---
1:セキュリティ技術者になるには(Asuka Nakamuraさん)
セキュリティ人材が不足
盛り上がってはいるが、「なり方の定石」が無い
既知の方のキャリアパス→独自に勉強してなった!
何を学び、行動すれば良い?
高校生時代に興味を持った
・ほぼ知識0からスタートしている
・大学1年の頃から明確にセキュリティ関係の仕事を目指していた
・今はセキュリティ人材育成基盤がある状況である
→今からセキュリティを始める人/もっと関わりたい人には最適な話ができる?
(注意!!)
セキュリティ技術者になる事が「ゴール」ではない!!
今回の話は個人(講演者)の体験談が中心なので、あくまで一例と捉えて頂ければ
どんな知識を学べば良いの?
IT技術の基礎知識→セキュリティ関係の基礎知識→当該(※)分野の技術知識→セキュリティ技術・知識→先端的知識…という流れ
(※)例えばS/WとかN/Wとか…
基礎的な技術・知識を習得する
初心者向けの教材や資格が増えているので、まずはそれを活用すると良いのでは(資格で言えばITバスポート・基本情報技術者とか…)
セキュリティの基礎知識・情報を学ぶ
情報セキュリティスペシャリストやCISSPなどの資格、情報セキュリティ白書や各種学校・研修を用いるのがベター
更にネットでの情報収集(一次/二次情報源)も良い
(余談1)人の学び方、モチベーションについて
学び方→インプット中心/アウトプット中心
動機→内発的(興味・関心)/外発的(CTFで優勝したい、賞金が欲しいなど)
⇒人によって何が良いかは異なるので、自分のやり方に合わせる方が良いかと
特定分野の技術・知識を学ぶ
疑問点
・必要な技術知識体系とは?
・知識取得の方法、教材は?
・手法は?
どうする?
・最近はまとめサイトが増えた
・やはり上級者(先輩とか先生)に聞くのが早い
・勉強会に行くとか…
地域体系の例(ソフトウェア開発)
・アセンブラの知識
・コンパイラの知識
・実行ファイルの知識
・リンカ・ローダの知識
・OS、CPU、メモリの知識
・プログラミング能力、開発経験
・IDA/デバッガの使い方 など
書籍例
・はじめて読む486
・たのしいバイナリの歩き方
・リバースエンジニアリング~コード再創造の美学~ など
勉強方法
・デバッガ自作
・ゲームの(省略
・CTF など
特定分野のセキュリティ技術・知識の習得
問題点
・知っている人が限られている
・なかなか分権がない
・習得も難しくなる
どうする?
・尖った人材育成の場に行く
・・尖った人が開催する勉強会に参加
・同、発表資料の閲覧
・専門教育(SANS、Black Hatなど)の受講
・英語で情報収集
・CTFのWriteupを検索
・技術論文(博士論文)の閲覧 など
この辺りまで来ると、上級者向けの書籍やWeb(英語中心)を読み進めるのがベター
先端的知識の領域へ
・論文/カンファレンス
・海外の掲示板/ブログ
・第一線で活躍している先達のTwitter/FaceBookをチェック
特に海外の技術者については、来日された際に話しかけてみるとか、逆にこちらから行ってみるとか…
自らも最先端(尖った)人になる事!!
キャリアの作り方
学生時代
・専門の教育機関(情報セキュリティ大学院大学とか)
・大学の情報セキュリティ系研究室
・情報セキュリティ人材育成コース
・各種支援制度の活用(未踏プロジェクト、サイボウズ・ラボユースとか)
・インターンシップへの参加(MSKK、JPCERT/CCD、JNSAなど)
・セキュリティ系のアルバイト(少ないし人づてが中心だけどあるにはある)
選択肢のお話
・内的キャリア→なぜ/何のために働くの?、その仕事をしたいのか?(個人的で主観的な評価)
・外的キャリア→具体的な職務・職位・技術・実績など
その人によってこれは変わってくるので、自分で良く考えてみる必要がある
(学生向け)どうやって就職する?
・セキュリティ業種以外から
・セキュリティベンダーから
・セキュリティサービス/コンサルから
・IT企業のセキュリティ部門から
・独法/警察から
・高いセキュリティが求められる業界(例えば金融系)から
→ルートは色々あるので、視野は狭くしない事!!
場合によっては起業するのもアリだけど、やはりある程度何処かでキャリアを積んでからがベター?
自宅セキュリティ技術者(趣味と実績を兼ねる)
・バグハンター(最近はバグハント制度を用意している処も増えた)
・クラウドソーシング(個人事業者として)?
個人的な心がけ
・迷ったら難しい方を選択する
・できるできないではなく、やるかやらないか
・自分のやりたい事を公言する
・口だけ、行動だけにならないように
---
2:調整中(と言う名のCTF for Beginnersのお話)(Satoshi Mimuraさん)
CTF for Beginnersとは?
