シャチハタで資格ロゴを名刺にスタンプする(CISSP版)

f:id:ozakira:20180728223915j:plain:right 私がいま専門にしている情報セキュリティの分野では、自分が取得した資格のロゴを名刺に印刷することがよくあります。

Googleで画像検索すると出てきます。例えばこんなかんじ。右上のロゴがそれです。

引用元:2010年、5つの思い出――Gumblarからキャンプまで:川口洋のセキュリティ・プライベート・アイズ(31) - @IT

しかし、わたしが所属している会社では、名刺に入れられる資格が限定されています(弁護士など3個くらい)。情報セキュリティの資格ごときでは、印刷してもらえません。はじめはロゴをシールにして、名刺に貼るのを考えましたが、シールは意外と値段が高いですし、枚数が多いと貼るだけで一苦労。断念していました。

そんなある日、シャチハタで自分の印鑑を買ったとき、「ロゴを浸透印でつくって名刺に捺せばいいじゃん」と思いついたわけです。さっそくシャチハタで調べると、ピッタリの商品がすぐみつかりました。

f:id:ozakira:20180728225842j:plain

商品名は「スクエアネーム12」です。

Bタイプなら文字だけでなく、マークなどが自由に指定できます。インキの色も、CISSPのロゴと同じ緑色があります。完璧です。

f:id:ozakira:20180728225307p:plain

さっそく注文してみた。

Webで注文することも考えましたが、スクエアネーム12のBタイプが注文できるWebサイトが見つからなかったので、実店舗に行って店員のお姉さんにお願いしました。「画像検索で"CISSP"と検索すると出てくるやつ」といえば大丈夫でした。

大きさは、ロゴが縦横 1cm x 1cmの大きさになるようお願いしたのですが、ハンコ屋さんから「浸透印はにじみやすいので、細い文字だと潰れてしまうかもしれない」とのコメントがあり、スクエアネーム12の最大サイズである1.2cm x 1.2 cmになりました。

わたしの最寄りのハンコ屋さんでは、2,419円でつくれるそうです。

数日まって、できたのがこちら。

f:id:ozakira:20180728232159j:plain

f:id:ozakira:20180728232202j:plain

いい感じですね。

この資格のロゴを知っている人なら、このいい感じさがより伝わるはずです。

浸透印ですから、何枚でも連続で捺せます。名刺だけでなく、いろんな所にスタンプし放題です。

まとめ

今回つくったCISSPのロゴは、まさに「シャチハタにしてください」とでもいうようなカタチです。姉妹資格のSSCPも同じようなカタチですし、インクも朱色でつくればイケそうです。資格をとった人へのプレゼントにもなりそうですね。

他の資格でも、同じようなことができそうです。ハンコ屋さん、一儲けできまっせ。

今回の資格のロゴは保有者であれば利用ができるので問題ありませんが、そうでない画像は著作権や肖像権の問題があるので注意がいりそうですね。

岐阜県三大アンタッチャブルプロブレム

青い珊瑚礁[松田聖子][EP盤]
岐阜県においてお土産を選ぶときに、お店の人には訊いてはいけないことを理解した上で、身内においてはネタにすべきトークテーマがある。よく似た概念としては、麺界の永遠のプロブレムである、名古屋における山本屋の味噌煮込みうどんや、福岡における長浜ラーメン的な位置付けといえる。

いずれも老舗だからこその悩みであり、なんともすばらしい。

すや v.s. 川上屋

中津川といえば栗きんとん。栗きんとんといえば中津川。岐阜県民に限らず、愛知県民や三重県民も含め、東海の人間は秋になると栗きんとんの禁断症状がおきる。さらに「恵那寿や」と「恵那川上屋」を加えると問題がより複雑化する。

金蝶堂 v.s. 金蝶園

大垣名物の金蝶饅頭を売る店が、駅にほど近い狭い範囲に複数存在する。店の名前もよく似ている。しかも金蝶園の方は、名前が同じ別会社が2つ存在する。さらにややこしいことに、そしてそれぞれが暖簾分けをしており、大垣以外の地にも金蝶饅頭を扱う店がある。

松浦軒本店 v.s. 松浦軒本舗 v.s. かめや

東海道中山道から外れた岩村という狭い地域にカステラ屋が3軒集中している。日本100名城の城下町くらいしか売りがなかったが、2018年のNHK連続テレビ小説『半分、青い』でロケ地となり、ほんの少しだけ盛り返した。

monlist以降のUDPリフレクション攻撃についての備忘録

下ネタという概念が存在しない退屈な世界2 ガガガ文庫 下ネタという概念が存在しない退屈な世界 本当の詳細は、ISPにおけるネットワークオペレーションセンタに勤務する人に書いてもらうべきです。この記事は、そうでない人間にはこのように見えているという一例になります。まだ書きかけです。

monlist以前

monlist以降

参考

サイバーセキュリティのニュースにはパターンがある

はじめに

あさえがお 心のハンドルをぎゅっとにぎる33の言葉 2014年以降、脆弱性やインシデントについて追っております。

そのうちに、サイバーセキュリティ関連ニュースが人口に膾炙するのには、おおよそ一定の法則があると思うようになりました。残念なことですが、一部には過度に心配を煽るようなフェイクニュースに近いものも存在しています。考察します。

