ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2005-06-30 もうぐったりですわ

どうやら昨日は同じプロジェクトに従事している同じ会社の人がタクシー帰りをしたらしいorz。多分、うまくリソース配分していたら必要がなかったように思えるので、非常にモチベーションが下がるのですが・・・

他人のこととはいえ、こういうのばっかりなので全くやる気が起こりません(いつもそうだろと言うツッコミはあるけどf^^;)。ちゅうかいい加減プロジェクト管理してくださいお願いします。あなた達の主な仕事は実務をやることじゃありませんから。それに大変だとか言いながら妙にうれしそうなのはいい加減にしてください。それって、仕事をしてる気になってる自分に酔ってるだけの只の自慰行為ですからorz

ああ、もう愚痴しか出てこないorz

それとも、車とタイマン張ったら楽になれるかなぁ(笑)

[]アデコ不正アクセスSQLインジェクションで約6万人の個人情報が流出 アデコの不正アクセス,SQLインジェクションで約6万人の個人情報が流出を含むブックマーク アデコの不正アクセス,SQLインジェクションで約6万人の個人情報が流出のブックマークコメント

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20050629/163544/

うーむまたか。発注側が受注側にセキュリティ要件を伝えてなかったのかな?というか発注側からすればセキュアなことなんて当たり前と思っていて気にもとめなかったのが事実かもしれないな。建築の場合、普通発注側は消防法とか、災害対策とか考えてねって言わないよね?でも、なぜかITの場合そういうのをいちいち発注側が指摘しないと受注側に指摘しないといけないような感じがするのは気のせいですか?これって変じゃないかな?

まあ、発注側は自衛のためにこういったセキュリティ対策をやってくれという基準があったほうがいいのかもしれないなぁ。

vulcainvulcain 2005/07/01 02:35 RFPに書かれてるセキュリティ対策ってかなり「?」な所も多いですからねぇ。
あると重宝しそうですよね>セキュリティ対策の基準

トラックバック - http://d.hatena.ne.jp/ikepyon/20050630

2005-06-29 出社拒否していいですか?(Y/y)

もうやってられませんわ、今のお仕事。ということで、また精神的に欝っぽくなってきた今日この頃。えーい毒を吐きまくりたいなぁ。

でも、翻訳プロジェクト勉強プロジェクトはがんばろう^^。こっちはやってて楽しいし。

お仕事 お仕事を含むブックマーク お仕事のブックマークコメント

なんとなくだけど、1週間以上毎日2時間以上の残業をしなくてはならないプロジェクトマネジメントがうまく出来ていない状態になりつつあるのでは?と思う。そしてそれが1ヶ月以上続いているのであればきっとマネジメントの失敗なのはほぼ100%なのではないかと思う。前は残業している本人がサボってるからとも思っていたけど、それを見抜けない管理者の問題なのではないかと今は考えるようになった。サボる人の処理能力も合わせて管理するのが管理者の腕の見せ所かなと思う。

じゃ、自分がそんなことできるか?というと疑問だけど。

しかし、残業している人が仕事できる人という考えには全く同意できないんですが。残業している=仕事の効率が悪いということなので仕事が出来ない人だと思うんだけどね。どうも、精神論でがんばりゃいいんだと言う人が多くて非常に鬱になるのですけど。残業代と言う仕組み自体おかしいと思うんだけどなぁ。

あっもちろん、これは通常業務の話であって、トラブル発生時等の突発的に負荷が高くなるのはありだと思う。そのときは自体が収拾するまで残業しないといけない(つうか、そんな場合に山ほど作業があるのにしないというのはありえん)とは思うけど、通常業務で残業ってのはおかしいんじゃないのかな?

まーまー 2005/06/29 22:06 吐いちゃえ♪吐いちゃえ♪<毒(ぉぃ

ikepyonikepyon 2005/06/29 23:43 別のところに書いて毒はいちゃいましたw
まだまだ吐き足りませんがorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20050629

2005-06-26 セキュそば

ということで、帰ってきました。参加された皆さんお疲れ様でした。

話は面白く、そばもうまうまで、大満足でした。

全くネタを披露するつもりがなかったのにいきなりまっちゃ勉強会のネタを再度やることになろうとは思ってもみませんでした^^;。2回もくだらないネタを聞かされた人すみませんm(_ _)m。次参加するときは別のネタを仕込んでおきます。

しかし、当初のテーマ教育がなくて真っ■なネタばかりだったのはなぜでしょう(w。私のネタ教育部分はしっかり飛ばしましたし^^;。

惜しむらくは眠くて夜の部のネタを聞き逃したことです。次回はしっかり睡眠をとって望みたいと思います。

幹事のmiemさん、副幹事のmiyay3さんありがとうございました。

[]第21回 NT-Committee2関東勉強第21回 NT-Committee2関東勉強会を含むブックマーク 第21回 NT-Committee2関東勉強会のブックマークコメント

http://dac.lolipop.jp/blog/archives/000321.html

DACさんがまとめてくださったものをみるとかなり面白そう。そばの話もまとめてみたいけど、黒すぎてちょっと無理です^^;。蕎麦の話としては情報漏えいの対策をきちんとしたければ、あらゆる私物の持込は禁止しましょうと言うことで^^。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050626

2005-06-25 セキュそば このエントリーを含むブックマーク このエントリーのブックマークコメント

というとこで車で移動中。どうやら昼には着きそう。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050625

