サイバーなセキュリティイベントまとめ

展示会では何が流行しているのかを、カンファレンスでは有識者が何を考えているのかを、推察するためにいくのが良いと思っています。 サイバーセキュリティのイベントにでてくるひとは、大概シャイです。自分がコミュ障だと思っている人でも、意外となんとか…

はてなブログへ移行しました。

このブログは9年前に、はてなダイアリーで書き始めました。このたび以下の理由により、はてなブログへ移行させることにしました。 それまで利用していたCSSのデザインは、記事の横幅が狭いため、表を作成すると少し長い文字列を書くだけですぐに表内部の改行…

サイバーセキュリティを特色とする学術機関

はじめに 主に採用や育成の関係者から、サイバーセキュリティに強みのある大学等を問い合わせを受けることがたまにあります。いつ聞かれても大丈夫なように、メモをしておきます。研究室単位よりも大きな単位で、サイバーセキュリティに関する研究や教育を推…

競技団体の公式ネクタイで出社したい

競技団体では、公式グッズとしてネクタイを販売していることがあります。 ネクタイがよれてきたので、これをつけて会社に行ってはどうかと思いましたが、よしました。 審判ネクタイ 柔道(2,000円) http://www.judo.or.jp/sale剣道(2,000円) http://zenke…

温泉と寺社とのコンビネーション番付について考察

人とは贅沢な生物である。遠くの温泉に行けば、ついでに当地ならでは御利益も求めたくなるのは必定である。また熊野の例にとれば、熊野と書いて"ゆや"とも読むように、信仰と湯との関係性が指摘されている。 ただ温泉がある、ただ寺があるはNGである。昭和に…

External IPアドレスをどうやって聞くべきか?

ITに詳しくないかもしれない不特定多数のひとに対して、External IPアドレスを教えてもらうにはどうすればよいでしょうか。確認方法の手順書の暫定版です。 事務所のExternal IPアドレスの確認方法■初心者向け、動的IPアドレスを利用している場合 1.事務所…

サイバーセキュリティ演習・訓練の分類のための考察

動機 時は『サイバーセキュリティ演習乱立時代』に入ったといえましょう。いくつも同じ演習をしてもメリットはありません。オーガナイザー側は自身の企画する演習についてその位置づけを明らかにし、他の演習と違いをつくることで、より効果的な内容とする必…

競技団体はJOCにかならず加盟しているのか?

日本オリンピック委員会にすべての競技団体が加盟しているのだろうか?と疑問に思ったので、念のため確認してみることにしました。 結論としては、2020年東京大会の追加競技であるスケートボード以外はすべて加盟済みのようです。ただし同様に日本体育協会で…

露サイバー攻撃による米大統領選挙への介入 まとめ

事態の大きさの割に日本国内のこのニュースの取り上げ方がやや不満だったので。英語のWikipediaにはそれなりの文書量でまとめられている。 2016 United States election interferenceby Russia - Wikipedia 2016-10-07 米国土安全保障省と国家情報長官室が、…

オリンピック・パラリンピックの競技会場都市のマスコット

県庁に行く機会があり、生協でキャラクターのピンバッチが販売されているのに気づいた。 (ピンバッチを胸につけて打合せに行く、というのは流石に毎回はできないが、)大会関連の施策を打つときに、資料作成でつかったらよろこばれるのではなかろうか?多く…

サイバーセキュリティに関する政策提言あつめ

サイバーセキュリティの取組は、国の政策から始まっていることが多いようです。 これらをあらかじめ読んでおくことで、自組織に振ってくる取組について早めに察知することができるでしょう。 年月日 提言 20171003 総務省サイバーセキュリティタスクフォース…

脆弱性管理業務の稼働時間算出のためのモデルシステム構成を提案する

脆弱性対応の稼働時間を数値化し、コストの具体値を算出したい。そこで、一定期間にモデルシステムに対して配信された脆弱性の件数をもとに、稼働時間を実測してみようと思う。本稿ではその準備として、システムを構成するソフトウェアとそのバージョンのモ…

芸能ニュースがセキュリティインシデントに発展するパターン

ごくまれにですが、芸能ニュースがきっかけとなってセキュリティ的な問題点がクローズアップされる事例が起きます。芸能ニュースは注目度がとても多いです。このため極めてプラス思考な表現をすると、セキュリティ上の問題点が人口に膾炙するのに効果がある…

『IPアドレスは暗記してはいけない』その理由

IPv4アドレスは2進数だと32bit固定長の数値です。可読性を上げるため、例えば「198.51.100.240」のように、8bitごとに4個の10進数を"."で区切って表記します。このため、IPアドレスの表記に必要な数字の数は、最短で4個、最長で12個です。では平均的には何個…

サイバー攻撃の『送信元IPアドレス』がわかったらする10のこと

インシデントレスポンス、とくにトリアージのフェーズにおいて、IPアドレスの付随情報を調べることは重要で、かつ頻度もたいへん多いです。再びするときに困らないように、やるべきリストを考察します。aguseのようなWebサービスなら、複数の調査が一括でで…

横浜→京都→大宮と移動するときの交通費を計算してみる

諸事情で4月に京都から埼玉に引っ越しとなった。この時期は、東京や京都では1万円以下のホテルは確保が難しい。京都や東京からしばらく離れた近郊で宿をとるしかない。 引っ越しの搬出をするため、横浜-京都-大宮と移動をすることになった。単身パックの場合…

CSIRTとSIRTとCIRTとCERT、多いのはどれ?

