wakatonoの戯れメモ このページをアンテナに追加 RSSフィード

たわいもないこと(日々の妄想とも言う)をつらつらと書いてます。断じて壊れメモではありません。ましてや「穢れメモ」でも爛れメモでもありません(涙)。
が、時により一つのことを掘り下げる傾向が見られるので、article数は少ないカモ。
ちなみにSlashdot Japanの日記もあります。個人的な連絡がある方はwakatono@todo.gr.jpまで("@"は2バイト文字になってるんで、てけとうに書き直してください)。GnuPG公開鍵はこちら

他のあたり:PFSEC - Systems Platform and Securityアマゾンのレビュー

強いWindowsの基本 WebDAVシステム構築ガイド(萌えバナーその1)
WebDAVシステム構築ガイドの方のバナーの絵柄は、内容とは何の関係もありません(汗)
アクセス探偵IHARA

おとなり日記はこちら

2016-10-21 久々にセキュリティ・キャンプのこと〜「これまでの応募用紙を見る」

セキュリティ・キャンプに興味がある人に対して、「これまでの応募用紙を見てみたら?」という返事をすることが多いのですが、真意が曲がって伝わっていないか心配なので、すこし補っておくことに。

[]セキュリティ・キャンプの応募で一番困ったことの1つ セキュリティ・キャンプの応募で一番困ったことの1つを含むブックマーク セキュリティ・キャンプの応募で一番困ったことの1つのブックマークコメント

個人的には、「やる気はあります」とだけ書かれていて、こちらからの設問にほとんど答えていない応募が一番困りました。

これは、「やる気」を見るための応募用紙に単に「やる気はある」と書かれても、どこでそれを測ればいいのかわかりようがないためです。

[]セキュリティ・キャンプの応募用紙が問うこと セキュリティ・キャンプの応募用紙が問うことを含むブックマーク セキュリティ・キャンプの応募用紙が問うことのブックマークコメント

セキュリティ・キャンプの応募用紙は、「やる気や熱意、興味の見える化」をするためのものであり、全部正答すれば参加できるというものではありません。

[]オレが期待している「過去のセキュリティ・キャンプの応募用紙を見ることの効能」 オレが期待している「過去のセキュリティ・キャンプの応募用紙を見ることの効能」を含むブックマーク オレが期待している「過去のセキュリティ・キャンプの応募用紙を見ることの効能」のブックマークコメント

過去の応募用紙を見ることで、当然ですが「何を問うてきたか」を見ることはできます。

でも、それに対して自分が答えられないということは、少なくともその応募用紙と格闘して参加した人と比べると、前提知識ややる気、熱意(興味といってもいいかもしれないです)の面で劣る部分がある、ということに等しいです。

セキュリティに限りませんが、何らかの強烈な興味を抱いている人は、その後爆発的な成長を遂げる可能性が高まります。

単なる興味が強烈な興味にクラスチェンジするトリガは、オレにもよくわかりませんが、育成なり発掘なりする際には、何らかの分野に目を向けて取り組んでもらうことが大事というのはなんとなくわかっています。

ある人が応募用紙を見て「自分にとって未知の領域がある」&「これに興味をもって取り組んだ人がいる」事実と「その興味を講師陣に認めてもらえた人がいる」という事実、そして「自分にはまだ理解できるだけの力がない」というのをわかった時点で、どのようなアクションを取るか?てのは大きく2つ3つ考えられます。

  1. 無理と思ってスルーする
  2. なんとかして問題を解くようにがんばる
  3. わからないことに対する興味を抱く

多分、最初が一番多くて、次がわりとありがちなパターンですが、最後の「(自分が)わからないことに対して興味を抱く」というように行ってくれればいいのかなと考えてます。

参加するために頑張るんじゃなくって、興味を持ったことを突き詰めて調べて試してまとめて、ということをひたすらやっていたら、キャンプの参加をするに足るようになっていた、というのが、(あくまでオレの私見ではありますが)理想かなと考えてたりします。

2016-08-04 超久々にブックレビュー〜「実践CSIRT 現場で使えるセキュリティ事

この数日で買った数冊のうち一冊を早速読んでみた(でないとまた積読になりそうで)。

最初に読んだ本が、思いのほか良いと感じたので、さっそく(?)レビューしてみることに。

これはオレの主観が多分に交じってますが、あまり外してはいないと思いますw

[] 実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(1)  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(1)を含むブックマーク  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(1)のブックマークコメント