2005-06-24 もうだめっぽい

なにかとダメになりつつある今日この頃。なんかまた、鬱になりかけている。いかんなぁ。

明日はセキュそばだし気晴らしになると良いけど。

勉強勉強会を含むブックマーク 勉強会のブックマークコメント

9月の上旬あたりで1回やりたいなぁと画策中。テーマは昨日書いたような「発注時に検討しておくセキュリティ」ということで議論メインで何かチェックポイントのようなものを出せたらなぁと思ってます。さぁ場所探ししないと。

しかし、人集まるのかなぁ?それが一番の不安材料だったり。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050624

2005-06-23 あつ〜い

いやあ恋に落ちたら面白い^^;。「セキュリティレベルの低いものは今でもいっぱいある」By 高柳社長。まあ事実なんだけどねぇ。それを言っちゃあおしまいでしょ。他がセキュリティ低いからうちもと言うのはだめでしょ?そういうもんじゃないと思うんだけどね。ドラマでも思い直したみたいだし^^。

[][]ウェブサイトセキュリティ対策の再確認を 〜脆弱性対策のチェックポイントウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜を含むブックマーク ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜のブックマークコメント

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

なかなかよさげ。開発者はこういったことを考えてほしいなぁ。あとは発注時のチェックポイントが欲しいなぁ。

勉強勉強会を含むブックマーク 勉強会のブックマークコメント

ということで、発注時のセキュリティ考慮事項みたいなことでやってみたいなぁ。で、みんなで、どういったことが必要か意見を出し合うの。

それをまとめてどっかに公開。結構面白いことが出来るんじゃないかと思うのだけど、どうだろう?

トラックバック - http://d.hatena.ne.jp/ikepyon/20050623

2005-06-22 ぐう このエントリーを含むブックマーク このエントリーのブックマークコメント

最近ギネスにはまってる。うまい酒と肴はいいなぁ。

一度ここに行って見たい。

http://www.inishmore.jp/

iwaimiwaim 2005/06/24 01:09 キルケニーもなかなかいいですよ。

ikepyonikepyon 2005/06/24 19:56 キルケニー飲んだこと無いです。飲んでみたいですねぇ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050622

2005-06-21 ねむねむ

昨日からずっとおねむです。ボーっとしている時間が長すぎorz

ネタ ネタを含むブックマーク ネタのブックマークコメント

葉っぱさんに振られてしまったので、書いてみる。

  • Total volume of choff on my desk (引き出しに隠してある食べ物の総量)

引き出し自体今の場所にはありませんが何か?

  • Choff eating right now (今食べてるもの)

どっかのピザ

  • The last lunch I eaten (今日の昼飯)

シュウマイと麻婆豆腐でした。

  • Five lunches I eaten to a lot, or that mean a lot to me (よく食べる、または特別な思い入れのある昼飯)

サンドイッチラーメン蕎麦、さばの味噌煮、寿司

えっと書かなきゃダメですか?

[]Musical Baton Musical Batonを含むブックマーク Musical Batonのブックマークコメント

なんでか、id:vulcainさんから振られてしまいました^^;。基本的に私は静かな曲が好きなのです。

    • 344MB
  • Song playing right now (今聞いている曲)
  • The last CD I bought (最後に買ったCD)

って見てるかな?

vulcainvulcain 2005/06/21 23:46 すみません振りましたm(__)m
あと、想像どおりでした>静かな曲

ikepyonikepyon 2005/06/21 23:48 いえいえ。面白いので問題なしです(^^)V。
でも、想像どおりだったのですか、はずせばよかったw

azurestoneazurestone 2005/06/22 06:57 書きましたよぉ〜

hikitahikita 2005/06/22 09:08 mixiでもまわってきましたよ・・・
それのコピーでいいですかね?^^

ikepyonikepyon 2005/06/24 19:58 いいのではないでしょうか>hikitaさん

トラックバック - http://d.hatena.ne.jp/ikepyon/20050621

2005-06-18 あつっ

今日は友人にブツを手渡すために車で後楽園まで出かけた。単に一月ぐらい乗ってなかったからなんだが。

[]セミナー取りまとめ セミナー取りまとめを含むブックマーク セミナー取りまとめのブックマークコメント

ということで昨日聞いてきたセミナーについてまとめてみる。まあ、南下の足しにはなるだろう。

昨日のセミナーISMS個人情報保護関係のものだった。

とりあえず個人情報保護についてから。

4月の個人情報保護法完全施行後、個人情報を漏えいした企業100社について統計を取ったところ、プレスリリースのみ出した企業が75社、Web+プレスリリースを出した企業が20社、Webのみが1社で、社告を出したものはなかったらしい(あれ?数が合わん^^;聞き間違えたか?)。まあいずれにせよ、高々2ヵ月半程度でこれほど出てくるとは如何に問題が多かったことやら^^;。また、委託先の企業が委託元に断りなく公開しているところもあるらしい。こりゃ委託元は困るよなぁ。いや別に隠せと言ってるわけではなく、委託元がこういったことはコントロールしたほうが良いのでは?と思ってしまう。

個人情報の漏えいというのは漏えいしたことがわかることが少なく、個人からの問い合わせ、脅迫が遭って初めて発覚することが多いらしい。

漏えいの原因はやっぱり内部犯行が多くて、8割以上らしい。まあこれも昔から言われてたことだし、たいしたことないのだが。

ただ、社員に会社への恨みがなくても怖い人たちから脅迫されて犯行に及ぶ人もいてしまうらしい。身に覚えのないお金を振り込まれて、それを使っちゃったりしちゃうんだって。怖いねぇ。後、面白かったのは外部犯行の場合、ターゲットの会社の名刺を作って、ゴニョゴニョ(ちょっと検閲削除w)するらしい。某所での本人確認がいい加減なので結構簡単っぽい。いやぁねぇoTL

