ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2005-09-30 今日もねむっ!!

[]限りなくゼロに近いダウンタイムを目指す 限りなくゼロに近いダウンタイムを目指すを含むブックマーク 限りなくゼロに近いダウンタイムを目指すのブックマークコメント

http://www.itmedia.co.jp/enterprise/articles/0509/29/news002.html

今度の仕事で使うのでメモメモ

[]メールアドレスについて メールアドレスについてを含むブックマーク メールアドレスについてのブックマークコメント

お仕事で調べたので。

http://hxxk.jp/2004/10/23/1228

http://hxxk.jp/2004/10/10/1539

うーん、「/」って使えたのか。しかし、「..」が使えないのは盲点だったな。昔話題になったのは覚えていたのだけど。

[] を含むブックマーク のブックマークコメント

某氏からお手紙が来ないと煽ってみるテスト

私月曜日は昼からいなくなるので反応できるの火曜日以降になるかもですよ。

と言ってみる。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050930

2005-09-29 ぐてぇ〜

ねむっ!!

いかん、調子乗って資料作ってたら60ページは行きそうだw。

デモも入れつつやったら絶対に1時間じゃ終わらんぞ。2時間コースだorz

結局61ページ・・・しかもまだ増やそうと思えば増やせるよw。こりゃ確実に半日コースだなぁ。

[]LDAP Injection: Are Your Web Applications Vulnerable? LDAP Injection: Are Your Web Applications Vulnerable?を含むブックマーク LDAP Injection: Are Your Web Applications Vulnerable?のブックマークコメント

http://www.spidynamics.com/whitepapers/LDAPinjection.pdf

LDAPってSQLと違って制約が大きいからアレかもなぁ。

[]第06回まっちゃ139勉強第06回まっちゃ139勉強会を含むブックマーク 第06回まっちゃ139勉強会のブックマークコメント

http://d.hatena.ne.jp/ripjyr/20051028#1127813697

うーんアプリ系かぁ。参加したいけど都合つくかなぁ。ネタ仕事で製作中なのでそれを使えんことないけどw。ま、検査系のネタ希望があればいつでもやれるようにしておこうかな。

もうちょっとこういったネタ開発者に広めてもいいと思うんだよねぇ。あるのは製品を売ろうとするセミナーばっかorz仕事でやろうとしてるのは、そんなこととは関係ない一般的な手法についてのやつなんだけど、いかんせん今回はクローズだからねぇ。オープンでやるかもしれないし、そのときは是非とも多くの人に参加してほしいなぁ。

でも、希望があれば、いつでもお話しに行くんだけどw。

そういえばえっちさん、このときに「えっちなつーる」を公開してくれるのかなぁw。わくわく^^

ya_taya_ta 2005/09/29 10:37 俺もねむっ!!

vulcainvulcain 2005/09/30 02:54 LDAP・・・タイムリーなので試そうかなぁw

ikepyonikepyon 2005/09/30 08:20 LDAPの場合、関数が違うので全件引っ張ってこれたり、全件更新とか削除しかできそうにないので余り楽しくないかも(ぉぃ

h-fujitah-fujita 2005/09/30 12:16 「えっちなつーる」ですかぁ? べつにえっちでもなんでもないんですが、、(大汗) そんな、フルフルでつくってるつーるじゃないっすぅ。 あ、それより、まじめな話で、メアドください。 れんらくは、jr9qnj「あぁっと」gmailでよろしくです

トラックバック - http://d.hatena.ne.jp/ikepyon/20050929

2005-09-28 ねみ〜

長い休みボケ睡眠パターンがすっかりズレてる。って、いつもなんだけどw

最近はまっちゃの時の資料を焼きなおしてセミナーの資料作成中。どう考えても1時間で終わりそうにない量になりつつあるんですがorz。うーん、デモとか入れたら2時間コースになりそう・・・どうっすっかなぁ。

[]どうやってセキュリティを売るか? どうやってセキュリティを売るか?を含むブックマーク どうやってセキュリティを売るか?のブックマークコメント

セキュリティ製品サポートになったからか、最近セキュリティの売り方を考えたりする。

なんとなく、危機感をあおってセキュリティ製品を売るのは結構つらいなぁと思う今日この頃。こういう売り方をするから、負の効果しかないように見えてしまうんじゃないかと。その結果、セキュリティ投資=無駄投資とみなされすのかもなぁ。

そろそろ危機感をあおって売る方法から、今まで出来なかったことがこれ使えば出来ますよぉみたいに正の効果を表に出して売る方法を考えないといけないかもなぁ。今問題になってる一つは、セキュリティを高めると手間がかかるということじゃないかなぁ?セキュリティを高いレベルに保ったまま今までと同じ手間で使えますよぉということを武器にするのがいいのかもしれない。でも、これって難しいよねぇ。

ある意味セキュリティ対策って保険だから、保険の売り方とかを参考にすればいいのかなぁ?

