ナンボとは?/ ノーローン
[ 1360] 参加してナンボのコミュニティ活動
[引用サイト] http://www.microsoft.com/japan/technet/security/secnews/community/community070328.mspx
|
ニュースレターのご案内参加してナンボのコミュニティ活動公開日: 2007年3月28日このアイコンは似顔絵イラストレーターで作成されたものです。他力本願堂本舗たりき (杉谷 智宏) 氏著購読無料セキュリティ ニュースレターでは、セキュリティに関する様々な情報を毎月お届けしています。セキュリティ ニュースレターを購読する。バックナンバー•セキュリティ コミュニティ メンバのセキュリティ コラム ども。他力本願堂本舗のたりきこと、杉谷 智宏です。確か山陽道を作っていたと思ったらいつのまにかセキュリティ コンサルタントになっていました。これがまた面白い。もともと趣味的にプログラムを組んでいたのですが、インターネットを使うようになってからすぐセキュリティに興味を持ち始め、趣味が仕事になってしまいました。 今は業務でコンサルティングを行い、セキュリティ ポリシーを書いたり、セキュリティ診断やコンピュータ フォレンジックを行い、家に帰れば、連載させて頂いている雑誌の原稿を書いたり、時には共著で参加した書籍の執筆や雑誌の特集記事の執筆、また、様々な検証やツールの作成など、寝ても醒めてもセキュリティ三昧の日々を送っています。前回の鹿田さんから紹介を受けたのですが、私のような三下がこんなところに顔を出してよいものでしょうか。はたして皆様の興味をひくことができるほどのものかわかりませんが、私の「セキュリティ活動」について書いてみることにしましょう。セキュリティコミュニティに興味を持ったきっかけ思い返せばもう 10 年以上前になるのですが、丁度 Windows 95 が発売された翌日に、大阪は日本橋でコンピュータを新調したのがきっかけでしょうか。ニフティサーブとリムネットを使い、ダイヤルアップでインターネットに接続していました。Pentium 75MHz に 64MB メモリといったノートパソコンに Windows 95、ポケットモデムと音響カプラを繋いでニフティサーブのインターネットゲートウェイからリムネットのメールやニュースにアクセスしていました。そうそう、当時、地下鉄テロの捜査が始まった頃で、出張先の公衆電話(まだ ISDN 公衆電話も普及していませんでした)でメールチェックしていたら、職務質問されたこともありました。そんな当時、突然パソコンが停止するという現象に見舞われました。今となっては伝説的な、「Ping of Death」というものでした。ちょこっとだけ細工したパケットを受け取ると、Windows 95 がブルースクリーンになってしまうというものでした。この現象に、私は「これって何故起きるのだろう?」と思い、Yahoo! 検索や Infoseek などで検索をしたのが最初です。たった 1 ビットのフラグを立てるだけでシステムが停止してしまう。ちょうど「常時接続」というものに興味を持っていたことも手伝って、「ネットワーク越しにコンピュータを無理矢理止めてしまう攻撃」はとても衝撃的に私を捕らえたのです。 それから、セキュリティホールという言葉を知り、セキュリティという概念に興味を持っていきます。HTML メールって恐いんだ、ブラウザってちゃんと設定しなきゃいけないんだ、といった、今では多くの人が知る事柄を、そのときは驚愕と興味の赴くままに吸収していきました。 当時、マイクロソフトの評判はお世辞にも良いとは言えませんでした。曰く、セキュリティホールへの対応が悪い。曰く、デフォルト設定が危険。曰く、RFC に準拠しない。UNIX コミュニティからは散々な言われようだったように思います。 そんなこんなで、私は「セキュリティホール」に強く興味を引かれていきました。いわゆるアンダーグラウンドと呼ばれた世界に近づいたのもその頃です。幸運なことに、そこでは実にハイスキルな人たちが暖かく迎え入れてくれました。それぞれ今は各界で活躍しておられますので詳しくは触れませんが、この時にいろいろな意味で背中を押してもらったことが、今の私がある大きな理由の 1 つになっています。様々な攻撃法や Exploit Code の読み方を教えてくれた人もいましたし、後から振り返れば Defcon などのセキュリティ カンファレンスでも発表されていないようなアイディアを雑談交じりに話してくれた人もいました。まだ日本語で紹介されていなかったセキュリティホールの実証実験を行ったとき、「じゃあ公開すれば?」と某氏が言った一言がきっかけで、他力本願堂本舗というサイトを作ることにもなりました。約 1 年ほどセキュリティ ホールの実証実験の公開を行った後、本コラムの本題でもある、コミュニティ活動にコミットしていきました。2000 年ごろのことです。この頃から実証実験やツールの検証などを行っていることが、今の私の糧になっています。イベントに参加するころには、WEB ブラウザの脆弱性や WEB アプリケーションの脆弱性について追いかけるようになっていました。より自分に近いところのトピックに興味を惹かれていったことになります。やがて、私は草の根で行うセキュリティイベントの主催グループに参加するようになります。ページのトップへ草の根セキュリティイベント 私は駆け出しの頃からいくつものセキュリティ系イベントに参加させてもらってきました。主催者側に入れてもらえたことで、ただ参加して話を聞くだけでは得られない貴重な友人関係や知識を得ることができました。そのイベントは全てスポンサー無しの草の根イベントでした。会場選びから講演者探し、予約の受け付けから会場設営、撤去まで全て自分達で行うのです。これがまた楽しい。裏方作業はキツいこともあるんですが、非営利イベントならではの手作り感があります。言ってみれば文化祭のノリでしょうか。堅苦しさもなければ成功させなければいけないプレッシャーもそれほど大きくはありません。あらかじめ会場選びの段階から赤字が出ても全て自分達で背負いきれる範囲に設定していましたので、万が一失敗したとしてもお金の面では誰にも迷惑をかけません。企業ベースの場合、収益やメリットがなければいけませんが、草の根イベントなら問題なしです。イベントつながりで知人にも恵まれ、おかげさまで様々な書籍の共同執筆にも参加させて頂いています。遡れば最初にセキュリティ イベントに参加するきっかけになったのは、他力本願堂本舗でした。そのサイトを作るきっかけになったのが、当時からセキュリティ トピックを扱っていたアンダーグラウンドの人たちでした。さらに遡れば、ダイヤルアップで接続していた私のコンピュータをブルースクリーンにした、あの Ping of Death を打ち込んだどこかの誰かが居なかったら、今の私は居なかったかもしれません。ページのトップへセキュリティもみじさて、今私が参加させて頂いているセキュリティ イベントに「セキュリティもみじ」というものがあります。ほぼ 3 ヶ月に 1 回のペースで開催しているセキュリティもみじは、「もみじ」でおわかりのように広島で開催している地域密着型のセキュリティ イベントです。広島なら私の居住地からも参加しやすいので、初回からずっと参加しています。セキュリティもみじの中心人物は、Microsoft MVP で connect24hメーリングリスト主催の濱本氏です。氏の人脈から、幅広い講演者が毎回ディープな話題を繰り広げています。もちろん、草の根イベントの常としてスタッフがネタを持ち寄ることも多く、私も何度も壇上に立っています。いつも広島駅から路面電車で 30 分くらいの場所で開催していますので、西日本の方は参加してみてはいかがでしょうか。 草の根イベントは企業ベースのイベントにはないメリットがあります。まず、講演者が近いこと。大きなイベントでは控え室が隔離されていますが、草の根イベントでは大きな会場を用意できないことが多く、必然的に講師の方も壇上に立っていない時間は参加者に混じって座っています。休憩時間には一緒に雑談していますから、声のかけやすさでは比較にならないでしょう。 講演の後に質問をしても良いのですが、やはり同じように座っているというのは話し掛けやすさが違います。イベントの際に私が気をつけているのは、できるだけ参加者と交流することですが、参加者の側からも気軽に声をかけていただければと思います。さらに。これだけは声を大にしておきたいのですが、大規模なセキュリティ イベントではありえないことが草の根イベントでは起こります。それが、懇親会として開催されるイベント後の呑み会です。これがまた面白い。「同じ釜の飯を食う」という言葉がありますが、やはり食卓を一緒に囲む、同じ鍋をつつくというのは、50 人規模の草の根イベントでなければなかなかできることではありません。大きなイベントになると、どうしても主催者グループでの打ち上げといった感じになってしまいます。もちろん、セキュリティもみじでも懇親会が一つのコンテンツのようになっています。土曜日に開催するようにしているのもそのためです。新幹線で朝イチから乗り込めば、昼イチから講演を聴いて、参加者と講師でコミュニケートする。その後、懇親会で盛り上がって、講演の内容に限らず幅広い話題で盛り上がる。それから、ビジネスホテルでゆっくり休んでから帰ることができる、というわけです。 企業ベースのイベントやセミナーではどうしても業務としての参加を考慮するために平日開催になりがちですが、ここでも草の根のメリットが生きてきます。実際には主催者の私的活動であるために休日を使うことになるという理由が大きいのですが、休日であればこその参加しやすさにも繋がっています。どうですか?草の根コミュニティに一度参加してみてはいかがでしょうか。ページのトップへセキュリティって楽しい 一口にセキュリティといっても様々なトピックがあります。アクセス コントロールや侵入検知技術、セキュア プログラミングにウイルス対策。スパム 対策などなど。そのほか、これから必要になる内部統制なんかは総合的な管理が必要になってきます。セキュリティポリシーの策定も進んでいるようですね。不謹慎かもしれませんが、セキュリティというのは自由度の高い RPG を楽しんでいるようなものかもしれません。もしかすると最近人気の Xbox のゲーム「アイドルマスター」と似たようなものかもしれません。様々なトピックから適切なものをチョイスしてプロデュースして、セキュリティレベルを上げていく。ライバルには内外のクラッカーがいて、虎視眈々とあなたの大事な情報やシステムリソースを狙っているのです。 実際に情報漏洩が起きてしまうと「冗談じゃない!」ということになってしまうので、負けることは許されないシビアなゲームですが、やりがいのある仕事です。 もちろん仕事としてだけでなく、趣味としても楽しめます。ブロードバンド環境なら自宅でサーバーを立ち上げている人もおられることでしょう。サーバーがなくても、WEB ブラウジングやメールを使うならトピックのいくつかに注目してみてはいかがでしょうか。Windows ファイアウォールでアクセスコントロールや、ウイルス対策ソフトの導入などはもはや必須です。もう一歩進めて、お子様がおられるご家庭では URL フィルタリングも必須かもしれません。企業や学校なら、各種ログの取得と分析も必要ですね。家庭でもログを取ってみると面白いことがわかります。また、プログラミングに興味があるのでしたら、セキュリティ関連のツールを作ってみてはいかがでしょうか。私は Excel マクロでいくつかツールを作って、先述のセキュリティもみじで発表したりもしています。皆様も日常的なセキュリティトピックで面白いものを見つけたら、草の根イベントに参加して発表してみてはいかがでしょうか。ページのトップへ参加してこそのコミュニティセキュリティというと難しいことのように思えてきます。確かに、技術的にはなかなか手応えのある内容が多くあります。パケット フィルタリングやセキュア プログラミングの具体的な内容は複雑な謎解きのようなもので、最初のうちは厳しいかもしれません。しかし、たとえば「ウイルス対策ソフトの相性」であったり、「家庭で Winny を止めるには」といった問いかけであったりと、面白そうなトピックはまだまだ手付かずで残っているはずです。「WindowsVista Home Basic をインターネットにそのまま繋いで何時間無傷でいられるか!」なんて実験をしてみたら、それは素晴らしいレポートになることは間違いありません。そして、そういったちょっとしたことでも、ネットや草の根イベント、そして様々なコミュニティで発表してみましょう。待っているだけでなく、自信がなくてもとにかく成果を出してみれば、それがきっかけになって新しい世界が開けてくるものです。私だって、最初はちょっとした成果を WEB に載せたことが始まりだったのですから。この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。ページのトップへ プロファイル (個人情報) の管理 |TechNet の情報を無料ニュースレターで入手© 2008 Microsoft Corporation. All rights reserved. お問い合せ先 |使用条件 |商標 |プライバシー |日本での個人情報の取り扱い |
ノーローンの最新サイト、 ノーローンの情報、 ノーローンの借り方申し込み方、 ノーローンの比較情報など、 ノーローンに関することのキャッシング総合情報サイト。