その他、脅迫を受けた場合、それに乗っちゃ絶対駄目ってこと。一度乗っちゃうとそれがまた脅迫のネタになるそうな。

情報主体から漏えいしてるんじゃないの?ってくる場合はかな〜り事態が進んでいることがあり、社会に知られることも時間の問題らしい。一度情報漏えいが事件となると、株価が10%も下がるんだって。

個人情報が漏えいした場合、経産省商務情報政策局情報経済局にも報告が求められるが、その際には以下のもの必要とするらしい。

  • 報告者
  • 報告日
  • 連絡先
  • 事業者名
  • 発覚日
  • 事案の類型と概要
  • 流出データの媒体、項目及び件数
  • 警察届出の有無
  • 経緯
  • 2次被害
  • 本人への対応
  • 事案の公表
  • 再発防止策

特に必要以上に事案の類型をチェックするのは墓穴を掘ることになるので気をつける必要がある。また、実際に報告した内容について詳細な質問を受けるので、的確に準備をする必要がある。有事対応についてはどうやら事案を収集しているらしく、この点についても報告を求められるらしい。また、報告に虚偽があったり、期日の遅れがサボりなどであった場合厳罰に処されることがあるらしい。いつまでにこれこれをやってくださいといわれるが、自発的に「これはいつまでにやります」と言ってはいけないらしい。仮にそんなことを言って期日に間に合わないとよくないことが起こるかも。当然言われた期日に間にあわなそうな場合、即出来ませんと言うこと。まあこれは普通は当然ですね。

また、初期行動、初期報告の体制があるか、対応マニュアルはあるか、と言うことも聞かれるらしい。これらがないと個人情報管理責任者の責任と取られる。

そんなわけで、初期行動のタスクリストを作っておくのがよいかもしれない。

暇が出来たら作ってみるかな?

次にISMSについて

マネジメントシステムを構築するとなると、現場にはネガティブイメージが強い。これは以下の要因による。

こういった誤解によるものが原因らしい。

  • 継続的改善の誤解

継続的改善となると、1次関数のようにしなければならないという考えにとらわれがちだが、マネジメントシステムが要求しているのは、何らかの変化に基づき段階的に改善していくことである。したがって、何らかの契機(例えば、この間のkakaku.comの事件のようなこととか)に従って改善していけばよい。

新たにセキュリティ管理体制が作られるので、現場では責任ばっかり増えることになる。その一方で権限がなかったり、暇がなくなってしまうので現場から嫌われる。まあ、しっかり責任を与えたら、それなりの権限を同時に与えないとうまく回らないシステムになってしまう。

何でもかんでもキッチリやることはない。余りにも無駄なチェックは必要ない。その結果、処理に時間がかかりすぎてしまい報告できなくなってしまう。その結果、問題が発覚した場合などには取り返しがつかなくなったりする。

いずれにせよ、マネジメントと言うものは「うまくやること」であり、キッチリやることではない。

個人情報保護法が完全施行されてから機密性のみに目が行ってしまい、その他の可用性、完全性がずぼらになってしまっていることが多い。この結果ぐちゃぐちゃになってしまい業務が滞っているところもある。まあ、これはコンサルやったとこがそうだったような。まあ、実際には業務があってその上でセキュリティがあるはずなのに、何でもかんでもセキュリティ強化となってしまってうまく業務が回らなくなってしまう本末転倒なことがありうるので気をつけないといけないなぁと思った。

とまあ、いい加減にメモった内容を書いてみるテスト

そうそう、後思ったのは、IT技術によるセキュリティ対策と言うのはあくまで従であり主たるものはやっぱり人間系のセキュリティ対策かな?と思う。最近やれシンクライアントだ、検疫システムだ、IPSだといってベンダーは売り込もうとするけど、ほんとかよ?と思う今日この頃。こういったものは入れて終わりでなくて、あくまで人はミスするもんだからフェールセーフとして働くように導入するものだと思うのだな。ぶっちゃけ言えば、人さえしっかりミスしなければそんな無駄なものはいらんw。

ということで人への教育活動、意識改革が必要だと思う。じゃあ、どうすりゃええねん?といわれると銀の弾丸と言うのはないので地道に何度も反復して行くしかないのだろうけどねぇ。

しかし、セキュリティ製品を売ってる会社の人間がそんなものいらねって言っていいのか?(w

h-fujitah-fujita 2005/06/24 10:56 で、、、その「人の面のセキュリティ」だけど、、60年かけて、、日本社会って、、そこを破壊してきましたね、、、最近、そう思います。

ikepyonikepyon 2005/06/24 20:06 確かに無くなってきたと言うのはあるかもしれませんね。「やれるから、やっちゃう」ではなく「やれるんだけど、やらない」みたいなのが日本にはもともとあったのかな?と思ったり。それが無くなってきたというのであれば、人が多くなりすぎてしっちゃかめっちゃかになったせいかなと思います。意図的に破壊してきたんじゃないと思いたいです。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050618