それ以前に、セキュリティ対策の重要性を伝えるのが必要か。そのためには、りカカクコム経済被害とかを具体的に出してみたほうがいいのかなぁ。結局影響が出たのって株価と一時的な売り上げ減だよねぇ、アレって。株価がどれほど経営に影響するのか株の勉強しないといけないなぁ。

やっぱり、法律経済勉強しないと。

TourbillonTourbillon 2005/12/19 14:29 はじめまして。
保険の売り方もそうそう変わらないと思います。
「XXになったら、これだけ出費します」とか「万が一の・・・」とかw
#差額ベッド代とかもぅ・・・
正の方向で売ることには賛成なのですが、万人に共通するものはなかなか無いですね

sen-usen-u 2006/06/05 12:19 カカクコムの不正アクセスによるサイトの一時閉鎖に係る特別損失4,100万円だったそうです。参考数値として使います。w
http://kakaku.com/info/ir_release/ir060516_1.pdf

トラックバック - http://d.hatena.ne.jp/ikepyon/20050928

2005-09-26 休み明け このエントリーを含むブックマーク このエントリーのブックマークコメント

ということで、あまりやる気が・・・orz

今日かいさの人がジンギスカンキャラメルを持っていたので生まれて初めて食してみた。言われてるほどまずくないというか普通だったんですけど・・・

味覚がおかしいのかなぁ?以前食った草履大のハンバーグの方がまずかった。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050926

2005-09-21 休みの中日 このエントリーを含むブックマーク このエントリーのブックマークコメント

今日は打ち合せのため出社。

久々のスーツで疲れた。まあエンドレスっぽい打ち合せが無くなったのはよかったけど。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050921

2005-09-19 と言うことで帰還 このエントリーを含むブックマーク このエントリーのブックマークコメント

うしくん

何度か危ない目にあいつつ(ぉぃ、無事帰還した。

なかなか面白かったけど、連休の最終日による渋滞で疲れた。21日に打ち合わせがなければ今週ずっと休みにして今日あたりから出る予定だったのに・・・

明日帰るというのもあったけど、1日はうちでのんびりしたかったので、仕方ないんだけどねぇ。

しかし、せっかく酒蔵がいっぱいある高山に行ったのに試飲もせずに見て終わりorz。次は電車で行こうかなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050919

2005-09-18 旅の途中 このエントリーを含むブックマーク このエントリーのブックマークコメント

ということで、旅に出てます。

現在飛騨高山だったりする。体力不足により、ホテルに宿泊。

昨日は戸隠で蕎麦食って、温泉入って安曇野あたりで車中泊。途中カーナビの通りに走ってたら、夜の八時に街灯のない林道を走らされて非常に怖かったorz死ぬかと思ったよw

延々走ってても虫の声しかしないわ、ヘッドライトしか光源ないわとマジで死ぬかと思った

今日は今日で白骨温泉を皮切りに3つほど温泉を堪能。おかげで体力がなくなったらしい。と言うことで予定になかったホテルに宿泊。

明日は帰還予定だけど、どうなることやら。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050918

2005-09-16 旅に出ます。探さないでください このエントリーを含むブックマーク このエントリーのブックマークコメント

と言うことで、IPアンリーチャブルになるかも。

今日から夏休みだったのだけど、一日寝てた。まぁまったりしてきますです。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050916

2005-09-15 ごそごそ このエントリーを含むブックマーク このエントリーのブックマークコメント

動き中。

まあ、いろいろあるけど何とかがんばれそう。こういうのがあるから人生楽しいのですw。

SKUF議事録も起こさないといけないし、プログラムを再開しないと、仕事もなんだかんだで面白くなりつつあるし、ふむ、落ち込んでる暇がないですがなw。

今日は一日サポート製品をHackしてたし。こういうのは好きなのね、私。

さぁーてがんばるですよ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050915

2005-09-14 ねむ〜

あう〜、ダメっぷりを今日も発揮orz

もうあきまへんわ。

しかし仕事は増えていく今日この頃orz。すごく気になる話も聞くし・・・

仕事の一つは講師の話だけど、今の精神状態でやるのはうまく出来るか激しく疑問。

[]The Six Dumbest Ideas in Computer Security The Six Dumbest Ideas in Computer Securityを含むブックマーク The Six Dumbest Ideas in Computer Securityのブックマークコメント

http://www.ranum.com/security/computer_security/editorials/dumb/

面白そうなので、暇なときに読む。このところ英語マニュアルと格闘してるから、ちょっと見たくなかったりする。あー翻訳プロジェクト進めないとorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20050914

