どうも、無職の僕です。そういえば退職エントリ書いてないですね、退職してからすでに2ヶ月経ちましたが、そのうち書こうかなあ。
で、無職なのを良いことに、平日のオンラインカンファレンス系に申し込みまくって色々聴いてます。ブログ全然書いてないんですが(汗。ただ、このInternet WeekはMicro Hardeningも参加したし、さらに4日間の長丁場だったので、さすがになんか書いておこうかなあということで。
11/18 Micro Hardening
https://www.nic.ad.jp/iw2020/program/detail/#h2:Micro Hardening
参加した人からなんとなく話は聞いていたんですが、実際に参加するのは初ということで。感想一言で言えばこれですね。
ボロボロだったwww 頑張って不慣れなFWソフトで諸々止めたけど、必要なDNSポート止めてたの気づけず売上止まるとかねw またやりたい。 https://t.co/9yIbO50Gg4
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月18日
あんまりネタバレは書いちゃダメなので細かいことは書かないですが、どこから何が攻撃されてるか全然わからんかったですね。そもそも何が使われてるサービスなのかが分からなくて、そこはどうなんだという気もしましたが…(まあ往々にしてあるよね、現実でも…) 塞いだり止めたりしていいのかわからんという。
いずれにせよ、45分の時間ではできることは限られるので、やっぱスクリプト化するのが吉だなと。さすがにやりすぎてもあれかなと思ったので、予習段階ではやらなかったんですが、インターバル間で素早く作る器量は無かったです… 次機会があったら、事前資料から分かる範囲でしっかり作り込んでやろう。セキュリティ分野はまだまだ深みにハマれそうだなあとも感じました。
11/24 セキュリティ関連
https://www.nic.ad.jp/iw2020/program/detail/#c11
セキュリティ関連がメインの発表。4日目の発表を聞いた日にはもう忘れかけている(おい Twitter駆動ブログにします。
Pulse Secureの脆弱性のお話。脆弱性の個別通知ってどれくらい開封されとるんかなあ…#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
攻撃動向の話。JPCERTさんではNICTERみたいに、脆弱性が分かった組織には個別通知送ってるみたいですが、このあたりどの程度読まれてるのかなあという気はしますね。(質問してみたけど日本語がヘタで意図が伝わらなかった…)
Emotet感染チェックするEmoCheck認識してなかった。記事はみたのかもしれんが…
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
> EmoCheck/emocheck at master · JPCERTCC/EmoCheck https://t.co/hY89NwDxRc #iw2020jp
こういうのとか知れるのは素晴らしき。なんか一回くらい見たのかもしれないけど、素通りしてた気がする。
当初、Emotetのパスワード付きzip使った攻撃は日本だけだったのか… そりゃ転職サイトに、「zip添付してパスワードは別メールで送ることがマナー(!?)」とか書いてある国だものなあ…マナーとは…#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
PPAP。下手にzip暗号化してなきゃ、途中のUTMやウイルスソフトがブロックできてたんだよ!みたいな事例があるといいなあとも思うわけですが、なかなか難しいんでしょうねえ。
セキュリティリスクの管理を全方位に行うのは厳しい
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
→優先度付けが必要、脅威に注目する必要がある
→脅威インテリジェンスが必要
脅威の意図・能力・機会(SANSの定義)を把握し、分析プロセス(インテリジェンス・サイクル)のために情報・データを分析加工する
120文字整理が下手だ…#iw2020jp
脅威インテリジェンスとか、いろんなフレームワークがあって大変そうだなあと。自分がやる立場にならないから身を入れて聞けない部分はありますが、こういった発表である程度知見をまとめてくれる人がいるんですよ!ということだけでも覚えて帰っていただけたら(誰目線だ?
