した「SaPID+」の考えとも共通することも多いように思います。
ここら辺はまたもう一度深掘りしたいです。
 

もしも工場がサイバー攻撃されたらどうなるか?

   - 松岡 正人 さん (株式会社Kaspersky Labs Japan)
実際に浄水場で起きた出来事を基に、数々のインシデントをターン制のカードゲー方式で対応していくサイバー演習でした。
これが特に楽しかった!!
その場でチームを組み、対応したのですが見事会場で1位を取ることができました!!(自慢しています)
あの時こんなことしてたよ!!とかどれだけ楽しかったかご報告したいのですが長くなりそうなのでこの記事では割愛します。
興奮を忘れないうちに詳細はぼかしてお話したいです。
それから他のチームの方がどんな感じだったか知りたい!!
 

もし一般企業の技術者がセキュリティ知識を身につけたら

   ー 田中 直人 さん (セキュリティさくら、九州IoT/M2M勉強会)
もともとは組込み系のエンジニアという田中さんのお話。
ご自身がセキュリティに興味を持ったきっかけ、昨今のセキュリティー事情、組込み危機への脅威を伝えていただきました。
自動車の車載システムのハッキング実証実験でハッキングできてしまったというのは驚きました。
その危険はあるだろうな、と思いつつも実際に「できた」と聞くとビックリします。
この記事「走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験」のこのことでしょうか?)

「IoTだったり、制御システムだったり、組込み危機の機能が肥大化したことにより開発者側のセキュリティ知識が必要となってきた。」
「専門分野じゃない、じゃなくて情報共有をすべきだ」
「企業はセキュリティベンダーを仲立ちできる人材を必要としているのではないか、専門分野にセキュリティの知識を追加しよう」
ということを説いていただきました。

私は普段WEB系の開発をしているので本来はもっとセキュリティを意識して開発すべきだと思うのですが
理解がまだまだ進んでいないんですよね。
正直どこから勉強したらいいかわからないから資格系から攻めていきたいな、とぼんやりと考えています。
セキュリティの知識の需要は実感することも多く、ちゃんと理解できるようになりたいです。

 

LT

LTってお名前出して紹介して良いものなのでしょうか?ちょっと不安なのでまとめての感想を箇条書きで
  • テストについて
    • テストやっぱりちゃんとやりたい
    • jenkinsは名前だけでちゃんと触ったことないからまず触れたい!
    • テスト書いて安心したい
    • テストに「VisualStadioTeamService」とな!
  • CHAOS ENGINEERING
    • クラウドにも影響を与える「CHAOS ENGINEERING」恐ろしや
    • 実際にやったらどんなことになるのだろう、ラズパイとかでもできるかな?
  • .NETについて
    • .NETのオープンソース化はワクワクする
    • Linuxで.NET動かしたりとか変なことしてみたい
  • 九州ソフトウェアテスト勉強会
    • テストやぱりちゃんとしたい
    • 3月2日(水) 19:00 〜
    • 3月下旬 2日間連続
  • デブサミ ≠ おデブさんがたくさんいるサミット(我が家が参加できる)
  • 開発の話ではありません
    • お、お疲れ様でした
  • アプリの話
    • 「調子乗ったらダメ、絶対」 ……私もよくあるよくある……
 

感想

楽しさが全然伝わらない内容な気がしますが、とってもワクワクして過ごしてきました!
合間にテストやAzureのお話を聞かせていただたり、
すごいなー!と思える方もたくさんいらっしゃってたくさん刺激をいただきました。
サイバー演習もご一緒していただいた方々のおかげで1位もとることができとても嬉しかったです!
(今回はお知り合いも多く参加されていて、聞きたいお話がたくさんあったのでそちらを優先してしまい
演習のチームの方を含め、初めてお会いする方とほとんどお話できなかったのは心残りです)

このような機会を頂けてとてもありがたいです。
トラブルも発生し大変だったようですが、楽しませてもらいました。(こんなところから恐縮ですが)登壇者の皆さん、運営の皆さんお疲れ様でした!