2005-09-13 自分のダメさ加減にorz このエントリーを含むブックマーク このエントリーのブックマークコメント

なにやってもダメだ。仕事も出来ない、何も知らない、ないないづくし

あ〜もうダメだなあ

トラックバック - http://d.hatena.ne.jp/ikepyon/20050913

2005-09-12 やっぱりまずい このエントリーを含むブックマーク このエントリーのブックマークコメント

うーん、知り合いの中にいるとテンションが高いのだけど、一人になると鬱っぽいなぁ。なんとなくかいさもやめようかとも思ってしまうしorz

もう直ったかと思ったけど、直っていないらしい。

医者に行ってこないとなぁ。

まーまー 2005/09/13 11:13 バランスの崩れはすぐには治りませんよw。最低でも1ヶ月くらいは様子を見ないと。季節の変わり目は体調崩しやすいので要注意。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050912

2005-09-11 ぐ〜ぐ〜 このエントリーを含むブックマーク このエントリーのブックマークコメント

なんかこのところ休みになると3時ごろまで寝てるのですが・・・

SKUF議事録テープ起こし中。むちゃくちゃ聞き取りづらいorz

マイクを渡して発言してもらわなかったのが効いてるなぁ。

次回はマイクを回すようにしようっと。

しかし、自分の声ってこんなんだったのか。聞いてて無茶苦茶恥ずかしいのですが。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050911

2005-09-09 ねむねむ〜

[]個人情報保護法を闇雲に恐れるな(from id:ripjyrさんとこ) 個人情報保護法を闇雲に恐れるな(from id:ripjyrさんとこ)を含むブックマーク 個人情報保護法を闇雲に恐れるな(from id:ripjyrさんとこ)のブックマークコメント

http://premium.nikkeibp.co.jp/itm/int/06/

そうそう、こういうことなんだよねぇ。

[] SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス (JISA) (from yamagata21さんとこ)  SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス (JISA) (from yamagata21さんとこ)を含むブックマーク  SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス (JISA) (from yamagata21さんとこ)のブックマークコメント

http://www.jisa.or.jp/report/2004/vulhandling_guide.pdf

ご指名を受けたのでw

後でじっくり読む。

まーまー 2005/09/12 11:12 JISAの「危機管理プロセスモデル検討部会調査報告書」もご一読を。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050909

2005-09-08 やっぱだめですなぁ

昨日の手順のエントリで色々教えてもらってありがとうございます。

とはいえ、手順書に書くレベルとか、ポリシーガイドラインの違いとか良く分かってないんですよ。

特に、ポリシーガイドラインのレベルについて分かってなくて、ISMSの詳細管理策もなんかレベルがちぐはぐで気持ち悪いなぁと思ってます。

しっかり、勉強しないといけないのですが根がいい加減なので・・・

[] を含むブックマーク のブックマークコメント

http://nikkeibp.jp/sj2005/special/27/index.html

SKUFでやったネタに関係してるっぽい。こういうことが必要なんだよねぇ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050908

2005-09-07 かぜつよっ

台風一家なのか?

[]その手順書は本当に今必要ですか? その手順書は本当に今必要ですか?を含むブックマーク その手順書は本当に今必要ですか?のブックマークコメント

ISMSなんかを構築すると手順書を作りましょうという話が必ず出るんだけど、今実際に動いてる業務についての手順書ってすぐに作らなきゃならないもの?