2005-06-17 今日は午後からセミナー

そろそろ出ないと。でも、お昼ご飯が食べられるかびみょ〜

一応食べられました。いろいろ面白いこと聞けたので明日か明後日にでもまとめてみる予定。

セミナー後、かいさの人に誘われて茶道部に誘われて参加してみた。面白かったっす。さんくー>かいさの人。いやぁ、日本文化っていいねぇ。

いかん、いろいろ手を出しすぎで収拾がつかなくなりつつある^^;。

うーん。

勉強勉強会を含むブックマーク 勉強会のブックマークコメント

なんかまっちゃ445目覚ましツアーなんてものが企画されてるんですが・・・。本格的に勉強会やれということか^^。

[][]AppSec DC 2005 AppSec DC 2005を含むブックマーク AppSec DC 2005のブックマークコメント

http://www.owasp.org/conferences/appsec2005dc.html

行きたいけど、アメリカは無理だ〜TT

日本でもこういうのやらないかなぁ。

超私信w(わかる人いるのか?) 超私信w(わかる人いるのか?)を含むブックマーク 超私信w(わかる人いるのか?)のブックマークコメント

どうやら、前いた会社で、とんでもないことをはじめたらしい。まあ、かの人があれの事実を知ってぶち上げたんだろうけど、やりそうな人だったし。中の人ご愁傷様です(-人-)。というかそれ以前にそういうことできる人を大量入荷したのか?それに、方法は確立したのか?とはいえ、未だにいたころの人が残っているか微妙だし、聞くに聞けない^^;。

ということで、このページを見ていて、未だ中にいる人内容知ってたら教えてください。なんか、いいことあるかもですw。

って、昔の上司がここ見てると嫌だなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050617

2005-06-16 しとしと

梅雨だなぁ。でもちょっと寒いけど

[][]第14回 Webアプリケーションセキュリティ常識 (1/4) 第14回 Webアプリケーションセキュリティの常識 (1/4)を含むブックマーク 第14回 Webアプリケーションセキュリティの常識 (1/4)のブックマークコメント

http://www.itmedia.co.jp/enterprise/articles/0506/16/news030.html

うーー、勉強会の資料でわざと隠したことがすべてすっかりまるっと出てるよoTL意味なかったかなぁ?まあ、いいか変な問題抱え込まなくていいし。

とまあ内容はごくごく当たり前のこと。勉強会で話した仕様のツールがあればかな〜り精度が上がると思うんだな。もともとツール作るための資料としてまとめたものだし。

しかし、最近いろいろ手を出しすぎだ^^;。ほんとできるかなぁ?

まーまー 2005/06/17 09:29 私も書いちゃって(Webで公開しちゃって)いいの?という気がしました・・・。

ikepyonikepyon 2005/06/17 10:24 具体的過ぎますもんね、アレは。どこでも試す人が出るに10カノッサ(って知らない人がいたんだよなぁ、カノッサの屈辱)。

h-fujitah-fujita 2005/06/17 14:36 うーん でてますねぇ。 でも 、わかるひとならわかるわけで、 でも、どこでも試すひとが出てきそうって懸念はわかるです。ただ、手動でへこへこやってる側からすると、「ほんとにできるかどうか」ってのは、それなりに手間ではあるので、すぐに「ぎゃ〜」とかいうことはすくないかなぁ、、とおもってます。ただ「やるやつはやる」でしょうが、、そういう人は別ルートで勉強するとも思います。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050616

2005-06-15 じとじと

なんかちょっと寒いかも

2005-06-14 いつものことながら

眠すぎですorz

[]絵で見るセキュアプログラミング 絵で見るセキュアプログラミングを含むブックマーク 絵で見るセキュアプログラミングのブックマークコメント

前々からの構想があったのをとりあえずサンプルで作ってみた。

どんなもんかなぁ?

http://www.geocities.jp/ikepy0n/SP05-001.html

広告が出るのでgeocitiesは避けたほうが良いかな?自宅サーバーにおこうかなぁ。

iwmtiwmt 2005/06/14 12:53 見ました〜。広告ちょっと邪魔ですね。
「攻撃されると、どんな事が行われますか?」がちょっとわかりにくいような・・・

ikepyonikepyon 2005/06/14 13:03 やっぱりそうですか^^;。とりあえず作ってみた程度なので、もうちょっといじくってみます。

ripjyrripjyr 2005/06/14 13:06 なーがにお願いしてみては?

まーまー 2005/06/14 13:14 CSS抜きなので位置関係が微妙ですが、あそこのかなーw。
サーバはとりあえずGeoでも良いのでは?(内容が内容なので)
お絵描きをお手伝いしても良いのですが(というか会社Web作ってるし)、時間的余裕があれば・・の条件付ですw。

ikepyonikepyon 2005/06/14 13:41 元HTMLはHapper Japanです(w。もうちょっとアイデア考えてから本職に頼もうかとw。しかし、DIAとGIMPの使い方が今ひとつわかりません。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050614

2005-06-13 ねむねむ

うーーー、暑い通勤時間1時間半のうち半分くらいの徒歩が辛くなってきた。雨が降るともっとやになるなぁ。

[][]趣味と実益のWebアプリケーション検査 趣味と実益のWebアプリケーション検査を含むブックマーク 趣味と実益のWebアプリケーション検査のブックマークコメント

http://matcha139.hiemalis.org/~isamik/doc/WebApliSec.pdf

ということで6/4に講師をやったまっちゃ139勉強会の資料が公開された。まあ、へぼへぼなので役に立つかどうかはなはだ疑問だけど、ちょっとでも役に立ってくれれば幸い。

資料には何も書いてないけど、改変、利用、パクリに何の制限もつけないのでいろいろ使ってもらえたらうれしいなぁ。

他の方の資料も役に立つので、リンク

http://matcha139.hiemalis.org/~isamik/document.html

2005-06-12 ぐぅ

昨日、今日は一日うちでゴロゴロしてた。しかし、暑くなってきたなぁ。

[]ゆがめられる情報セキュリティ対策 ゆがめられる情報セキュリティ対策を含むブックマーク ゆがめられる情報セキュリティ対策のブックマークコメント

http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/06/post_5698.html

全くそのとおりだけど、情報セキュリティ対策に限ったことではないと思う。

何が問題なのかなぁ。専門家が用意できないというのはあるけどねぇ。ただ、提供するIT技術者の姿勢にも問題があるような。お客さんが何を本当に望んでいるかということを見極めずに自社の技術、製品を提案するというのがありすぎのような。