「九州ソフトウェアテスト勉強会 Vol.18」に参加してきました

2016年2月2日 22:12:09 コメント1件

今更ですが2016年1月26日(水)に(株)Fusicさんで行われた
九州ソフトウェアテスト勉強会の勉強会 Vol.18 ~SaPID問題モデリングワーク in 福岡~に参加してきました。


こちらの勉強会は初参加。
実は私の近況を知る一部の方々には「え?行ったの??来たの?」と驚かれる勉強会でちょっと参加するのはどうだろうかとも思ったのですがこっそり参加してきました。
今回は「問題解決」がテーマということで、山積みになって消化されないままの自信の問題のために、
今でも迷っている「どうするべきだったのか」に結論を出せる様に、
そして何より「これからどうしたらいいのか」という答えを見つけるために、どうしても行きたかったんです。

今回の勉強会は「SaPID®+(サピッドプラス)」という組織やプロジェクトの問題改善の手法、考え方を学びました。
SaPID+とはなんぞや?というと 

SaPID+(サピッドプラス)とは、SaPID plus(+) Trouble Modeling approachの略語です。

自律型プロセス改善手法SaPID自律運営チーム構築・変革手法である価値観・行動変容/問題モデリングアプローチ(以下、問題モデリングアプローチとします)をシームレスに連携し、導入時の負荷を最小限にしつつ自律運営を実践するチームを作り上げていく手法です。

チーム立ち上げ時、実践中などのタイミングを問わず適用することが可能です。

http://www.software-quasol.com/sapid-1/より引用

ということだそうです。

講師の方が事前に準備して下さっていた資料をダウンロードして参加。(現在もこちらのページからダウンロード可能です)
内容が事前に把握できて参加の後押しになり、また、概要が把握できて勉強会の理解も進みました。

【内容】

ペアやチームを組んでのワークを多用し、問題共有の難しさを認識しつつ、
どうすれば良いか、どうしたら改善できるかというのを学ぶ……というより意見を出し合い考えていきました。

詳細は私がごちゃごちゃいうよりも上記で紹介した事前資料を見ていただいた方が良いと思うので割愛します。
資料の中の「文章表現の原則・禁則」は人に問題を伝えるためのノウハウが記載されており、とても役に立ちそう。
印刷して意識していこう思います。(引っ越し直後でまだプリンタのスタンバイがまだできてないので近日中に……)

【感想】

ワークを行ってみて問題共有の難しさをすこぶる実感しました。
「分かるだろう、こういうことだろう」と思ったことが全然伝わりませんでした。
また皆さんも中々苦労しているようで話しの得意不得意に関わらず、万人に難しいことで、
深く考えなければ解決への答えも見つからないものなのだと実感しました。
また、ワークの中で出た「『問題を報告する』、ということと、『報告された問題を対応をしない』
ということはまた別であり、報告が無駄になろうがどうしようが問題は共有すべき」という意見には
そうだな、とハッと気付いたと共に、我が身を振り返って反省をしました。
「報告は当たり前のこと」と意識しつつも、落ち込むような結果が返るのが怖くなって、
問題の報告を数回に1回は飲み込んでしまったりしていたんですよね。
(その中に「言うべきだった」と反省したことも多々あります。それはそれとして報告し続けるべきでした。)

【反省、目標】

勉強会での発言が支離滅裂で伝わりにくかったなー、声が震えていたなーと、思い出すとちょっと恥ずかしくなります。
ちゃんとしっかりと話せるように、と至極当たり前のことを反省します。

そしてまず、文章表現の原則・禁則を意識して正しく問題を共有できるように、
また、問題を掘り下げて、因果関係をマインドマップのように整理してから解決するということ実行していきたい。
それから何より「問題共有をしていく」ということを改めて意識して問いかけていきたいと思います。

calendar

コメント