極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2003 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 01 | 02 | 03 | 05 | 06 | 08 |
2014 | 02 | 03 | 08 | 09 | 10 | 11 | 12 |
2015 | 01 | 06 |
2016 | 09 |
2017 | 04 |

2017-04-26

[]セキュリティ・キャンプ全国大会2017

そして今年もキャンプの時期がやって参りました。って早いか(笑)。

セキュリティ・キャンプ全国大会2017 講義内容:IPA 独立行政法人 情報処理推進機構

講師の顔ぶれと講義概要がほぼ全て公開されていますが、今年の特色は人数が増えたことすね(笑)。え?なぜ急に増えたのかって?それは飲まないと話せないなーヽ(´ー`)ノ

で、増えた分も含めた今年のコンセプトはぶっちゃけ「セキュリティ&プログラミング」アゲインって感じ。もの作り3日間どっぷり、プログラミングどっぷり、ハッカソンどっぷりコースができた形になりました。だから従来「セキュリティ」ってワードにピクってきてた人じゃない人たち、プログラミング好きだけどセキュリティはなーめんどくさそう的な人たちこそこのコースにフィットすると思いますね。名前は「集中コース」っちゅーんだけどもねw

めんどくさい、とか、楽したい、とかってのはハックの本質だと思うし、一所懸命人材育成頑張って底上げして人の頭数を揃えて人海戦術的にブラックボックスな海外製品を下僕的に使うというモデルでは無くて、何か作って貢献しちゃろうぜーという人に、ぜひこのブルーオーシャンなセキュリティ分野に関わるもの作りをして欲しいって感じ。そういう意味じゃSecHack365とも通じてるテーマなんだよね。

少数精鋭、アイディア大歓迎なのでぜひ応募してねー。あと従来型の選択コースも新しめのトピック多数なんで、そちらもよろしこー

[]SecHack365追い込み

何か「1年間」「365日」っていうのにガッツリ感を覚えて迷っている人が居そうなんですが(笑)、基本的にはやりたいときにやりたい形でリモートアクセスって感じだし、縛られないんでお気軽にどうぞー的なw。

キャリア的に繋がっておいた方が将来良いぜ的繋がりもGETできるし(起業的な意味でも研究的な意味でも)、将来図にまつわるノウハウもGETできるし、副産物的な部分もなかなかのものだと自負してるんだけどね(笑)。

あと何と言ってもデータの魅力が大きいと思うんだけどね。研究とかやってる人はわかると思うけど、この業界特に良いデータってのにリーチ出来にくいからねー。ある種危険なデータが多いので無理も無いところなんだけど、そういうデータにリーチ出来る機会としては質量共にMWS以上なんで、なかなかのものですよこちらもヽ(´ー`)ノ

ともかく、ダウンロードは締め切っちゃったんだけど、募集は金曜(明後日)までなのでどしどし応募してくださいねー。

SecHack365 – セキュリティの未来を生み出すU-25ハッカソン「セックハック365」

2017-04-07

[]白浜の情報危機管理コンテスト

今年も審査委員やります。

情報危機管理コンテストとは | 第21回サイバー犯罪に関する白浜シンポジウム&第12回情報危機管理コンテスト

参加申し込みは9日(日)までやでー。中身もおもしろいのでぜひ参加してー大急ぎで。とりゃーずエントリーだけでもしとってもらえたら。

2017-04-03

[]ナショナルサイバートレーニングセンター&SecHack365

国立研究開発機構情報通信研究機構NICT)でパートタイマーだけど仕事し始めて10ヶ月。セキュリティ人災育成研究センターって組織でCYDER演習の企画運用とかの仕事してましたが、実はその裏でめっさいろいろ新企画推し進めてました。んで4月1日から組織も「ナショナルサイバートレーニングセンター」と変わり、新規事業SecHack365というのを今年度から展開することになりました。以下概要。

SecHack365 – セキュリティの未来を生み出すU-25ハッカソン「セックハック365」

プログラム概要

SecHack365 は高度な技術力を持つセキュリティ研究者や開発者を育成することで、我が国のセキュリティ技術力、産業競争力を高めることを目的としています。

世界のサイバーセキュリティ市場における我が国のセキュリティ・ベンダーの存在感は、決して大きいものではなく、ブラックボックス化した海外製品を利用することが多いのが現状です。多様化・悪質化するサイバー攻撃に対抗し、私たちが自らの手で自らの社会の安全を守っていくため、単に既製品を「運用」するだけでなく、自ら新たな製品等を「開発」していくことができる人材を育成していく必要があります。

