メイン

2011年06月16日

第7回北海道セキュリティ勉強会に参加しました。

5/28(土)、第7回目の北海道セキュリティ勉強会(通称:せきゅぽろ)に初参加しました。

セッションは大まかに下記の3つ。
1, 3は株式会社LACのCTO西本逸郎さんによるお話です。

1. サイバー救急センター対応事例と最近の攻撃事例
2. グループセッション
3. 震災後のセキュリティ他

印象に残った話題としては、、、


  • 利用者に興味を持たせ、攻撃者に興味を持たせないようなSEO対策が大切

    • Webサイトのアクセスログのリファラに、「JCB VISA 支払 inurl:php」というような検索が記録される例が増えている。
    • 検索エンジンについては一般の利用者だけではなく、攻撃者も攻撃対象を物色するのに使用している。
    • 自分のサイトがGoogleや百度にどのように登録されているか、を認識すること。「すべての脆弱性をなくす」ことよりも重要。

  • ソニー情報漏えい事件の考察

  • 標的型サイバー攻撃への対策

    • アンチウイルスソフトについては、「検知率が低いから劣っている」というものでもない。攻撃者は特定のアンチウイルスソフト向けの対策をしている。
    • 「入り鉄砲に出女」 - 外向きパケットの監視が重要

  • 企業での私物スマートフォン利用はIT活用における「民主化要求」のようなもの。受け容れるしかないだろう。
  • ステークホルダとの関係性が大切。正直に。敬意をもって。

などなど。
自分が気づかない視点の話題も多く、聞いていてワクワクしましたね。
特に「攻撃者に興味を持たせないようなSEO対策」は考えたこともなく、目からウロコでした。

スタッフのみなさん、おつかれさまでした。
とても勉強になり、機会があればまた参加したいと思います。
ケーキもおいしくいただきました。

(参考)
・北海道セキュリティ勉強会
http://secpolo.techtalk.jp/

・togetter 第7回北海道情報セキュリティ勉強会のまとめ #secpolo
http://togetter.com/li/142136

2008年12月25日

札幌市セキュリティワークショップハンズオンセミナーに参加しました。

12月4日、札幌市高度情報通信人材育成・活用事業セキュリティワークショップ主催のハンズオンセミナー「Webサービスプラットフォームセキュリティ」に参加しました。

ハンズオン形式ということで、前半はひとり1つずつ与えられたCentOS5.2環境(VMwareによる仮想サーバ)にて、Webサービスプラットフォームとしての要求仕様を受講者自身で解釈し、セキュリティを考慮したサーバ、ミドルウェアの設定を行いました。
具体的には、CentOS5.2, Apache2.2, PHP5.2, MySQL5.0, DNSサーバ, メールサーバ, NTP, SSHなど、典型的なWebアプリケーションサーバとしての設定を行いました。

短い時間でひととおりのサーバ設定を行うので、なかなか大変でした。
ひとりで構築するには、セキュリティ、OS、ミドルウェアに関する知識が試されますし、このようなサーバの要求仕様は社内の勉強会やスキルチェックなどにも使えるので、とてもよい課題になると思いました。
仮想サーバを使えば、個別のOSも簡単に用意できますし。

後半は、講師からセキュアな設定に関するポイントについて説明があり、それに対して自分が構築したサーバのセキュリティを自己評価しました。


  • DNSサーバはソースポートをランダムにすべき。また、TTLを短くするとキャッシュ汚染の確率が高くなる
  • メールサーバではVRFYコマンドを無効にすべき
  • SSHのパスフレーズ認証では総当たり攻撃がたくさんやってきて危険なので、クライアント認証を使うべき

などなど、いろいろ参考になる話を聞けました。

10時から17時までの長めのセミナーでしたが、とても勉強になりました。
関係者、講師の皆様、ありがとうございました。
ハンズオンは面白いですね。
自分のスキルチェックにもなりますし、最新の「常識」を知ることができるので、定期的にセミナーやカンファレンスに参加したいと思います。