自社の製品、技術を提供する前に、他社の競合製品や技術を念入りに調査して、それぞれの長所短所を見極めるということが必要なのではないかなぁ。で、場合によっては他社の競合製品を提案するといった姿勢が技術者には必要なのでは?多分、短期的にはあまり儲からないけど、長期的にはお客さんから信頼を得られて別の仕事をもらえる可能性が高くなると思うんだけどなぁ。

というかこういうことをやらないと、物の値段はどんどん下がっているので結構つらいと思うんだけど。まあ、今の会社がそれをやってるかというとはなはだ疑問だけどね。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050612

2005-06-11 ちょっと調べてみた

勉強会 勉強会を含むブックマーク 勉強会のブックマークコメント

ということで、プロジェクターについて調べてみた。

http://www.apex106.com/html/projector/pro/index.html

http://www.digi-pla.net/pro/index.html

http://www.00tdsc.jp/projector.html

まあ、1泊2日で1万ちょっとっぽい。これに加えて会議室が安くて1日5000円ってところ?まあ、一回当たり2万ちょっとあればOKっぽい。

まあ、一回の定員は30人と考えているのでこの程度だったら全然問題なしかな?

ripjyrripjyr 2005/06/13 04:56 会場のプロジェクターって選択肢もありかなぁ・・・
漏れの場合は、会社から借りてきていますが・・・

ikepyonikepyon 2005/06/13 10:04 会場のプロジェクターと言うのもありですが、ないところもありますので。
会社から借りるのはちょっと難しそうです。アドミソにそういう人がいれば別ですけど。

ripjyrripjyr 2005/06/17 14:42 そそ、色々入用なので、1万も飛ぶと交通費補助が・・・・
参加者にプロジェクター持って来れないか確認したら?
しゃっちょさんとか、持ってるよ>プロジェクタ

ikepyonikepyon 2005/06/18 00:02 レンタルは最終手段ですね。その前にアドミソや参加者に持ってこれる人がいないか聞いてみます。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050611

2005-06-10 どうするか

勉強勉強会を含むブックマーク 勉強会のブックマークコメント

ということで、いろいろ出てきているみたいなので本気になって考えるかな。

まずは方向性ということで。

いまあるセキュリティ関連の勉強会というとどちらかというとシステム管理運用屋さん系が多いのかなと思ってる。で、意外とないのが構築屋さん(開発者ネットワーク構築する人ね)系のもの(まっちゃ139は交代で両方をやってるけど)。

構築屋さんの中で情報共有が出来ていないがために、某費用どっとこむやorzmallのような問題が発生するのかなと思う。構築屋さんがセキュリティのことを知らないおかげで運用屋さんが結構とばっちり食っているのが現実じゃないかなぁ。

ということで、構築屋さんをメインにしたセキュリティ勉強会があっても良いのではないかと思う。それに構築屋さんは実装が難しかったら「運用でカバーする」と軽々しく言うけど(自分がそうだったから)、本当は運用屋さんがそこで苦労しているのを知らないのかもしれない。だから、構築屋さんが運用屋さんのことをもっと知ってもいいと思うので、最終目標は構築も運用も出来る人を育てられるような勉強会を起こしていきたいなぁ。

で、方向性はこうなんだけど、セキュリティ関連の勉強会って問題があって、出てくる人がいつも同じなので、これも何とかしたいとも思う。本当に知ってほしい人に情報が伝わってない気がしている。やっぱり、敷居が高いのかな?

dacsdacs 2005/06/10 22:27 大したことは出来ませんが、勉強会への運営への協力参加致します。とりあえず格安公共の会議室リストを作ってみました。トラックバックを辿ってください。

ikepyonikepyon 2005/06/10 23:45 ありがとうございます。参考にさせていただきます。

hikitahikita 2005/06/11 15:46 提案、設計、構築、運用屋なので、絡めて何か資料がつくれないか模索中
プレゼンの練習にもなりますしね・・・(遠い目
読み返すと何でも屋ですな。>自分

ikepyonikepyon 2005/06/12 00:01 おっ、ではhikitaさんが第一回の勉強会の講師ということで(w

トラックバック - http://d.hatena.ne.jp/ikepyon/20050610

2005-06-09 やってみるかぁ

ということで、まずは翻訳こんにゃくからやってみようということで。賛同者多いし。まあ、私一人では出来ないので、協力してくれる方よろしくお願いします。

某所でも関東での勉強会をやる話も出てきたし、ちょっと考えてみようっと。やるとなったら、しっかり計画立ててやらないとね。

まあ、ほんとに出来るかわからないけどがんばってみようかと思う今日この頃。

勉強勉強会を含むブックマーク 勉強会のブックマークコメント

うーむ、ほんとに現実化しそうだw。ということで、ちょっと何が必要か考えてみよう。

  1. 会場
  2. 最大人数
  3. 開催日程
  4. 講師
  5. 勉強会内容
  6. お菓子、もしくは酒(笑)

ってとこかな?