動機

ニュースに躍らされて、エンジニアが消耗するのを避けたい。

想定する利用シーン

ニュースに躍らされた上司から、

「〇〇君、この脆弱性について調べている?」

と聞かれたときに、

「これはニュースパターンのAですね。」

と答えて、即刻で鎮火させる。

ニュースを評価するためのポイント

サイバーセキュリティのニュースのパターン化する上での軸は、次の2点に限定して良いと考えます。

  • 情報源の意図:ニュースの一次ソースの意図
  • 拡散した理由:ニュースがバズった理由

ニュースのパターンは、どちらかと言えば拡散した理由による影響が強いです。

情報源の意図

サイバーセキュリティニュースの作り手の意図としては、以下のものが考えられます。これらが、ときに誤りや過剰さを伴うことで、複雑化します。二次ソース以降では、これらが複数絡み合います。

愛称 代表的な発信元 意図の概要 信頼性
Accountability メーカー、サイバー攻撃の被害組織 脆弱性の修正や、インシデントの発生を告知する。 High
Evangelical 公的機関、公益法人、セキュリティ団体 関心を引いて、対策を促進させる。不安を煽り、ニーズを掘り起こす。 Middle
PR 研究者、セキュリティベンダ、イベント開催者 成果を公表し、信頼度や知名度の向上を図る。イベントへの注目を集める。 Middle~Low
Commercial ニュースサイト 大量のトラフィックを誘導し、広告収入等を得る。 Low
Maneuvering ハクティビズム活動家、国家 競争相手や特定の集団を貶めようとする。 Low
Other 一般人 単純なリアクション、社会貢献的な意図のあるものなど様々。 Low

拡散した理由

実際の深刻度に比べて、過度にニュースが拡散してしまう理由として、次のようなものが考えられます。

まだ表にかけていない理由が、他にもあると思います。今後さらに増やしていきたいです。

愛称 理由の概要
Giant 政府、独立行政法人GoogleIntelのような大企業、等の影響力が大きい組織や個人が公表した、もしくは関係している。
Misunderstanding 公開情報が少ない時期に、限られた情報をもとになされた推測に行き過ぎがあり、それがそのまま波及してしまう。蓋を開けたら大したことはなかったが、もう止められなかった。
Periodical 他に報道すべきニュースがなかった。
Seaborne 欧米を中心とした海外においてニュースが流行った。
Propaganda セキュリティベンダ等による広告戦略が成功した。

パターンの実例への適用

実際にメディアに騒がれた例について、パターンを適用します。

情報源の信頼性が低く、且つ拡散した理由が上記の表に含まれているものであれば、静観して良い理由になりうると考えます。

情報源の意図 拡散した理由 実例
PR Propaganda Ghost, Badlock
PR Misunderstanding KRACKs
PR Giant Spectre/Meltdown
Commercial Seaborne WannaCry, Petya
Maneuvering Giant サイバー攻撃による米大統領選への関与

考察

発想としては、重要インフラ専門調査会で議論されている「深刻度」に近いものです。

2017年3月16日 重要インフラ専門調査会第10回会合 資料9 重要インフラサービス障害に係る深刻度判断基準の例について

しかしすべてのセキュリティのニュースを、Level 1〜5のように数字で評価することには、関係者の総意を得るのが困難な印象です。また、昨今のサイバー攻撃の手法や脆弱性の詳細は、技術的な難易度が高いものが多く、しっかりとした説明をするためには相当な準備が必要となります。簡単ではありません。

このため、上司になぜそのニュースに対応しなくてよいのかを説明するのには、脆弱性やインシデントそのものの深刻度よりも、なぜニュースが拡散したのかという理由に対して、ソフトウェア開発におけるデザインパターンのようなものを適用して説明するほうが、理解が手軽に得られるのではないでしょうか。

平昌オリンピックのサイバーセキュリティニュース列挙するだけ

オリンピック・パラリンピックが、セキュリティベンダーの食い物にされるのは、看過できません。これらの記事を見て、特に政治をお仕事にされている方が、過剰な反応をしないことを強く望みます。

とはいえ、平昌大会でサイバー攻撃による実影響が生じた以上、東京大会に向けてサイバーセキュリティ関連予算の増額が生じるのは確実でしょう。

網羅性はまったくありません。

オリンピック開会前

2017-12-05

2017-12-12

2017-12-29

2018-01-06

2018-01-08

2018-01-10

2018-01-11

2018-01-12

2018-02-01

THE COURT OF ARBITRATION FOR SPORT (CAS) DELIVERS ITS DECISIONS IN THE MATTER OF 39 RUSSIAN ATHLETES V/ THE IOC: 28 APPEALS UPHELD, 11 PARTIALLY UPHELD
http://www.tas-cas.org/fileadmin/user_upload/Media_Release__decision_RUS_IOC_.pdf