→CTF初心者向けの勉強会
(ここで過去開催分の資料を例示)
CTF4bをやってて思うこと
・やってみたら、実はそんなに難しくないよー
・好きな事を時間の許す限りやってみませんか?
(以後「しょしんしゃ」の実例(Not「初心者」))
・「技術で楽しむ」ことが重要かと
ポインタとして
・自宅の通信内容が気になる
・プログラムはどうして動くの?
CTF4bでやりたいこと
・CTFの人材を作ること?→それだけではない
・セキュリティ人材育成?→そこまでは行かない
・IT技術に対して「気づき」や「疑問」を持ってもらえる人を増やしたい
CTF4bでやっていること
・x86のマシン語の流れ
・逆アセンブルの方法
・Wiresharkでの通信の解析
・XSSってどういうもの?
・SQL Injectionってどういうの?
・簡易CTFによる実習
・「ておくれ」とか「あの人怖い」
→その人が何でぶっ飛んでるかを観察してみるといいかも
・そんな人になりたい
→何でも良いから、とにかく取り組んで大好きになる
・「クソ」っていうなキャンペーン
→「クソ」は簡単に言える
→でもどこがマズイのかどうすれば改善できるのかを調べてみよう
→出来そうなら改善へのアクション、無理ならそれを持って「ダメ」と言ってみる
始めたいけど何をしたら良いか分からない人はCTF4bは如何でしょう
---
3:ヤマ張り上等!あと2週間情報セキュリティスペシャリスト試験(村山さん)
ポケットスタディシリーズ(秀和システム)を書いている方です
なお試験は再来週(10/19)です
今日お話「しない」こと
・お盆明けから蓄積してきた「ネタ繰り」の全成果
・合格者の下限未満だと判断した範囲の知識
・H26春SC試験から抽出した「即効サプリ(R)」
・この試験を合格する事のメリット
・如何に上司や経営層の同意を得るか
内部不正対策→IPAからガイドラインが出ているので、読むと良さげ
信頼の拠り所(root of trust)が崩れる(相手を信じきっちゃう)→発覚を遅らせるための手法である
・あまり疑わなかった箇所
・ベンダ提供のファームウェア、ぱっと
・証明書
・Rondomizerのエントロピーがしょぼいと
・複数の証明書で、同じ秘密鍵が!
・解析法は?→「ユークリッドの互除法」
今まで信じていたのに…の例
・RSA暗号
・サプライチェーンリスク
・これまでは「定期的にウイルススキャンを行っていた」と書かれていれば疑わなかったが、そこを疑わせる出題も出るか?
→「マルチベンダ化」ただし無料のモノばかり入れていたらランサムウェアを取り込むリスク有り
・2048bitの証明書でも、ガラケー向け1024bit証明書でも、通ればOK とか
「プライバシー、パーソナルデータ」と絡めた「午前2」予想問題
ex)k-匿名性を満たす事の目的とは?
→正しくは「属性を保護することで、検索時のk人未満への絞込みを不可能とする」
まとめ、今秋のねらい目は…
・内部不正対策、髭右津代の中心は「人的な管理策(所謂ISO27001系側の話、技術的対策を書いたらアウト!!)」
・信頼の拠り所(root of trust)が崩れる話
・午前2対策:k-匿名性、本年5月改定の脆弱性報告制度
・組込系/制御系(今が旬な話!なのに出題は手薄)
SC試験について
計算上の平均的な合格者像
・応募10~11回目で合格
・受験6~7回目で合格
午前2試験について
・40分、25問なので1問96秒程度
・高度試験の前提知識を問う試験
・60点以上で合格だけど、実は甘くない(ギリギリだと午後は相当辛いと考えて良い)→目安は21問正解/25問中!!
「こそあど言葉」には注意!!
→出題者は「分かっている」ので、その辺りが非常曖昧な書き方になっているケースがままある
「出題」身構えていない?
・受験者は「AはBだからCである」と知識を持つだけでなく、理路整然と語れるか?
・そこで「B」を隠した本文を用意して「Aは、Cである」を用意しそれを問う
・様々な「Bだから」候補のうち、答えて欲しい「Bだから」に沿ってもらうヒントは、文中に与える
・別解が出ると面倒だから「D、E…だから」を排除する、枝払い用のヒントも与える
→ここまでヒントを与えても、書けない人の方が多い
紙(問題用紙)に書かれた事が、試験では「正義」(勿論知識や経験は重要だけど)
→できる人は答えを出来る限り考え、本文を読んで枝払いをしていき、最終的な解答を得る
最新の「情報セキュリティ白書」は試験対策として一読の価値有り(今からでも遅くないので、受ける人は読もう)
---
なおお菓子はTwitter(@fkoryu)側で報告いたしました。
https://twitter.com/fkoryu/status/518281865082310657
https://twitter.com/fkoryu/status/518282132104306688
https://twitter.com/fkoryu/status/518282371490009088