BAS(Breach & Attack Simulation)は攻撃自動テストを行って確認するようなものなのか。SIEMとかが前提って結構ハードル高そうだな… 大規模でよっぽどつよい組織向けぽいな… OSSとか商用色々あるのか、知らん世界…#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
BASって言葉は知らなかった。OSSもあるらしいので、自宅環境とかでも試せるのかなあ。
経産省がBASのセキュリティガイドラインを?と思ったら~ ビルオートメーティングシステムのBASでした~
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
チックショー
と思ってググってみたら、日本語ではさすがになかなか出てこないですね。"BAS"は被りそうな単語でしかない…
聞けば聞くほど一般企業には難しすぎる気がしてくるゼロトラスト。購入する端末とかすべてひっくるめておまかせできないとストリクトにやるのは厳しいんやろなあ… そうなるとやはりM社さんでAzure主体って感じになるんやろか。それだけでも足りん気がするが。#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
ゼロトラストの感想はいつもこんな感じ。認可をアプリレイヤに任せない、ってところが重要なのかなと感じました。
課題:インストール状況と脆弱性の紐付けは人手で実施
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
うっ、頭が…
もっと言えば脆弱性情報が本当に該当するかの確認も選ばれし少数が実施…ぐふっ…#iw2020jp
ソフトウェアやOSの識別子をCPE(Customer Platform Enumeration)で表して、SAMACソフトウェア辞書みたいな情報源と結びつける。ICT-ISACが総務省実証実験としてやってるのか。ふーむ、少し頑張ればいい感じに行けそうな雰囲気を感じる。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
CPE未付与とかの課題もあるのか…#iw2020jp
結構認識してない組織とか活動の話だったなあ。ググっても今回の話はあんまり出てこない感じ。https://t.co/1oZiuutoB7
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
これが参考情報か。https://t.co/xKGWXroKQN
移転元サイトぽいけどw
このあたりは興味深かったですね。インストールされたOSやソフトの名前を標準化して紐付けさえできれば、発生した脆弱性が該当するか自動的に導き出せると。でも結局、その組織で本当に対応すべき脆弱性なのかという点は、中を少佐に把握できてる人じゃないとダメなんだけどね… とは思いつつ、まず自動化するのはやるべきで、こういったプロトコルやフレームが存在してるということを知っておくのは重要だなと。
クックパッドさんの社内セキュリティ基盤の事例、どれほどの企業がこんな感じでやれるか感はあったな…
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
1. リモートワークが「特別」にならないようにする
2. 社内ITチームのオフィス内の持ち物を少なくする
この原則立てた段階から進まない気がするもんな…#iw2020jp
CIS Benchmark、そういうのもあるのか。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
> 各構成管理ツールのポータルサイトで準拠した設定を自動化するためのひな形が有志により作成・公開されています
RT: CIS Benchmarksを活用したシステムの堅牢化について: NECセキュリティブログhttps://t.co/hffhEVVJmF #iw2020jp
このへんも知ってると活きる日が来そう。メモメモ。ログ解析基盤の話は以下にあるようですね。
情報処理安全確保支援士、絶対入力できないし、覚えられない。そりゃ登録せんよ。rissaとか言われても無理や。もっと簡単にしてほしいもんだ
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
ここで言う愚痴ではないけどw(※RISSでしたね、RISSAは団体名) 昔のセキスペは持ってたけど、支援士登録しませんでした… お金かかるっていうんだもん…
こんな制度あったんだ。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
RT: セキュリティプレゼンター制度について:IPA 独立行政法人 情報処理推進機構 https://t.co/RBsLBbPOfZ
こういうのがあるならまた取ってみようかなという気もしました、プレゼンしないでしょうけど。
> セキュリティ対応を行う体制は部署や組織の名前を付けるだけでなく必要な機能・役割を定義することが求められる
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
前職の偉い人見てますかーー!!