インシデント対応関連の和書は珍しく、著者に知った方々がちらほらいらしたので、ゲットの上読んでみた。

良い書籍だけど、やっぱり難点も出てくる。

[] 実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(2)〜まずは良い点  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(2)〜まずは良い点を含むブックマーク  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(2)〜まずは良い点のブックマークコメント

事故を類型化し、具体的にどうするか?が、かなりわかりやすく書いてあるのは非常に良い。

本書は「セキュリティ事故現場での対応」にフォーカスを当てたものであり、著者陣の安定感もあって、非常に安心して読める内容である。

生々しい(よもすると読み解きづらい)事故の事実そのものではなく、事故をある程度定型化した上で、どのような対処が望ましいか(もしくはどのような対応が必須か)を説いている。

具体的には、2章〜4章で、発生してしまったインシデントに応じて、「マルウエアから組織を守る対応術」「狙われ続けるWebサイトを守る対応術」「内部不正の対応術」というようにインシデント対応あるある的な対応の類型が書かれており、さらに5章「平時に進める脆弱性対策」で脆弱性対応の重要性を説いており、(すべてではないにしても)真面目に取り組めば成果が出る(そして定時に帰れるかもしれないくらいのインパクトが出るかも)という感じになる。

この書籍をもとにして、演習や訓練を実施するというのもよいと考える。

[] 実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜たぶんスコープ外だけど、期待しちゃいけない点  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜たぶんスコープ外だけど、期待しちゃいけない点を含むブックマーク  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜たぶんスコープ外だけど、期待しちゃいけない点のブックマークコメント

本書に、チームビルディングやチームマネジメント、ケイパビリティ、チーム成熟度などの話を期待してはいけない。

1章「事故対応の司令塔「CSIRT」とは」で、「何よりまずは CSIRT を立ち上げる」とあるが、正直なところ、このとおりのアクションを取れる企業/組織は、現時点では(たぶん)あまりない。もちろん、考え方などで参考になるところも多いのだが、企業ごとにチームを結成するためのハードルが違ってくるので、(あたりまえのことと言われるかもしれないが)こういうやり方もある、ということで参考にとどめるべきであろう。

で…本書は「現場対応」に力点を置いて書いているということもあるが、対応するチームをどう切り回していくか?を知りたい方々にはあまり参考にならない。

そもそも「どう対応するか」というプロセスと、プロセスで使われるツール、そして留意点が書かれている書籍なので、対応する前にどう(ゼロから)チームを組み立て、運営していくかについては(1章に部分的に書かれてはいるものの)参考にはできないと思ったほうがよい。

むしろCSIRTをどうやって立ち上げるか?などの話は、現時点で最も参考になると思われる文書類は、日本シーサート協議会がリリースしているCSIRTスタータキットJPCERT/CCがリリースしているCSIRTマテリアルなどがある。

また、CSIRTの窓口を作る際には、手前味噌であるが「世の中CSIRTという文字列が…」が多少の参考になると考える。

[] 実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜まとめ  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜まとめを含むブックマーク  実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜まとめのブックマークコメント

ネガティブなことも書いたが、どちらかというと「買ったはいいけど期待外れ」というのを防ぎたいと思ったので、オレなりに著者陣の主張を読み解いたまでのことである。

で…本書で述べている内容は掛け値なしに貴重なものであり、これまであちこちで局所的/散発的に公開されてたり、暗黙知になっていたものを、パワーをかけてまとめ、世に送り出してくれたことに拍手を贈りたい。

内容自体は(実地で対応したことある人ならばわかると思うが)非常に具体的かつ平易に書かれているので、インシデント対応を行う役割についたんだけど、それどうやるの?的な人がいたら、その人にまず読ませてみるというのがよいだろう。

そして、この書籍を参考に演習を組み立ててみるなどのことも、かなり有用だ。

いずれにしても、(読まないより読んだほうがいいけど)読んだだけではなく、その内容を(実地というよりは)訓練を通じて実施できるようにしておき、いざ本番となったらある程度動けるようにしておくと、よりよいのではないか?と考える。