Both CAS panels unanimously found that the evidence put forward by the IOC in relation to this matter did not have the same weight in each individual case. In 28 cases, the evidence collected was found to be insufficient to establish that an anti-doping rule violation (ADRV) was committed by the athletes concerned. With respect to these 28 athletes, the appeals are upheld, the sanctions annulled and their individual results achieved in Sochi 2014 are reinstated.
In 11 cases, the evidence collected was found to be sufficient to establish an individual ADRV. The IOC decisions in these matters are confirmed, with one exception: the athletes are declared ineligible for the next edition of the Olympic Winter Games (i.e. Pyeongchang 2018) instead of a life ban from all Olympic Games.

2018-02-02

2018-02-06

* セキュリティベンダによる英語のブログ。よくまとまっているので推薦。 Cyber Threats to the 2018 Winter Olympics | Digital Shadows

2018-02-07

2018-02-08

2018-02-09 平昌オリンピック開会式

オリンピック期間中

2018-02-10

公式Webサイトは当然のようにAkamaiで守られていますので、Akamaiを信頼すれば落ちるとは考えづらい。となると、VerisignDNSサーバがおかしくなったのでしょうか。公式レポート待ちです。

2018-02-11

2018-02-12

2018-02-13

2018-02-14

2018-02-15

2018-02-17

2018-02-20

2018-02-21

2018-02-22

2018-02-24

2018-02-25

オリンピック閉会後

2018-02-26

* 開会式翌日、脱北者ら宛に「北朝鮮分析資料(三池淵楽団)」という名のマルウェアを含む添付ファイル付きメールが送信されてきたという情報 “融和五輪”の裏でサイバー攻撃 | オピニオンの「ビューポイント」

2018-02-27

2018-03-03

2018-06-07

サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス)

いまなら半額なので買います。

(後日追記)読みました。感想です。

中島さんが、紅茶派であると知ることができる一冊です。

タイトルはサイバー攻撃になっていますが、内容は"脆弱性"にフォーカスされています。 ブルーバックスで、いきなりバッファオーバーフローを教えようとしている暴挙がこのましいです。私は「C言語がわからないひとにはバッファオーバーフローはわからない」説を支持していますので、ブルーバックスでがんばらなくてもとは思いつつ、私が10代のとき同級生がブルーバックスでプログラミングの勉強していたのを思い出しました。彼はその後、情報系のドクターをとって、さらには研究職についていますので、あながちおかしくはないのでしょう。努力を買います。

敢えて批判的な感想をすると、この本において「敵を知り、己を知れば、百戦危うからず」ということばを2度引用している点が気になりました。孫子は私が繰り返して読んでいる唯一の本ですが、この節をサイバーセキュリティに適用するのは適切ではないと考えています。2,500年前に書かれた孫子は、Whenever, Wherever, Whoeverであるサイバーセキュリティの領域はカバーできていません。(ちなみにある著名なセキュリティ技術者も「スライドの最後にこの言葉を引用する理由は、中国系の聴衆を満足させるため以上の理由はない」とおっしゃっているようです。)

孫子の原文に立ち戻ると、

故知勝有五、知可以戰、與不可以戰者勝、識衆寡之用者勝、上下同欲者勝、以虞待不虞者勝、將能而君不御者勝、此五者知勝之道也、故曰、知彼知己、百戰不殆、不知彼而知己、一勝一負、不知彼不知己、每戰必殆、

とあります。さらにこの前の文を読めば、"彼"と"己"とはどちらも国家を指し、"戦"とは軍と軍とが物理的に激突する行為を指しているとわかります。すなわちここでは、用兵における原則が顕されています。一方で、この本の2-3節で紹介されているゼロデイ攻撃に代表されるように、敵を知り己を知れども殆ういのがサイバー攻撃です。このため、サイバーセキュリティの領域においては、孫子を超える概念を描いた原則が必要であると信じます。それこそを中島さんに作ってもらえたらと期待するものです。

以下は私事で恐縮ですが、コラムその2の表2-5は、おそらく私の記事をコピペしてくれたものでしょうか。もし本当にそうならなんて光栄な事でしょう。このブログも捨てたものではありません。 さらには記事にない"goto fail"と"BadIRET"の2つが表に載っていましたので、さっそくコピペ返ししました。私の記事ではこれまで、CVE-2014-9322の名前を"Grinch"としていたのですが、"BadIRET"と修正されていました。「それは"Grinch"じゃなくて"BadIRET"の間違いでしょ!」と今をときめく女性セキュリティ研究者に言われた気がしました。ドキドキしました。