個人的には、途中で出てきたこの言葉が刺さりましたw 名前負け組織名が多すぎた前職。"セキュリティ"って付いてても誰もセキュリティのこと大して知らなかったからなあ…
DMARC、MTA-STS、DANE… メールセキュリティもまだ進化しとるんやな…
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月24日
ここでチェックするといいみたい。僕のサーバSSL3.0まだ使えてしまうぽいな…あかんやん…https://t.co/aKDU0ieuAe
メールセキュリティも知見がいっぱい。密かに進化してるし、なんだかんだメール回帰してるところもあるから、まだまだ学習は必要だなと。
といった感じで、一日目にして色々学びがありました。結構お腹いっぱいです。もう参加費の元は取りましたね。
11/25 IPv6、リモートワーク、CSIRT関連
IPv6の拡張ヘッダ挿入が議論されていると。もともと挿入されない決まりだったが、SRv6で必要になってきているので再考している。ほ~ん。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
v6技術バラバラだから標準化していこうぜ文書がgithubに。へえ~。家庭用ルータはたしかに大変だろうからなあ…
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
RT: IPv6マイグレーション技術の国内標準プロビジョニング方式 【第1.0版】(2020年8月13日発行) | IPv6 Promotion Council | IPv4/IPv6共存WG https://t.co/6c5aSHORgP
v6はまだまだ知らんことばかりですよ。
IPv6版TTLであるHop Limitの話を聞くと海上で半裸に布を巻き付けて踊る若者がどうしても頭をよぎってしまう。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
どうでもいいわ!(HOT LIMIT)
DHCPv6はなくしていこうな方向性は検討されているらしいとのこと。ホームルータは、できることは大体やっておこう的な感じらしい。家のルータの動きも正直あんま見てないからなあ。ふくざちゅ… https://t.co/GDbW0uTYFv
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
これがもうカオスですよね… 細かい問題は色々出そうだなあ。
RFC7381
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
「IPv6は新しいからIPv4よりセキュアであると信じてる人もいるが、それは間違い」
「最大の脅威はセキュリティ確保しながら運用できる経験の不足」
おう!
あきみちさんのスライドを、タグ無しでそのままつぶやいただけなのに、わりとリツイートされたw みんな、経験不足を実感しているのかもしれませんね…
え?「リモートワーク」と「テレワーク」にちゃんとした定義あったの?基本的に同音異義だと思ってた…#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
「同音異義」はただの天然ボケです(異口同義的なことが言いたかっただけ)。というか、ググると分かるように、この用語は人によりサイトにより定義はバラバラなところがあります。ここの発表では定義していたということです。
リモートワーク
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
1. 個々人の特徴が明確になる
2. 情報交換相手が偏在しがち
わかるわ~。いくらTeamsとかで発信しても興味ない人は拾わないし、積極性がない人は存在が見えなくなる。
とはいえ、オフラインでもそんな変わらんといえば変わらん気はするけどね…
この記事に言及が来たw
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
優秀かは知らんが、まさにこのタイミングで辞めた身としてはうなずきまくっているw#iw2020jp
RT:「テレワークに消極的な会社」を見放す人がめっちゃ増えてる。 https://t.co/l4kKb060EJ
個人の特徴だけでなく、会社のスタンスも炙り出される面はありましたよね。COVID-19はこういうところで、個人の価値観を変えてきてるのでしょうね。
言語化することでそうトントン行きそうには思えないなあ… そもそも「言語化」のイメージも人により揃わなさそう…#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
ここは、言語化することで他者にも業務内容が伝わっていき、今までよりも相乗効果が出る的な話でしたが、その部分は環境とか、周りがモチベ持ってるか、みたいな部分もあるから難しいよね、ということが言いたかった。誤解を招く書き方でした。しかし、まあそれはオフラインでも変わらない…というのも上で言ってますね。仕事って難しいよねー。
というタイミングでなんかモヤモヤ考えててつぶやいた内容。もっとバズってもよくない?