会場は公民館とか使えば極力安く済むみたいだ。人数にもよるけど多ければプロジェクターとかが必要だなぁ。プロジェクターレンタルってあるのかな?まあ、民間の会議室使えばこれは用意できそうだし、こっちを使っても良いかも。

最大人数はディスカッションするなら多分30人が限界だろう。出来れば20人程度がいいのだろうけど、そうすると初めてさんはつらいだろうし。

開催日程は今からだと、10月ぐらいがいいのかも。8月28日にやるというのも面白いかもしれないけど、準備が出来るか微妙だし。

講師は一回目ということで、私か知り合いに頼むのがいいのかなぁ。知り合いねぇ。やってくれそうな人・・・うーん。

勉強会の内容はまあ、開発系のセキュリティが面白いかな?今のところボランティアではないし。これを中心に運用とか広げていくのが面白いかも。

お菓子:これはまあ何とかなるでしょw。

こんなところ?まずは会場とプロジェクターを調べてみるかな?

ripjyrripjyr 2005/06/09 22:45 そんな 気負わずに ままーりと行きましょい

ikepyonikepyon 2005/06/09 22:48 あっ、全然気負うつもりはないです。ただ、自分ひとりの問題ではなくなるので、しっかり計画立ててやりたいなぁと思うわけです。

ripjyrripjyr 2005/06/09 22:51 うっ 耳が痛い……
確かに…一緒に頑張りましょう!

ikepyonikepyon 2005/06/09 23:02 はい、一緒にがんばりましょう。って、本当に出来るのか?>自分

まーまー 2005/06/09 23:18 お茶会風味のままーりさが良いなぁ(と勝手にリクエスト)。
ここのwiki、高機能で使いやすいですー。(オプションがたくさんあってタスク管理とかもできるのだ)

ikepyonikepyon 2005/06/09 23:29 甘いものは必須ですw。
でも、おいしいお菓子を売っているところを知らなかったりします。

まーまー 2005/06/09 23:41 あう。アドレス入れ忘れ。ここ→http://www.jotspot.com/
お菓子は、そりゃあもういろいろとご指導しますわ(違。

vulcainvulcain 2005/06/09 23:58 何が出来るか判りませんけどもれも手伝います〜♪

MYAMYA 2005/06/10 18:21 10月末までになんとか・・・(w;;;ご協力しまーす。

hikitahikita 2005/06/10 20:17 プロジェクタは、会社から借用できます。残ってれば
会場は、どこが安いですかねぇ

トラックバック - http://d.hatena.ne.jp/ikepyon/20050609

2005-06-08 がんばるぞぉ

この週末、講師をやって意外と面白かった。なんかいきなり人の輪が広がった気がする。基本的に私は受身の人なのだけど、こういうのもいいなぁと思う。機会をくれたまっちゃ139スタッフには感謝してもしきれないです。ありがとうございました。

まずは、Hacknoteの和訳とかやってみたいと思う今日この頃。幸い、賛同者もいっぱいいることだし。

なんか、一度自分で企画して勉強会開くのも面白いかもなぁ。まっちゃ445開くか?(笑)

[]“白けた会議”がプロジェクト破綻に導く “白けた会議”がプロジェクトを破綻に導くを含むブックマーク “白けた会議”がプロジェクトを破綻に導くのブックマークコメント

http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050607/162269/

いやあ、今のお仕事見事にこれですorz

打ち合わせは只単に自分の仕事内容を言っているだけ。何も解決してないのですけど・・・。いい加減にしてくれないかなぁ。きっちりしきれば分担分は問題なく期間内に出来ると思うんですが。

まーまー 2005/06/09 00:50 何か出来ることがあればお手伝いしますよ〜(何のスキルもありませんがw)

ikepyonikepyon 2005/06/09 13:18 ありがとうございます。何ができるか考えてみます。
今やれるのはセキュアプログラミング系かなぁ?

ripjyrripjyr 2005/06/09 18:26 まっちゃ445現実味をおびてるし(笑
ぜひ 勉強会やって下さいね。頑張って参加しますよ
でも まっちゃって名前付けなくても(笑)

ripjyrripjyr 2005/06/09 18:27 和訳手伝いまーす

hanazukinhanazukin 2005/06/09 18:39 まっちゃ、全国、大増殖で(ぇ

ripjyrripjyr 2005/06/09 18:49 北海道も?(笑
どこでとエソカイ担当でつか?>ず♪

hanazukinhanazukin 2005/06/09 19:40 ぇぇぇぇぇ。エソカイはー関西のみ担当でー。
方向音痴なので、その他の場所は目的地にたどり着く自信ないでうす。

IkegamiIkegami 2005/06/09 20:22 酒造会館にも辿り着けなかった人ですから。→ずきん♪さめ

hanazukinhanazukin 2005/06/09 20:26 んー。土地感ない場所で、駅から徒歩10分以上はだめですねぇ。
まぁ、21な人も迷ったので、関西人が迷っても仕方ないと開き直っておこう 藁

IkegamiIkegami 2005/06/09 20:51 ぃぁ、ど〜して酒の匂いで辿り着けなかったんだろうと。

hikitahikita 2005/06/09 22:03 まっちゃ445 いきましょー^^。
私にできる事であれば、やります。

メンタル面とか、人間系のプレゼンとか書いてみたいなぁ。

ripjyrripjyr 2005/06/09 22:05 ぉーぉーーーてか、↓のリンク元が気になって気になって・・・

ikepyonikepyon 2005/06/09 22:08 これは、ACCSの事件について書いたときのリンクですね。なぜここに来たのかわかりませんがw。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050608

2005-06-05 帰還中 このエントリーを含むブックマーク このエントリーのブックマークコメント

昨日は勉強会に参加された方お疲れ様でした。

私のプレゼンはともかくディスカッションではいろいろ聞けて楽しかったです。

とはいえ昨日もちょっと書いたのだけど、やっぱり自分プレゼン下手すぎorzプレゼンの基本は人の顔見ながらしゃべらないといけないのに、画面ばっかり見すぎだし、事前準備が全然出来てなかったしorz