何のために手順書を作るか?というのを考えると、抜けがないこと、間違って行わないことを防ぐためというのがあると思う。でもさぁ今現在やっている業務について初めてその業務に従事するならともかく、既にずっとやってきた人にとって手順書をみながらやるというのはほとんどないと思うのですよ。

つまり、手順書というのは初めてやることや、普段はしていないためにやり方を忘れないようにするために必要なんじゃないの?だから、既に業務をやっている人がいる場合、その業務に初めて携わる人が加わったとしても、既にやってきた人から教わればいい。そのとき手順書があったほうが抜けや間違いはなくなるし、説明しやすいだろうけど、必須というわけではないような。

そう考えると、普段あまりやらないことについてのみ手順書を先に作成すればいいのではないかと考える今日この頃。普段あまりやらないことというのは障害対応が多い(それ以外にも月1回の処理だとかね)ので、障害対応の手順書はきちんと前もって準備しておく必要があるかな。というか、障害対応は時間との勝負なので、こういったものこそ手順書が必要だと思うんだけどね。

まあ、どんな障害が起こるかわからないから作れないという話もあるけど、障害が発生したときに「誰」が「何」を「いつ」「どうする」のかという手順さえ最低限決めておけばいいのではないかなぁ。あと、復旧に必要なリストア手順とかね。

(追記)

手順書が新たに必要でない業務というのはその業務を担当している組織(当然複数人で構成されているもの)で、その手順が組織内で共有知識としてあり、その組織の多くが実施しているもの。誰かしか知らないとかあったらその部分は手順書として誰でも出来る形に残しておかないといけないのは当然。

(追記その2)

コメントとか、id:szkszkszkさんの解説でもやもやしてたのがわかった気がする。ありがとうございます。

豚のしょうが焼きをおかずにして夕食作ろうと言う業務を例にすると多分こんな感じ。この手順として以下のようなToDoリストが出来ると思う。

  1. ご飯を炊く
  2. キャベツを千切りにする
  3. 味噌汁を作る
  4. 豚のしょうが焼きを作る

で、これがISMSとかで言ってる手順書。

私が言ってる手順書というのはこんな感じ。

  1. ご飯を炊く
    1. 米びつから、1合分の米をとり、ザルに入れる
    2. 水道から水を出し、米を10回研ぐ
    3. 水を十分に切り、炊飯器に米を入れる
    4. 水を100CCはかり、炊飯器に入れる
    5. 炊飯器スイッチを入れる
  2. キャベツを千切りにする

:

こういうのは作るの大変だから、わかってるならいらないんじゃない?というのが趣旨だったりする。いや、こういうのが必要な業務もあるというのはわかるけど、多くの業務はそうじゃないんじゃない?

で、障害手順が必要と言うのはこんな感じ。

  1. ご飯を炊く場合に、米びつに米がないとすると
    1. 米を買ってくる
      1. 財布を持つ
      2. 家を出る
      3. 店に向かう
      4. 10kg米を買う
      5. 家に帰る
      6. 米びつに買ってきた米を入れる
    2. パンを準備する

:

こういうのを手順として用意しておきましょうという感じ。障害発生時は、パニックになっていらないことをする可能性が高いから事前に準備するのが必要なのかなぁと。ということで、障害対策手順を重視したいと思うのです。

でも、通常時の手順と言うのも必要なのだけど、組織内で手順が共有化されているのであれば、後からでもいいのでは?と言う感じ。

とはいえ、やっぱり、文書化してないとまずいか。

(追記その3)

えーと、手順書作らなくてもいいやというのはかなりの暴論だし、現場への負担を少なくすることが目的なのでこれをコンサルでやる気はないです。まあ、自分が現場でやることになったらってことで。めんどくさいこと嫌いですからw

[]技術者倫理 技術者倫理を含むブックマーク 技術者倫理のブックマークコメント

http://www.nuclear.jp/~madarame/rinri_note.html

リンクしてたのがどっかいったなぁと思ってたら移ってた。

[]コンピューターセンターって・・・ コンピューターセンターって・・・を含むブックマーク コンピューターセンターって・・・のブックマークコメント

これまたネタの一つw。

職場への交通機関が一つしかない場所にあるのって結構まずくない?

その交通機関が事故が起こった場合、その職場の職員の多くが一瞬でお亡くなりになったり、職場に集まれなかったりして業務が動かなくなるだろうなぁ。大体コンピューターセンターって辺鄙なところにあるから大丈夫かなぁ?こういったこと考えてるのかなぁ?