情報通信研究機構NICT)ナショナルサイバートレーニングセンターは、未来のサイバーセキュリティ研究者・起業家の創出に向けて、若手のICT人材を対象にセキュリティの技術開発を本格的に指導する新規プログラム「SecHack365」を平成29年度から開講します。

これまでセキュリティ・キャンプやSECCONというイベントでいろいろ仕掛けてましたが、またちょっと違うテイストのイベント、事業ってことになります。セキュリティのサービスって世の中に出てるモノはまだまだ練られてないものも多いし、どうかするとユーザーに一手間二手間あるいはそれ以上を強いてしまう、海外から持ち込まれて中身にタッチできないで使うのが辛いものとかけっこうあったと思うんですが、そういうサービス、事業としての洗練だけでなく、根本的に「あーこれ欲しかったんだよねー」的なアイディアを具現化したいなーと思っていたりします。

コード書ける人に沢山来て欲しいなー。でもコード書けなかったとしても、セキュリティの現状を見てそこにこんなアイディアがあるんだけど参入したいってな人にも来て欲しいっす。発想法トレーニングとかもやるんで、いろんな発想、しかも突飛なヤツを持ってる人来て欲しいっす。おなしゃす。

2016-09-29

[]レポート

突然ですが、とある学生さんが書かれたレポートの内容が良かったので、ご本人の許可を得た上で掲載してみる。

 インターネットは私たちの生活や社会との関わり方を大きく変え、今や社会生活になくてはならない存在となっている。スマートフォンの普及で容易にインターネットへのアクセスが可能となり、特にSNSによりインターネットが普及し始めると、一昔前とは比較にならない速度で情報が拡散されるようになった。インターネット上の情報は私たちの生活に恩恵をもたらす一方、特定の個人を誹謗中傷する情報や、他人の著作権を侵害する違法性、有害性を含む情報も一部ある。インターネット上の情報によって権利侵害を受けた者(被害者)にとっては、情報をいち早く把握し、削除したいと考えるのは自然であり、違法性、有害性情報拡散への早急な対応がインターネット社会での課題であると考える。「プロバイダ責任制限法(平成14年5月27日施行)」が施行されてから約12年が経つが、総務省が支援、設置している「違法・有害情報相談センター」に寄せられる相談件数は引き続き上昇傾向である。実際に私の勤め先にも個人を特定できるほどの本人の情報が掲示板に書き込まれるという被害にあった従業員がおり、情報は未だに削除されていない。

 私の勤め先での事例だと、従業員の書き込み被害に対する社内ルールが整っていないことが初動の遅れにつながった理由の一つではあるが、そもそも従業員への違法性な書き込みに企業はおろか、本人さえ気が付くことができないという根本的課題がある。また、書き込みの事実に気が付いた場合でも被害者がプロバイダ責任制限法に基づき賠償責任を求めるにはハードルが高い印象がある。例えば、被害者側にプロバイダ等に事実を認知させる必要性が生ずることや、プロバイダ等側に技術的に削除等が可能である手段が保持されていることが前提となっている点である。(だいたい、インターネットでのプライバシー侵害が日常的に行われているのに対し、個人が裁判所に請求する行為自体が非日常的であると感じるが)書き込み削除への対応を例にした場合、法制度からのアプローチでは解決に時間がかかることが想定され、インターネットの拡散性を踏まえると対応は十分でない。違法性のある情報の一早い特定、拡散抑止への技術的措置が可能となれば、被害が最小限にとどまるのではないだろうか。 