2016-07-14 世の中CSIRTという文字列が…

いろんなところで見られるように。

でも、どこまでやればいいの?とか何やればいいの?という話はあちこちで…。

[] 前提:CSIRTのコンスティチュエンシーとかサービス範囲とかはすでに決まっている  前提:CSIRTのコンスティチュエンシーとかサービス範囲とかはすでに決まっているを含むブックマーク  前提:CSIRTのコンスティチュエンシーとかサービス範囲とかはすでに決まっているのブックマークコメント

CSIRT設置するにあたって、「コンスティチュエンシー」や「サービス範囲」をはじめとすることは、すでに決まっているものとして以下の話を書いてたりします。

[]CSIRTとは、外部との情報交換のための信頼の枠組み CSIRTとは、外部との情報交換のための信頼の枠組みを含むブックマーク CSIRTとは、外部との情報交換のための信頼の枠組みのブックマークコメント

CSIRTに関して一番本質的なところをついてるものの1つが、こちらの山賀さんの講演で触れられているところと考える。

作ったから云々でもなく、外部から情報を得るのみでもなく、適切な情報も出していくという営みは必要だ。

[]外部との情報交換を行うインタフェース=CSIRTならば… 外部との情報交換を行うインタフェース=CSIRTならば…を含むブックマーク 外部との情報交換を行うインタフェース=CSIRTならば…のブックマークコメント

「情報交換を行うインタフェースがあればCSIRTを設置したといえる」のか?と言われると、これはYesともNoともいえる。

とある人wは、「最低限外向けの窓口(PoC)を設置してくれればCSIRT作ったといえるのでは」と述べているが、これは窓口対応を正しく理解していて、本当に必要な機能は何なのか?というのをわかっている人向けの説明といえる。

そこすら理解していない人が、「あ、それでいいんだ。んじゃとりあえず外部に対して窓口のメールアドレス公開するか」と安易に動くと、たいてい痛い目を見る。

[]窓口すらない場合 窓口すらない場合を含むブックマーク 窓口すらない場合のブックマークコメント

f:id:wakatono:20160714004933p:image

窓口すらない場合は、そもそも何か起こったかを外から送ってもらう統一的な枠組みを用意していないといえる(図では「Webサーバおかしい」ということを言おうとしている報告者が「どこに送るのさ?」と不安になってる様を描いている)。

昨今の状況でこれは考えづらいともいえるが、後で述べる例との対比のために、あえて出している。

[]窓口「だけ」ある場合 窓口「だけ」ある場合を含むブックマーク 窓口「だけ」ある場合のブックマークコメント

f:id:wakatono:20160714004931p:image

窓口「だけ」あるという場合は、窓口がない場合よりもひどいことになりうる。

報告者から報告を受け取った後、窓口から先どこに持って行っていいのかわからず、苦労することになる。

窓口を設置した企業なり団体なりの所帯が小さければ、まだなんとかなるかもしれない。しかし、企業規模なり団体規模なりが大きくなってくると、「整理されたエスカレーション先」なり「場合によって送る聞き先」なりを事前に把握しておかないと、確実に死ねる。

[]窓口+エスカレーション先がある場合 窓口+エスカレーション先がある場合を含むブックマーク 窓口+エスカレーション先がある場合のブックマークコメント

f:id:wakatono:20160714004929p:image

窓口を設定する意義の1つは、コミュニケーションや情報交換/コーディネーションを円滑にするところにある。

中と外のコーディネーションもそうだし、中のコーディネーションもそう。中→外の情報伝達も、外→中の情報伝達も、最終的にはPoCチームもしくはPoCチームから近いところでハンドリングされることになる。

窓口を設置するからには、「窓口がエスカレーションなりする体制を整える」ことが必須と言っているわけだ。

[]結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を! 結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を!を含むブックマーク 結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を!のブックマークコメント

窓口(PoC)が何をやるのか?というのを、自分なりの整理も兼ねて書いてみた。

兼任/専任というスタイルもさることながら、「窓口」という機能に着目して考えると、こういう見方もあるとご理解いただければ幸いである。

2016-04-18

ちょっとハマった ちょっとハマったを含むブックマーク ちょっとハマったのブックマークコメント

カスペルスキー マルチプラットフォームセキュリティ 2016を新規インストールしたところ、Firefoxでおかしなことにw

[]カスペルスキー マルチプラットフォームセキュリティ 2016 Windows版をインストールした直後 カスペルスキー マルチプラットフォームセキュリティ 2016 Windows版をインストールした直後を含むブックマーク カスペルスキー マルチプラットフォームセキュリティ 2016 Windows版をインストールした直後のブックマークコメント