まーまー 2005/09/07 13:59 日々運用をやっているものとしては、作業は人に依存してはだめだと思います。
トラブル時の対応は日々の実務あってこそなので、どちらも同じように重要だと思いますよ。日常を軽くみると、痛い目にあいます。

ikepyonikepyon 2005/09/07 14:11 作業は人に依存していては当然いけないです。
でも、既に回っているなら今ある手順書でいいよねということです。それはメモかもしれませんし、議事録という形かも知れません。そういったものから新しく手順書という形に起こしなおす必要はないでしょ、後からでもいいんじゃない?というのが趣旨です。どうも、ISMSの手順書というと新たに作らなきゃという意識が出てくるので。

ikepyonikepyon 2005/09/07 14:25 あーあと、日記で言っている手順書は見て、この通りにさえやれば何も知らない人でも出来るものというの(全く考える必要が無いもの)を言っています。最終的にそういうものを作らないとレベルの統一は出来ないから。

ripjyrripjyr 2005/09/07 18:10 ISMSとか規格の手順書って、操作マニュアルじゃないんですよね。
実際にこのように業務を進めます・・って内容の手順であって
実際にどう、操作するかじゃないんですよね。

って意味では、ISMSの手順ってJNSAのセキュリティポリシーサンプルに近い
んですよねーーー

ikepyonikepyon 2005/09/07 19:52 うーん、なんか混乱してきた。
手順書というと実際にどう操作するかというHowを記述したイメージが強いんですよねぇ。これを作るのは超大変。でも、作ろうとするから反発がある。じゃ、業務が回ってるならそこまで作るのやめれば?ってことで。いや、システム運用みたいに必要なところもありますが・・・

szkszkszkszkszkszk 2005/09/07 20:41 その業務プロセスの重要性と、想定されるリスクをかんがみて、手順書の作成要否を決めるとよいと思います。
たとえば10円の被害しかおきないシステム障害を防ぐために100円かけて手順書作るのもちょいとヘンな話なので。

ripjyrripjyr 2005/09/08 13:11 うーん、多分いけぴょんさんの言ってるのは、コンテンジェンシープランと、それに
関係する、手順+操作マニュアルですよね。
コンテンジェンシープランの場合は、きちんと優先順位、影響度とかを
出した上で、判断して手順をつくると思いますので、szkszkszkさんの言われてる
10円の被害で、100円かけるってのが防げると思います。
1億円の被害が100年に一度起こるものに手順を作るかは、経営者の判断でしょうね。
結局は、ISMSとかで言われている手順=業務フロー+しくみですね。
そして、ISMSでは問われない操作手順は、内部文書としての手順ですね。
それが、偶然コンテンジェンシープランの作業手順として使えるかも知れませんが。

ikepyonikepyon 2005/09/08 15:45 うーん、どんどん理解が怪しくなってくる^^;
ISMSで言われている手順は業務フローとその確認の仕組みですよね?これが必要というのはOKです。これは業務が回っているなら多くの場合あるのでは?ということで。
で、手順というとなんとなく操作手順書まで要求されるように感じるから反発がでるんじゃ?ということです。
あーやっぱり、あんまりきちんと理解してないや、私orz。

まーまー 2005/09/08 15:50 その「あるのでは?」の部分が、実はないことが多いですよ〜。

ikepyonikepyon 2005/09/08 15:55 あう〜〜、やっぱり・・・・
じゃ、引継ぎとかどうしてるのって話につながってしまうんですけど。
ないから作るしかとなるのかorz
業務フローって一種の抽象化だから慣れてない人はどうすればいいのか困るだろうし・・・
結局コンサルの出番となるのかなぁ?

edyedy 2005/09/08 18:35 JNSAのサンプルポリシーは責任が・・・

まーまー 2005/09/09 09:08 引継ぎをどうするか、というと、数日間の間に、前任者の作業をメモしながらトレースして覚えるとか、前任者が気を利かせて非公式マニュアル化する、かな。
業務フローとか、きちんとした考え方ではなくて、前任者と同じ作業をこなす、的な感じが近いかなぁ(公式なマニュアルがあったとしても)。で、審査とか(ISMSでもISOでもPでも)で、あれが必要、これが必要といわれて、慌てるところが多いんじゃないかと。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050907

2005-09-06 なんだかなぁ

なんか本業をやる気しませんorz

と思ったら、なんか面白いことがやれそうな予感。まあ、サポートオンリーよりは楽しめそう。

[]財務報告に係る内部統制の評価及び監査の基準 財務報告に係る内部統制の評価及び監査の基準を含むブックマーク 財務報告に係る内部統制の評価及び監査の基準のブックマークコメント

http://www.fsa.go.jp/news/newsj/17/singi/f-20050713-2/01.pdf

いろいろセキュリティに関して知れば知るほど法律勉強しなきゃという思いが強くなる。こりゃまともに学校通って勉強するか?いろんなことを知らないといけないなぁと思う今日この頃。