 ワールド・ワイド・ウェブの開発者であるTim Berners-Leeは、ウェブの未来として「リンクトデータ」を提唱している。ページとページのリンクが今のワールド・ワイド・ウェブに対して、リンクトデータはデータとデータとのリンクとなる。リンクトデータを使えば、データを直接読んだり操作したりできる。研究者が「信号伝達と錐体神経胞にかかわるたんぱく質は?」という質問をグーグルに入力すると23万3000件がヒットし、答えはバラバラであった一方、同じ筆問をリンクトデータに聞くと、条件に合うごく少数のタンパク質の名前があがったという。検索エンジンを使うと求めている情報になかなか辿りつけないため、検索用語を工夫することでなんとか見つけようとしている個人的経験があるため、リンクトデータは書き込み対策に可能性のある技術だと考える。検索エンジンでヒットしやすいということは、違法性のある情報の拡散を助長する側面はあるが、リンクトデータのようにデータ自体を取り扱える検索技術が現在のワールド・ワイド・ウェブで使えるのであれば(もしくはリンクトデータを普及させるか、だが)、掲示板等においても確実な情報の特定が可能となる。希望する用語を登録できるサービスをプロバイダ等に登録し、登録した用語が違法的、有害的に使用されていないかをリンクトデータのようにデータレベルでサイトを監視し、検出した場合にプロバイダおよび利用者に通知するサービス提供をプロバイダ等に義務付けることができれば、被害者にとってのプロバイダ責任制限法の敷居も低くなり、書き込みへの初動が早くなる。また、法と照らし合わせ削除が妥当と判断された情報を特定と同時に速やかに削除(もしくは、アクセス制限をかける)することができれば、拡散を食い止めることができる。削除する情報判断に法を考慮する必要があるのは、削除行為が発信者の権利侵害にあたる場合があるためであるが、この問題も技術による解決が可能であると考える。

人工知能の進歩により、今後10年〜20年の間に消える仕事が一時期話題となった。現在においても、弁護士のアシスタントや契約書専門・特許専門の弁護士の仕事はすでにコンピュータによって行われているという。人工知能によって情報削除の妥当性を瞬時に判断させることが可能となれば、プロバイダ側にとってのサービス運用の負担を減らすことができ、違法性、有害性のある書き込みへの対応サービスが広がってくるはずである。サービスが広がると、違法性、有害性のある情報の拡散に消極的なプロバイダ等はおのずと淘汰されていくため、プロバイダ等はよりよいサービスを提供していくこととなるだろう。

情報共有のメリットを損なうことなく、インターネットでのプライバシーの保護、確保を法的側面だけでなく、技術的に切り込むことができれば、より豊かな社会が実現すると考える。


(参考文献)

・プロバイダ責任制限法 インターネット上の違法・有害情報に関する法律実務

関原秀行[著] 日本加除出版株式会社

・別冊日経サイエンスサイバーセキュリティ P114〜121 ウェブを殺すな

株式会社日経サイエンス

・今後10〜20年の間に消える仕事・残る仕事  http://eco-notes.com/?p=649

2015-06-02

[]リテラシーじゃ追いつかない

前のエントリーからもう5ヶ月も経過しちまってるじゃん(笑)。

年金情報がメール添付ファイルを開いたことで漏れちまいましたの件、メディアからコメントを求められることも多いのですが、コメントって断片的にしか出ていかないこともあるし、意見をメモ的に書いておこうかなっと。

「添付ファイルに気をつけろ、と言っていたのに開いたのが問題」とか言ってたっけ?>機構。見知らぬ人からのメールであるか知っている人からのメールであるかは問わず、添付ファイルを開かないとむしろ怒られる人ってのが外に開かれたセクションを持つ組織には一定数存在してるから、そういう外接的エリアでどう守るか考えないとおそらくは同じ事を繰り返してしまうんだろね。

・・・という話をサイバー大学の情報セキュリティ入門とかではしてるんだけど、それこそネットエージェントさんのソリューションのように添付ファイルの画像化とかそういう、自動的に脅威を無力化できる仕組みにしとかないと、人間対応とかじゃ無理筋だよな(笑)。人間はミスするしサボるしね(笑)。っておれのことか(笑)。

というか、魔法の言葉として「リテラシー」と使われる場合って、だいたいは「対策に出すカネとか無いから、従業員の人に(場合によっては時間外を使って(笑))セキュリティ勉強してもらって人間を鍛えて対応しよう!という、コスパが良いんだか悪いんだかわからないことを表現してると思うんだけど、そういうのってほんと無理だと思うんだよなー。