引き受けたとなったらきちんとしないと駄目ですな。今後も精進を続けないと。

資料はそのうち危ないところを黒塗り(wで消して公開します(多分)。あの程度であればあちこち探せばあるはずですし、問題ないでしょう。でも、自分が管理してないサイトへ仕掛けちゃ駄目ってことで。

ripjyrripjyr 2005/06/06 14:53 PDFできたらもらえますか?
こちらでまっちゃ139の方にもUPしますので(w
よろーです。

ikepyonikepyon 2005/06/07 00:02 了解です。ちょっとまとめて送ります。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050605

2005-06-04 まっちゃ139勉強会

場所:京都

時間:13時00分〜16時30分

http://d.hatena.ne.jp/ripjyr/20050604 (from id:ripjyrさんとこ)

Webアプリケーションセキュリティ検査手法についてお話します。セキュリティ検査については一年半ほど遠ざかっているのですけど、まあ、話せる範囲で話そうかと。悪用は厳禁ですが、■いこともいろいろ話すことになると思うので、聞きたい人は参加してください。学生や、U-20な人は交通費補助もあるのでどんどん参加しましょう。

それまでに作成中のWebアプリケーションセキュリティ検査自動化ツールができてたら、それも紹介したいなぁ。作れよ>自分w

ちなみに、参考図書は「Hacknotes Web Security Portable Reference (Hacknotes)(ASIN:0072227842)」です。見てのとおり洋書ですが、薄いし、簡単な英文なので高校程度の英語レベルで十分読めます。お勧めです。どこかの出版社さんが訳書出してくれないかなぁ。

移動中 移動中を含むブックマーク 移動中のブックマークコメント

というわけで朝の部に出るため移動中。結局朝までかけてデモ環境完璧にならなかったorz。やりたかったsqlインジェクションが出来なかった。まあアレで濁そう。しかし、JSPってよく分からん。

勉強勉強会を含むブックマーク 勉強会のブックマークコメント

参加された方お疲れ様でした。今回のプレゼンテーション全く訳わからなくてすみませんでした。プレゼンテーション重要性がわかっていながら、説明がへたくそで済みませんでした。今日言いたかったことは攻撃側は正常ケースよりエラーケースから情報を得ることです。全く駄目な自分がわかっただけでもよかったとします。ほんと、時間を無駄にしただけですみませんでした。

IkegamiIkegami 2005/04/12 10:31 欲しければ作るというのはいかがでしょう?

ikepyonikepyon 2005/04/12 18:00 作ってもいいんですが。問題は私の英語力と日本語力がないのでいい加減な和訳になることですorz。

h-fujitah-fujita 2005/04/14 15:32 むむっ、、作る、、ですか。やっぱりつくりましょう。(自分もてつだうけど、、やるなら、、)

ripjyrripjyr 2005/04/14 15:58 あっ、漏れも手伝うよ。

ikepyonikepyon 2005/04/14 16:02 おお、賛同者が続々とw。

IkegamiIkegami 2005/04/15 12:15 来週になれば、少し時間ができそうです。本、買わないとダメだな。

ikepyonikepyon 2005/04/15 12:55 おお、またまた、賛同者が。これはほんとに和訳作ってどこかの出版社に持ち込むかな?でも、そういうのどうすればいいのだろう?

IkegamiIkegami 2005/04/15 12:58 某MLには、いつも編集者に「〆切、〆切」と責められている人が何人かいるはづ。(笑)

まーまー 2005/04/15 13:02 ををっ!みなさんがんばれ〜。私は応援と読者になりまする(w。

IkegamiIkegami 2005/04/18 21:09 IEEEのサイトに上がっているこれと同じものなのかな?
http://www.ewh.ieee.org/r10/kerala/ paper/frontiers/Hacknotes.pdf

ikepyonikepyon 2005/04/18 21:22 中身はきちんとチェックしてませんが、同じものと思われます^^;。ただ、本のほうはリファレンスがChapter1のあとにありますけど・・・
しかしこれって著作権どうなってるんでしょう?

MOJOMOJO 2005/04/20 22:03 もうヒマだし手伝える範囲で手伝いまっせー(何できるの?)

ikepyonikepyon 2005/04/21 14:21 また増えたw。やっぱり真剣に考えるかなぁ?出版社はどこがいいのだろう?うーん。

ya_taya_ta 2005/04/22 19:44 はせがわさめが大好き(?)な「フランス書院」で(マテ

ikepyonikepyon 2005/04/22 22:27 ↑フランス書院刊のhack本って何か別の内容っぽいのですが?

えっちふじたえっちふじた 2005/04/26 08:43 ぶ。フランス書院ですか(わら。 その出版社(?) wideで有名な(というか今はとある裁判で有名?な)
S田せんせいにその存在を教えてもらいました、。。内容は、hack本になるのでしょうか? 開発本だったら、、

hanazukinhanazukin 2005/04/26 09:32 フランス書院だったら、キオスクでも扱いますねw 一躍メジャー?(違

ikepyonikepyon 2005/04/26 19:27 フランス書院刊の開発本も何か違う気が・・・。
しかし、なぜ方向がそっち方向になるのでしょう?w
でも、キオスクでHack本買う人がいるのでしょうか?