[]ふと思った疑問 ふと思った疑問を含むブックマーク ふと思った疑問のブックマークコメント

パッケージソフトベンダーセキュリティホールが発見された場合無償でパッチを提供してくれる。でも、組織独自のアプリケーションを開発するソフトハウス(もう死語か?)は自分とこが作りこんだバグによるセキュリティホールの修正もただでやってくれなかったりorz。いやまあ、作りきりの開発の場合お金が出てこないからと理由は分かるんだけど、使う側からすれば、ひどい話しだなぁと思ったり。

[]一応ネタということで 一応ネタということでを含むブックマーク 一応ネタということでのブックマークコメント

しかし、障害対応規定に報告先はあるけど、報告ルートがないのって普通ですか?報告ルートがまずありきだと思ってたのだが・・・

というか、何はともあれ報告ルートを整備するのがセキュリティ対策に必要でないかい?

[]技術者以外のためのコンピュータのお勉強 技術者以外のためのコンピュータのお勉強を含むブックマーク 技術者以外のためのコンピュータのお勉強のブックマークコメント

すみません、私は基本我流なので、効率的な学習方法を教えることが出来ませんm(_ _)m

キッチリ勉強するのであれば、プログラム勉強ネットワーク勉強はしておいたほうがいいと思う。

コンピュータの仕組みを理解するにはアセンブラがいいけど、これはあまり現実的でないので、Cあたりがいいかも。ポインタの考え方はメモリのことを知れるし、それ以外はどの言語でもそうたいした違いはないし(オブジェクト指向はいきなりは難しいと思う)、いいと思う。ただ、プログラムを組みたいと言うのであれば最初にCを覚えるのは勧めないけど。

ネットワークTCP/IPの話が理解できればそれで問題ないんじゃないかなぁ。

h-fujitah-fujita 2005/09/06 11:50 やっぱりみなさんそういう方向になるのでしょうか?
セキュリティ->法律 という流れに、、、
とすると、、うーん どういう風に向かっていこう。自分は。
(Step0はクリアして、Step1へ向かって勉強中、、、法律系の人、といえるだけの知識はないが、、、)

ikepyonikepyon 2005/09/06 11:57 うーん、どうなんでしょ?
セキュリティ->法律 という流れ以外に セキュリティ->教育 という流れもある気はします。ただ、法律への流れは法律を知らないとなんともならないことが多すぎるので・・・

h-fujitah-fujita 2005/09/06 12:15 そうですね。セキュリティ->教育、というのも流れとしてはありますね。あと、それ以外にも個人的な不安からこの業界(コンピュータセキュリティ系)を離れた職種をちょっと模索している、というのもあります。なぜか、あまりいい話を聞かない業種というのは、なにかすごい問題のあるような気がしてるので。

まーまー 2005/09/06 15:33 セキュリティだけでなく、インフラ運用側というか通信事業者(xSPとか)は、特に全般的な法律知識が必要です。(必要部分だけ拾い読みも結構大変)
法学系のカリキュラムも見たけれど、追いつかないです。

szkszkszkszkszkszk 2005/09/06 18:08 隣の芝生は青いのかも(;;)
ぼくは”法律→内部統制→実装としての技術”ということで技術の知識がすごい必要だーと焦っているのですが、やっぱり一朝一夕ではとても身につくものでは無いのでどうしたもんかと頭抱えております。

ikepyonikepyon 2005/09/06 18:19 多分両方必要なのだと思います。
で、IT業界の片隅で生きてきた私は法律面が弱いから法律が重要だと思うし、szkszkszkさんは法律が強いから技術が必要だと痛感するのでは無いでしょうか。
法律と技術と教育はセキュリティにとっての3本足なのでしょう、きっと。どれが一つかけてもうまくたたないみたいな感じで。

h-fujitah-fujita 2005/09/06 20:19 ふむ>両方必要。 とするならば、それぞれの分野でバランスよく知識を吸収し、それを使っていくということがより重要なんですね。 うーーーーん。 僕は、どちらも弱いのでどちらも必要であるkとを痛感しています。

ikepyonikepyon 2005/09/06 21:13 ぁぅぁぅ、私も技術もまだまだです>えっちさん
だから両方必要ですが、法律の知識は0なのでバランス取るために必要と。
あと、技術だけ、法律だけという分野もありだと思いますが、すごい人がそういう分野には多いので、その人たちには勝てないので両方の話が出来ないとつらいかなぁと。

vulcainvulcain 2005/09/07 00:06 つまり掘るのですか?w>ポリシー

ikepyonikepyon 2005/09/07 00:13 ポリシーは掘りませんよ〜
掘りたいんですがw

szkszkszkszkszkszk 2005/09/07 20:49 ありがとーございます!
プログラミングって途方にくれそうです。昔JavaとOracleで2ch型掲示板を作ったことがありましたが、嫌になりました(´・ω・`)