会社の戦略なんてこの程度だった気がするな。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
- バッチリがんばれ
- いろいろやろうぜ
- 残業つかうな
- 納期だいじに
- 変革しようぜ
- めいれいさせろ
各社リモートワークにおいて、でてきた課題を明確にして、それぞれに地道に対応していってる感じ。結局、そういう風にできるところが強いんだろうなあと。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
なんか上手くいかないからとりあえず止めよう、だとね…#iw2020jp
各社のリモートワーク対応についてのパネルディスカッションでしたが、率直に上のような感想。ただ、かなり大規模な組織でこういう感じでやってくのはなかなか難しいんだろうなあという気も。少なくともトップダウンでエイヤでやることは必要なのかなと感じました。
確かに、ずっとリモートだと学生感が抜けないってのはあるのかもな…
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
あれ?僕(12年目)の学生感抜けてた?大丈夫?むしろ退行してなかった?#iw2020jp
新卒からずっとリモートワークのみになった人だとこういう面もあるなというお話がありましたが、正直、僕は大人になれているのだろうか・・・(BGM 少年期/武田鉄矢)
JPCERTの"コーディネートセンター"という名前の所以を理解させられている。乗っ取り用偽DNSサーバとか、ISPもレジストラもバラバラにやるんだな… やっぱこの辺は攻撃者もあえてやってるんかな…
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
これはコインチェックさんのDNS乗っ取られの話において、JPCERTさんが海外のドメインレジストラやISPに解決のための交渉をした話を聞いてて感じたことですね。攻撃者が使った偽ドメイン3つくらいあったみたいですが、サーバもレジストラも全部バラバラの海外企業だったそうで、そりゃ大変だなあと。問題もわかりにくくて伝わりづらい内容だし。やはり英語力・・・ですかねぇ・・・
CSIRTの評価モデルSIM3。CSIRTになったら見よう。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月25日
RT: CSIRTの強化を実現するための処方箋 https://t.co/DOey9W8J2i
CSIRTで働くことになったら見ますw
ということで、この日もお腹いっぱいではちきれんばかりの内容でした。タメになり倒してますね。ただ、IPv6もそうですし、CSIRTっていう組織が必要になってきたこともそうですが、インターネットが難しくなってるのは間違いないんですよね… 必要な知識と知見を持たないと恐ろしい牙を剥く場所なんだよなあと、改めて感じてしまうところはありました。オメエ強えなあ、おらワクワクしてきたぞ(そういう意味のワクワクかよと
11/26 インターネットと社会、DNS関連
カンファレンス聞きまくりおじさんとしては、オードリー・タン氏と登大遊氏のひっぱりだこ感すごいなと感じている。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
最近よく見るよねw
台湾は速攻でマスク在庫管理システム作れて、在庫すぐ分かる状態にできたという話だが、それを見てかき集めるクソ転売ヤーみたいなのは台湾にはおらんかったのかな?#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
いないの?日本だけなのか、このクソ文化は?
しかし、C31のセッション、かつてないほど見やすい字幕だなあ。#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
兎にも角にも字幕が見やすかった。オードリー・タン氏の話はrebuild.fmでも聴いたし、他の某カンファレンスでも聴いたけど、なんというか、うなずけるしほっこりするし。基本的に笑顔で語ってくれるし、後ろ向きな質問も前向きに返してくれるところがあるなあと。このマインドは日本にすごく求められてるんじゃないかなあなんて思いました。しかしなんでもいいからCOVID-19ゼロになんねーかなー(投げやり
Audry Tangの話はいつもクリアでわかりやすいと感じる。事実とデータをちゃんと踏まえて、論理的に、ポジティブに、さらに常にユーモアを交えながら、途切れることなく水が流れるように話す。すごいよね。なかなかできることではない。 #iw2020jp
— Yasuyuki Kaneko (@yyasuyuki) 2020年11月26日
これには激しく同意。
E2E暗号化問題について。ムズいよなあ… インターネットはオープンじゃなきゃダメ!みたいな感情論・原則論は良くないってのはおっしゃるとおりやなあ。#iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