カスペルスキー マルチプラットフォームセキュリティ 2016(以下KMS2016)のWindows版を入れた後、FirefoxGoogleにつなごうとすると以下のような画面が。

f:id:wakatono:20160418024750p:image

要は「変な証明書使ってるからつながせないよ」という意味。

KAV2015とかは探すと対処法出てくるんだけど、KMS2016(のWindows版)はなぜか出てこない。

[]なんでこうなるのか?〜MITMやってる結果で解決方法もあるんだけど、どうも中途半端 なんでこうなるのか?〜MITMやってる結果で解決方法もあるんだけど、どうも中途半端を含むブックマーク なんでこうなるのか?〜MITMやってる結果で解決方法もあるんだけど、どうも中途半端のブックマークコメント

KMS2016は最初からそうなんだけど、最近のカスペルスキー社のセキュリティソフトウェアは、SSL接続の中を確認するために、MITMをかけている。

そのために必要な証明書なんかは用意されているんだけど(KMS2016の機能を使ってインストール可能)、後付けで入れたブラウザだからなのか、それとも別の理由からか、Firefoxが使う証明書には、カスペルスキー社による証明書は入らない。

f:id:wakatono:20160418025513p:image

[]解決法?〜証明書をエクスポートして(手順1)、証明書をインポートする(手順2) 解決法?〜証明書をエクスポートして(手順1)、証明書をインポートする(手順2)を含むブックマーク 解決法?〜証明書をエクスポートして(手順1)、証明書をインポートする(手順2)のブックマークコメント

エクスポートしてインポートする、ただそれだけで解決するんだけど、インポート先に少しだけ注意しなきゃいけない。

f:id:wakatono:20160418025723p:image

証明書管理ツールを使って、信頼されたルート証明書の一覧を見ると、KMS2016の機能でインストールされた証明書が見えるので、選択して右クリックして、「すべてのタスク」→「エクスポート」を選び、証明書をファイルに書き出せばよい。

順序はFirefoxを起動後、設定パネルみたいなのを開いて「オプション」→「詳細」→「証明書を表示」と行けば、証明書一覧を別ウィンドウで表示するようになる。

その画面を見ると、「インポート」は可能なので、さきほどエクスポートした証明書(なんとか.cerというファイルに保存されていると思う)を選択して証明書をインポートする。インポート時に何を信頼するか?というのも聞かれるので、Webのみ信頼とする。インポート後は、Firefoxをいっぺん終了させて再起動することをお忘れなく。

f:id:wakatono:20160418030214p:image

f:id:wakatono:20160418030225p:image

f:id:wakatono:20160418030238p:image

[]なんでこんな問題が?〜証明書の管理が分かれてるし〜 なんでこんな問題が?〜証明書の管理が分かれてるし〜を含むブックマーク なんでこんな問題が?〜証明書の管理が分かれてるし〜のブックマークコメント

この問題は、Chromeでは起きず、Internet ExplorerやMicrosoft Edgeでも(当然だが)起きない。これは、問題が起きないブラウザは、Windowsの証明書ストアを使うようにしているためと考えられる*2。しかし、(理由はよくわからないけど)Firefoxは自前で証明書マネージャを持っており、そちらを使用しているためだ。

理由はともかくこうなっていることを把握しておけば、とりあえず次からは対処可能だろう…と思いつつ。

*1:使い方はこちら

*2:ほかの理由があったら教えてほしい…

2016-04-07 ちょっと間が空いてしまった このエントリーを含むブックマーク このエントリーのブックマークコメント

…近いうちに「作ってみた」でも書いてみるか…。

0000 | 00 | 01 |
2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 04 | 05 | 06 | 07 | 08 |
2011 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 12 |
2012 | 01 |
2013 | 05 | 06 | 07 | 08 | 09 | 12 |
2014 | 03 | 06 | 08 |
2015 | 02 | 04 | 08 | 10 |
2016 | 02 | 03 | 04 | 07 | 08 | 10 |
hacker emblem
ページビュー
1717983