トラックバック - http://d.hatena.ne.jp/ikepyon/20050906

2005-09-05 なんかだるい

アー気がついたらGmailのインバイト権が100になってる。

どないして使えっちゅうねんw

土曜のSKUFをやってみて思ったんだが、私結構話好きなのかも。なんだかんだで結構話してたし。うーん、結構口下手で話すの好きじゃないと思ってたんだが意外だなぁ。実際二人っきりになると聞き手に回ることが多いけど、何人かいると意外としゃべる人らしい。しかも、人に物を教えることも好きらしいしw。

こうなると今の仕事あんまりあってないかもなぁ。うーん、本当にFA宣言してみる?

[][] を含むブックマーク のブックマークコメント

忘れないうちにメモメモ。9/3のSKUFで気になった話しがあったので。

実際にセキュリティ設計を行った人の話で、2ヶ月もセキュリティ設計にかかったらしい^^;。そういえば中央大学の講座でもPP作成に2ヶ月ぐらいで出来るから簡単ですといわれたなあ。でも、昨今のWebアプリ開発現場で2ヶ月も設計にかかっていたらかかりすぎですorz。何かテンプレートを作って数日(かかっても1週間)で出来るようにしないと広まらんなこれは。

[]電子政府のPP 電子政府のPPを含むブックマーク 電子政府のPPのブックマークコメント

http://www.ipa.go.jp/security/fy13/evalu/pp_st/pp_st.html

ざっとしか見てないけどこれ1から作るの大変そう。やっぱこういうの作るの2ヶ月はかかるよなぁ。

[]事業継続計画 事業継続計画を含むブックマーク 事業継続計画のブックマークコメント

http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf

とりあえず暇なときに読む

id:szkszkszkさんに教えてもらった。

http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf

http://www.pas56.com/

これも読んでみよう。

でも、この手の仕事もうなさそうなんだよなぁorz。この手のコンサルとかやりたいのにTT。

FA宣言本格的にしようかなぁ。

szkszkszkszkszkszk 2005/09/05 19:41 経済産業省の事業継続ガイドラインも読むと吉ですよ。
http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf

ikepyonikepyon 2005/09/05 21:25 ありがとうございます。こちらも読んでみます。

szkszkszkszkszkszk 2005/09/05 22:25 英語が読めたらPAS56も読んでおくと吉ですよ。事業継続の規格になりかかってるもの(?)です.
http://www.pas56.com/

h-fujitah-fujita 2005/09/06 16:22 ぎゃ〜〜〜〜〜〜〜〜>電子政府むけPP
(3重の意味で、、)

トラックバック - http://d.hatena.ne.jp/ikepyon/20050905

2005-09-04 ぐ〜〜

昨日の疲れからか一日寝てた。

[] を含むブックマーク のブックマークコメント

いろいろ濃いディスカッションが出来たのはよかったと思う。皆話しだしたら泊まらないしw。事前に資料を配っておくと言うのは成功したような。惜しむらくはもうちょっとディスカッションの時間を取れればといったところかな。ほっとけばあと1時間ぐらいディスカッションしてたかも。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050904

2005-09-03 SKUF Meeting

SKUF Meetingとは? SKUF Meetingとは?を含むブックマーク SKUF Meetingとは?のブックマークコメント

SKUFはS:設計、K:開発、U:運用、F:フォレンジックの頭文字をとったものです。システム開発依頼時から、運用までのセキュリティを考えるMeetingを実施し、技術者同士の交流を行います。

http://skuf.s-lines.net/hiki/

第1回SKUF Meeting 第1回SKUF Meetingを含むブックマーク 第1回SKUF Meetingのブックマークコメント

今回のMeetingでは昨今Webアプリケーションを中心とするアプリケーションに対する攻撃が増加しており、アプリケーションセキュリティ対策が急務となっていることから、開発者だけでなく、システム開発を依頼するユーザー企業の方、開発されたシステムを運用する方が考えたほうがよいと思われるセキュリティ対策についてお菓子でも食べながら、参加者の皆さんとともに考えていきます。