RT: 日本を含む7カ国、エンドツーエンド暗号化コンテンツへの公的接続を可能にするよう要請する国際声明 https://t.co/uF0Fg8D3kJ
さりとて、命に関わる問題なんだから復号されてもしょうがないじゃん、という思考停止もダメなわけで、どう歩み寄るかがムズいと。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
このあたり、ムズい、としか言えん。長くなるから意見を語るのも控えておきます。
"DoH、DoTは英語だと「どー」、「どっと」と発音されるけど、「どー」という発音はどーなの?という感じなので"
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
いただきました。#iw2020jp
(1スベリ)(ノルマ達成)
Androidは9からDoT対応していたのか… もらったDNSサーバにDoT試してみて行けたら使うらしい。ふーん。
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
iOS14もDoH/DoTに対応。プロファイルで設定が変更できる。特定ドメインとか特定WiFiとかで使用を切り替えられると。めんどそう…
DoH/DoSは厳密に考えだすとまだ色々あるということがよくわかりました... うまく暗号化できるケースもあれば、設定がゴチャゴチャしてて実は平文でしたー、とか出てきそうだなあ… #iw2020jp
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
DNSの世界も深いですね… まだまだ拡張されてるし、暗号化だけに絞ってもそううまくはいかねーぞ、的なね。ここも昔に比べたら格段にハードルが高くなってきそう… キャプチャしても見えねーんだからね…
さすがにIETFのDNS議論するWGの詳細とかは興味があまり持てないな… こんな検討があるのかあとは思うが、出てくるとしていつなんだっていうのはあるからな… ESNIとかいつ来るのかしら?
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月26日
すまんな、もう疲れたんだよパトラッシュ。
11/27 けしからん話とテレワークとInternet Week関連
けしからんことに対する発想がさらにけしからんすぎるw アイデアもスライドもカオスで脳が刺激されるw#iw2020jp https://t.co/DtZom8D8AE
— 聖(ひじり)@InternetWeek聞くだけおじさん (@hijili2) 2020年11月27日
登さんの話は2回目かな?ですが、やっぱり痛快ですね。マネできる気はしないけど、けしからんに負けないよう頑張りたいとは思わされますねw
この辺、ちょっと力尽きましたね。聞いてはいたんですが、別のことしたりしながら聞いてたのでツイートは止まりましたねw
少なくとも、このようにオンライン開催してくれたInternet Weekの裏側ではいろんな苦労があったんだなあということはすごくわかりました。スタッフの皆様、本当にお疲れさまでした。お腹いっぱい、楽しかったし、非常に勉強になりました。
おわりに
インターネットについて、非常に幅広い話を聞くことができました。正直、自分が触れてる部分なんて本当に表面的な部分だけで、深い世界がまだまだ広がっているというのを改めて実感しました。ちょっと上でも書いたとおり、知らないとやべーな、って部分がどんどん増えてるんですよね。例えばIPv6などは、自然とenableになってていつの間にかグローバルな直接通信してたりするわけで、仕事として扱う者としては「知りませんでした~」では済まされないわけで…
って、何の分野でもそれはそうなんですが、インターネットにおいては、その知らなきゃいけない領域が急速にどんどん広がっているし、レガシーな部分もメールのように何だかんだ残っていて、かつそれも少しずつ進化していたりで、「拡がっている」ことを十分認識しないとダメなんだよなあと。
さらに、今年はCOVID-19のせいで、インターネットを経由する必要性が急激に増えて混乱が発生したり、またその一方でランサムみたいなのがますます活性化してたりと、一般の人からするとけしからん部分が多く出てるわけですよね。でも、登さんじゃないけど、そういうけしからん状況にしっかり向き合って対処していく中に進化があるわけで、それをスマートにできるよう、ブツブツ言わずに学んでいけということですかね。オラ、ワクワクs(二回目
とまあそんなことを感じながら、非常に学びがある時間を過ごすことができました。ちょうど無職だったのでガッツリ聴くことができてよかったです。オンラインで開催してくれたスタッフの皆様、本当にありがとうございました、私としては非常に快適に聴くことができました。登壇者の皆様もありがたきお話を沢山ありがとうございました。今後の職でも、個人の生活においても、存分に活かしていきたいです。