CSIRTの名称はそれぞれ好きなように決めてよいのですが、末尾の文字列にはパターンがあります。自社のCSIRTに命名をするときに、わたしもなぜこのようになっているのか調べたことがあります。 米国 CERT Coordination Center (CERT/CC) と「CERT」について …

Imperva Incapsulaのクラウドセキュリティサービスが全世界的に停止

3月10日に、Imperva Incapsulaが提供するクラウドセキュリティサービスが停止する事態が発生しました。発生した時刻は日本時間の18時44分からと23時50分からの計2回、罹障地域は全世界的だった模様です。 DDoS protection biz Incapsula knackers its custom…

日本語対応したAndroidランサムウェアについて

以前の話 警察や司法機関を名乗っるPCランサムウェアとしては、2012年に登場したRavetonが有名。 Ransomware - Wikipedia, the free encyclopedia ランサムウェアはどこまで進化しているのか | トレンド解説 | マルウェア情報局 またAndroidの表示をロックし…

「Base N」encodingをまとめてみる。

はじめに セキュリティの仕事をしていると、64以外のBaseNの符号化を目にすることがある。実はいくつものBaseNのエンコーディング手法が存在するのでまとめてみる。 どの数値で提案されているのかは、Wikipediaの英語版にまとめられている。https://en.wikip…

アラサー社会人、SECCON 2015決勝大会(International)でコスプレ完敗

はじめにまとめ 成績だけでなく、コスプレにも負けて悔しいので、誰かなぐさめてください。 自社でサイバー攻撃の被害が発生→対策のための組織が急遽発足→メンバーに選ばれ引っ越し→社内に優秀なセキュリティ技術者がいない→どうすんの?→20代の私がなるしか…

SECCON 2015 決勝大会出場の「nw」ってどんなチームだ?と思った方へ

はじめまして チームのリーダーをしています。大阪大会「CSIRT演習」に優勝し、決勝大会(international)への出場権を獲得しました。 http://2015.seccon.jp/finals.html わたしも2013年度の大会を会場に見に行ったことがありますが、当時どのような所属の…

CTF参戦における会社支援の受け方について考察

意見表明 難しい問題で意見はさまざまあってよいと思いますが、私の現状の最適解は「プライベート+成果手当」です。 国内や企業における情勢 SECCONをはじめとするCTF(Capture The Flag)については、突出した技術を持つ人材の開発や発掘の手段として、国…

情報セキュリティ人材のスキルに関する公開文書/資料/報告書のまとめ

1年前に別の記事で情報セキュリティ関連の報告書をまとめたのですが、なかでもスキルや育成に関する文書については特に更新が大事だと考えてこの記事を起こします。 セキュリティは特定の技術領域を示す用語ではないため、スキルの定義は本来は困難なのこと…

このブログの名称について

ブログの名称 このブログの名称は『學而時<span lang="ko">習</span>』です。 漢字だけでなく、<span lang="ko"> および </span> も含まれます。読み方はとくに決めていません。 由来 出典は言わずと知れた論語の冒頭です。"習"の字を<span lang="ko"> と </spa> で挟んでから、そのHTMLをInternet Explorer 9以下で表示すると、次…

ICTなコンテストや競技会のまとめ

掲載方針 網羅的なまとめではありません 私がきょうみをもったコンテストを掲載します 単発開催ではなく、定期的に開催されているコンテストが対象としています 国内の大会が対象です プログラミングコンテストやハッカソンやロボットコンテストは現在は対象…

msieveをMac OS Xにインストールする

Mac OSでmakeをするために必要なCommand Line Tools for Xcodeのインストールについての記述は省略。 Msieveをダウンロードしてきて、 http://sourceforge.net/projects/msieve/ $ tar xvzf msieve152.tar.gz $ cd msieve-1.52 $ makeとダウンロードしたファ…

サイバーセキュリティ関連の協会・協議会・団体 まとめ

元ネタは、セキュリティについて考え始めた2年前に、勉強のため作り始めたExcelファイルです。そのファイルには、私的な印象なども記載していたのですが、一般的な内容に限定して公開しました。分類は、専らわたしの勝手な判断によっております。公開の後も…

雌コネクタの写真をみて規格を当てるクイズ

これから順番に追加していきたいと思いますが、いまは厳選10題です。写真はすべてメス側です。みただけで女性のバストサイズを当てるのより、難易度が高いと思います。 問題 No. 写真 解答 Q1. SATA Q2. IMT-2000 Q3. WAP-002(Nintendo DSi) Q4. LC Q5. Play…

ボードゲーム/コンピュータゲームでのセキュリティ演習/教育

ボードゲーム PwC : Game of Threats 初披露:2015-11-07~08、Cyber Conference Okinawa 2015 http://www.atmarkit.co.jp/ait/articles/1511/24/news087.html LAC : サイバーセキュリティボード 学生向けのインターンシップなどで利用している。 http://www.…