テーマ:発注・受注時のセキュリティ勉強

講師:第三者からみたセキュリティ 〜発注時の要件定義〜(hikitaさん)

   発注者の叫び声 〜もっと安全を〜(ikepyon(池田))

日付:2005年9月3日(土)

時間:13時30分〜16時45分

場所:東京都渋谷区大向区民会館

地図http://www.city.shibuya.tokyo.jp/est/kmkaikan/km_omukai.html

渋谷駅ハチ公口より新宿方向へ、西部デパートA館・B館の間の道を左に曲がって直進。宇田川交番の左側道を進んで、千葉屋(肉屋)さんの向かい

定員:30名

費用:2000円(U-20、学生無料)

登録申し込み:

以下のフォームを申し込みアドレスまで送付ください。別途受付確認のメールをお送りします。なお、受付確認メールは返信が遅くなることがあります。 ご了承ください。

      参加申し込みアドレスskuf.meeting@gmail.com

 

--------------------------------------------------------

2005年9月3日(土) SKUF Meetingへ参加を希望します

ハンドルネーム

メールアドレス

学生ですか?:Y/N

20歳以下ですか?:Y/N

 

以下の質問は差し支えなければお答えください。

開発者ですか?:Y/N

運用者ですか?:Y/N

SIerですか?:Y/N

ユーザー企業ですか?:Y/N

[]終了 終了を含むブックマーク 終了のブックマークコメント

参加していただいた皆さんお疲れ様でした。皆さんのおかげで、100%とは行かないまでのいい場が出来たと思います。ただ、何度も「不手際ですみません」といいすぎたかなぁ?これってあんまり参加者にいい感じを与えなかったかも。

こういうのを言い過ぎるのが私の悪いとこ。嫌な思いをさせたかもしれませんが、ありがとうございました。

あと、スタッフの皆さん代表っぽいのに待ち合わせに遅刻してすみませんでした。余裕を持って出るつもりだったのに気がついたら遅れてしまいました。申し訳ないです。

内容は非常に濃かったと思います。議事録、資料についてはオフィシャルに近々あげておきます。

dacsdacs 2005/09/04 00:46 代表兼講師お疲れ様でした。遅刻は耳が痛い…はい。反省してます。ごめんなさい。でも、皆で楽しい時間を過ごせて良かったです。もっともっと皆で話せたら良いですね。次回も楽しみです。

hikitahikita 2005/09/04 12:25 お疲れさまでしたー。私の資料も、公開しますね。

2005-09-02 明日はSKUF

いろいろごたごたしてるけど明日は当日です。

いろいろご迷惑おかけしてますが、よろしくお願いします。

[]アプリケーションFW アプリケーションFWを含むブックマーク アプリケーションFWのブックマークコメント

今某製品の資料を作成中にふと思ったのだけど、AFWって、欠点があるんじゃないかな?

クライアント証明書でユーザー認証を行っているアプリケーションを作っていた場合、一旦AFWでSSLの証明書チェックとか終わってしまうから、認証が必要なWebサーバークライアント証明書がとばへん。おかげでWebアプリの認証を変更しないのと違うかなぁ?

解決策としては、AFWではSSLの複合を行い、パラメータチェックをやった上で問題がなければ、受け取ったパケットをそのままバックのWebサーバーに投げるとWebサーバーSSLの証明書をチェックできる。この結果ユーザーの認証も出来るのでは?

もう一つの解決策としてはAFWで複合化し、クライアント証明書のチェックとともにSubject DNからユーザーを取得、WebサーバーにはCookieなどにユーザー識別氏をリクエストに追加して送信すれば、Webアプリ側でユーザーの認証できるんじゃないかな?こっちの場合はWebアプリの修正が入るので既存のアプリの場合は面倒そう。

どっちにしろ、クライアント証明書でユーザー認証しているWebアプリなんてほとんどないから問題ないだろうけど。

[]内部統制 内部統制を含むブックマーク 内部統制のブックマークコメント

ちょっと調べてみた。

http://www.meti.go.jp/kohosys/press/0004205/

概要しか読んでないけど、面白い

[] を含むブックマーク のブックマークコメント

なんかしゃれにならんほどでかい台風が来てる様なんですけど・・・

週明けから憂鬱だなぁ。

vulcainvulcain 2005/09/02 23:31 日本版企業改革法にはIT統制というわけわからん物が・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20050902

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |