2009年11月15日

第02回東北情報セキュリティ勉強会へ!

あいにくの天気の中、東北情報セキュリティ勉強会へ参加してきましたダッシュ(走り出すさま)

001.jpg


先日、参加したCSS niteもそうでしたが、勉強会へ集まる人たちは静かに熱く燃えてそうな人たちばかりで、学生の方、コード診断している人、販社でコード書いている人などなど、様々な業種・職種の方がセキュリティと言うものを学びに集まっておりました。

この勉強会では、この業界の著名人、徳丸さんのセッションをジョークとオフレコな話を交えて聞けた事は大きな成果ですね。ネット上に公開された資料からは伝わらない部分も含めたセキュリティ談は、今後の糧としていきたいです。

ちなみにオフレコな話は、会社でも話せません。。。


それと、ライトニングトークとして、MS09-047を発見された方の話は、驚いたどんっ(衝撃)の一言だけが残るセッションでした。
まだまだ潜在した脆弱性が潜むブラックボックスの上でシステムを作ったり、動かしたりしているんだなぁーと改めて実感しましたがく〜(落胆した顔)

最後のチームディスカッションも、まっちゃさんの発案で何もアナウンスが無く実施されましたが、色んな意見交換を出来たので、非常に有意義なセッションでした。



と、まじめな話は、そこまでとして今回のメインイベント「おやつひらめき」の話です。
ちなみに「not ぷりん」でしたよあせあせ(飛び散る汗)

今回のおやつは、仙台の銘菓が並びました。
003.jpg
 ・喜久福
 ・どら茶ん
 ・手作りの林檎焼き菓子
 ・だだ茶豆煎餅
 ・八つ橋

久々に食べた、喜久福の大福は旨かった揺れるハート

あっexclamation八つ橋を食べなかった


〜オフレコのコメント〜
リスクに対する備えとして、まっちゃさんが主催の勉強会では傘を持参する事を教わった。(嵐を呼ぶらしいあせあせ(飛び散る汗)
004.jpg
posted by haga_ji at 23:03| Comment(2) | TrackBack(1) | 日記

2009年11月11日

知っている事がセキュリティの基礎?

@ITの記事に「ファイル名は「左から右に読む」とは限らない?!」というものがあります。少し前に話題になったような気がしますが取り上げてみました。

Unicode制御文字でRLOを挿入する事で、ファイル名を右から左へ読むアラビア文字の書字方向となって拡張子が反転させる事ができます。これによって、EXE形式の拡張子を別な拡張子として偽装できてしまいます。


■@IT:ファイル名は「左から右に読む」とは限らない?!


もちろんウィルスチェッカーのパターンマッチに引っかかれば、ウィルスやマルウェアとして排除してくれますが、パターンマッチも限界がきつつあるという現在では、記事の筆者も述べてる通り、より確実な対策を実施していく事が大事ですね。


RLOによる拡張子偽装という手法自体は知っているという人は多いのですが、対策まで実施している人は少ないように感じています。セキュリティを高めるということは、知識を詰め込むことも大切ですが、それ以上に重要なことは、対策を確実に実施していくことが重要なのです

posted by haga_ji at 22:43| Comment(0) | TrackBack(0) | 日記

2009年11月09日

119番の日

本日は119番の日だったようです。

火災や急病・けがなど、目の前で火災や事故が発生した場合は、誰でも気が動転し興奮した状態になりがちです。
1秒をあらそう時でも落ち着いて119番通報できるように、町会・自治会、事業所などで実施する防災訓練時に通報訓練を積極的に行い、正しい通報要領を身につけましょう。

東京消防庁:広報2009年11月号

防災・減災のためには、何事も教育・訓練といった意識高揚が必要不可欠ですね。
posted by haga_ji at 19:48| Comment(0) | TrackBack(0) | 日記

2009年11月06日

第02回東北情報セキュリティ勉強会が開催されます

今月14日に仙台で東北情報セキュリティ勉強会なるものが開催されるので参加してきます手(パー)

前回のCSS niteではフォクすけグッズが目当てでしたが、今回は「おやつプレゼント」が目当てです。

(勉強会でおやつは必須アイテムで CSS niteでも仙台屋菓子舗さんの“てんだま”が振る舞われました)



第02回東北情報セキュリティ勉強会

 ・開催概要・

  日 時:2009年11月14日(土曜日)13時00分〜17時00分
  場 所:サイバーコム株式会社 会議室
  テーマ:「セキュア開発プロセスとウェブ健康診断仕様の応用」徳丸 浩さん
  概 要:脆弱性対策に対して、プロマネとしてどう対策すべきか。

■てんだまの“仙台屋菓子舗”
 http://w2.oroti.com/~piguchan/sendaiya/
posted by haga_ji at 21:10| Comment(2) | TrackBack(1) | 日記

2009年09月01日

緊急地震速報と変更管理

先月末、関東地方で震度5弱の地震がきますと緊急地震速報を受け取った方は、かなりドキドキしたんじゃないでしょうか?
これは誤報だったわけで、わずかな揺れを感じるだけで終わってしまいました。

この誤報、地震を感知する地震計のソフトウェアをメーカーが気象庁の許可を得ずに書き換えて、しかもバグが存在していたために発生していたそうです。



ソフトウェアの変更管理が正しく機能していなかったのでしょう。。。

ソフトウェア技術者としては、お客様のために良かれと思って、サービス精神で依頼された機能以外にも追加で対応する事がよくあったりします。
ただ、そういう時に作り込んだプログラムには、必ずといって良いほどバグが内包しています。(何度か、やっちゃいました)



どんなプロジェクトでも、しっかりと変更管理のプロセスを確立しておく事が大事ですね。


ちなみに、同じ週にゆうちょ銀行でも変更管理をへぐったらしいですね。


■朝日新聞:地震誤速報、ソフト改修原因 気象庁「業者が無断で」

■読売新聞:ゆうちょ銀ATMに不具合、送金できず
posted by haga_ji at 20:14| Comment(0) | TrackBack(0) | 日記