えっちふじたえっちふじた 2005/05/25 16:39 その後、、ここ、、静かですねぃ。 どうなるのだろう(わら

ikepyonikepyon 2005/05/25 20:27 わっ、ごめんなさい。精神的に参っていた
のと、根性が無いので何も出来てないです。
コードも書いてないですし。

h-fujitah-fujita 2005/05/27 10:55 うむむ、、、了解。 とすると、、自分はちょっちうごいて(ごそごそかいて??)みまっす、、。

ikepyonikepyon 2005/05/28 17:42 すみません。こちらもひと段落したらがんばってみます。

ずきんの人ずきんの人 2005/06/05 08:13 お疲れさまでしたw

MOJOMOJO 2005/06/05 08:56 もつかれさまですたー

blue-kanzakiblue-kanzaki 2005/06/05 13:02 講師ありがとうございました〜。

ikepyonikepyon 2005/06/05 16:23 お疲れ様でした。本当につたないプレゼンですみませんでした。次があればもっとがんばりたいと思います。

into_the_blueinto_the_blue 2005/06/05 17:20 お疲れ様でしたぁ。今回初めてまっちゃ139に参加させていただいたんですが、とても有意義な時間を過ごすことができ、ますますWebアプリケーションセキュリティについて勉強しようという思いが湧いてきました(w

rlyehrlyeh 2005/06/05 19:58 お疲れ様でした。

ripjyrripjyr 2005/06/06 14:52 ありがとうねぇ>勉強会の講師
  次々回は、えっちさん?!かなぁ、是非参加下さい。
  いやぁ、すごい良い内容で、よかったよぉーーー

h-fujitah-fujita 2005/06/06 17:01 えっちです。次々回、、ですか(ぉ ねたは、、どうしよう、、 Webアプリの脆弱性、、orzなパターン とか、かな?

bunbun 2005/06/06 20:04 講師お疲れさまでした。
和訳本ですか。できることはお手伝いしますよ〜。

ikepyonikepyon 2005/06/08 23:43 お手伝いお願いします。>bunさん
詳細検討しますので決まったらお知らせします。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050604

2005-06-03 移動日 このエントリーを含むブックマーク このエントリーのブックマークコメント

京都へ向けて移動中。さて指定席はとれるのか?

10時35分ぐらい京都着。なんとか指定席もとれたしよかった。しかし、AirH"使ってたけど遅いし、切れまくって使いものにならなかったorz

ripjyrripjyr 2005/06/03 21:59 を〜よろ〜です。まだデモ環境できてないよ〜

ikepyonikepyon 2005/06/03 22:22 こちらこそよろしくです.
とりあえずぜい弱性のあるらしいCGIを1個ゲットォ(w

ripjyrripjyr 2005/06/03 22:51 いま京都駅だったりする(ニアミス

ikepyonikepyon 2005/06/03 23:05 10:54米原行きに乗ったとこなのでチョーニアミス(w

ripjyrripjyr 2005/06/03 23:37 降りた電車だし・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20050603

2005-06-02 終わらんorz このエントリーを含むブックマーク このエントリーのブックマークコメント

土曜日のデモ環境が全然出来ない。どうしよう。

誰か、脆弱性のあるプログラムくれないかなぁ。と他力本願になってみるテスト(w。

ripjyrripjyr 2005/06/02 20:54 漏れもできてない〜あぁ
それにアダプター会社にわすれたし……

まーまー 2005/06/02 21:01 いいなぁ・・・まだ会社にいる@21時。簡単なCGIとかなら落ちていそうな気も。

ikepyonikepyon 2005/06/02 22:54 うーん、それがなかなか見当たらないのです(TT)。昔は笑えるくらいあったのに・・・。こんなことなら前職で見つけた脆弱性のあるコードパチッてるんだったorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20050602

2005-06-01 なんか憑かれているらしい

電車に乗ったら逆方向だったorz。なんか混んでるなぁと思ったら逆だった。すぐ気がついたから被害は小さかったけど。

はてなって、コメントの名前を変更するとログインしてても紐つかないのね。まあ、そのほうが良いけど。

[]Webmaven Webmavenを含むブックマーク Webmavenのブックマークコメント

http://www.mavensecurity.com/webmaven

どうやら、WebGoatと同じような教育ツールらしい。

[]Anatomy of the Web Application Worm Anatomy of the Web Application Wormを含むブックマーク Anatomy of the Web Application Wormのブックマークコメント

http://www.cgisecurity.com/articles/worms.shtml

Webアプリを媒介としたワームについての考察らしい。

[]mieliekoek mieliekoekを含むブックマーク mieliekoekのブックマークコメント

http://www.securityfocus.com/archive/101/257713

SQL Injectionをチェックしてくれるツールらしい。

[]【続報】OZmallへの不正アクセスの手口は「SQLインジェクション」 【続報】OZmallへの不正アクセスの手口は「SQLインジェクション」を含むブックマーク 【続報】OZmallへの不正アクセスの手口は「SQLインジェクション」のブックマークコメント

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050531/161856/

いろいろあるけど後ほど思うところを書くとしよう。

hanazukinhanazukin 2005/06/01 13:54 バスに乗ったら、逆方向だった人が居たような気が...

ya_taya_ta 2005/06/01 13:58 飛行機乗ったら逆方向よりは(マテ

まーまー 2005/06/01 14:07 高速道路で逆方向に向かった人なら知ってるなぁ(徒歩5分以内の友人)。

とくめいきぼーとくめいきぼー 2005/06/01 15:34 飛行機の逆方向ってそもそも航空券買い間違えないとありませんからw>ya_taさん
高速道路を数m逆走したやつなら知ってますがw>まーさん

トラックバック - http://d.hatena.ne.jp/ikepyon/20050601

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |