何か背中の筋が張っているような……ちょっと痛いです。
今日は早めに上が……れると良いなぁ(ヲ。
今日は早めに上が……れると良いなぁ(ヲ。
オンラインゲームに不正接続、大阪の14歳少年を補導 (読売新聞) - goo ニュース
あー、何も言う事ありませんヨ(投げやり)。頼むから二度とネットの世界に舞い戻ってこないで下さい。m(_ _)m
---
最初は「アイテム」という言葉が出たので、何処かのMMORPGかなぁ……と思っていたんですが、「数百種類のゲーム」から、恐らくミニゲーム集を提供しているサービスのような感じが……(アイテムは、例えばアバター用のデータではないかと……)。
あー、何も言う事ありませんヨ(投げやり)。頼むから二度とネットの世界に舞い戻ってこないで下さい。m(_ _)m
---
最初は「アイテム」という言葉が出たので、何処かのMMORPGかなぁ……と思っていたんですが、「数百種類のゲーム」から、恐らくミニゲーム集を提供しているサービスのような感じが……(アイテムは、例えばアバター用のデータではないかと……)。
サイバー犯罪3,000件超、ネット詐欺は前年比2.6倍に~警察庁調査 - Internet Watch
警察庁からの発表資料はココ。
発表資料を読んでみましたが、実際には届出もされず(若しくは届出をしたが受理されず)泣き寝入りをしてしまうケースも多いんだろうなぁ……。
やはり多かったのは「ネット詐欺(悪徳商法・フィッシング詐欺など)」や「ネットオークションのトラブル(商品が送られてこない、情報とは違うモノが送られたなど)」の2種類……いずれも「人の脆弱性」が絡む犯罪ですね。
何度も言っていますが、Internetの世界は「At Your Own Risk」、誰かが助けてくれる保障なんて何も無いし、自分の安全は自分で守る……でも、なかなかそれを実践してくれない(頭では分かっていても、実践してくれない)のが悩みですネ。
警察庁からの発表資料はココ。
発表資料を読んでみましたが、実際には届出もされず(若しくは届出をしたが受理されず)泣き寝入りをしてしまうケースも多いんだろうなぁ……。
やはり多かったのは「ネット詐欺(悪徳商法・フィッシング詐欺など)」や「ネットオークションのトラブル(商品が送られてこない、情報とは違うモノが送られたなど)」の2種類……いずれも「人の脆弱性」が絡む犯罪ですね。
何度も言っていますが、Internetの世界は「At Your Own Risk」、誰かが助けてくれる保障なんて何も無いし、自分の安全は自分で守る……でも、なかなかそれを実践してくれない(頭では分かっていても、実践してくれない)のが悩みですネ。
でも、コレ撮ったの、実は昨年の11月頃だったり(苦笑)。
自室の窓と外の景色を利用しての撮影。メインは外光、一部レフ代わりに弱いストロボを焚いていた……筈。
丁度日が西に傾いている頃に撮影したんですが、ホワイトバランスをオートにしてしまうと、折角の西日の色が中和されてしまうので「日陰」に設定。
(ちなみに……普段の撮影は「太陽光」に固定するケースが多いです。)
現像時、若干の明るさ調整と、トーンカーブを気持ちいじっています(と言っても本当に気持ち程度……あんまりいじり過ぎると嫌味な絵になってしまいますので、本当に隠し味程度です)。
この写真は……実は自室に印刷して飾っていたりします(笑)。
(今回の現像作業とは別に、軽く枚数を限定して現像していますが……勿論その時と今回の現像パラメータは違います。)
自室の窓と外の景色を利用しての撮影。メインは外光、一部レフ代わりに弱いストロボを焚いていた……筈。
丁度日が西に傾いている頃に撮影したんですが、ホワイトバランスをオートにしてしまうと、折角の西日の色が中和されてしまうので「日陰」に設定。
(ちなみに……普段の撮影は「太陽光」に固定するケースが多いです。)
現像時、若干の明るさ調整と、トーンカーブを気持ちいじっています(と言っても本当に気持ち程度……あんまりいじり過ぎると嫌味な絵になってしまいますので、本当に隠し味程度です)。
この写真は……実は自室に印刷して飾っていたりします(笑)。
(今回の現像作業とは別に、軽く枚数を限定して現像していますが……勿論その時と今回の現像パラメータは違います。)
くさい臭いは元から絶たなきゃだめ - ある nakagami の日記
まっちゃだいふくさんの処経由。
ココで書かれている「セキュリティ監査」は「ネットワーク脆弱性調査」の事ですよね?
一応ご存知かもしれませんが、知らない方のために「セキュリティ監査」の種類を挙げますと……
---
(技術系)
ネットワーク脆弱性調査:手動 or ツールを用いて、ネットワークが抱えている既知の脆弱性(設定ミス含む)を洗い出す事。"nmap"などのポートスキャナーや"Nessus"などの脆弱性調査用ツールを用いるのがコチラです。
Webアプリケーション脆弱性調査:手動 or ツールを用いて、Webアプリケーションが抱える脆弱性(バグ、設定ミスなど)を洗い出す事。XSSやSQLインジェクション、CSRFなどの脆弱性を調査するのがコチラです。
(マネジメント系)
保障型監査:BS7799(ISMS適合評価制度)などの、各種「セキュリティ認証規格」に準じた運用が行われている事を、第三者機関が評価し、お墨付きを与える監査。「第三者審査」とも呼ばれます。
助言型監査:何らかの規格・基準に則って運用が適切に行われている事を確認する監査。監査と言うより寧ろコンサルティングに近いかも……。「第一者監査(内部監査)」「第二者監査」とも呼ばれます。
とりあえずこんなモノかな?(細かく挙げればキリが無いでしょうが……。)
---
今回は「ネットワーク脆弱性調査」サービスですが……実際にNessusを使ってみるのが早いんでしょうけれど、記述されている通り、既知の脆弱性(パッチ当て忘れ)や設定ミス(ポートの穴あき状況など)を調査、レポートしてくれるサービスです。
で……
---
---
……とありますが、それはそれで正しいです。自分達で「自信を持って」出来るのならば、別に他の処に頼む必要は無いです。
(尤も……最近は価格競争に入り単価が安くなっていますので(大体1-IPにつき50k円程度)、それ程目くじらを立てるような高価なサービスでも無いですけれど。)
とは言え、人間が行う事ですから「ついうっかり」とか「つい忘れて」という「過ちを犯す」事があります。
しかもこのような「過ち」は自分では犯したとは気づき難かったりします。
実際、自分が遭遇したケースですが、身内のあるWebサーバに対してツールを使って調査した処、ある「不要なWebサービス」が立ち上がっていて、管理者(自分の後輩……そのサイトを立ち上げる際、何度も相談を受けました)も「あ、サービス止めるの忘れてた」というケアレスミスを1つ発見した事があります。
(正式リリース前だったので、大きな被害にはなりませんでしたが、もし本格的に公開されていたらと考えると、少しゾッとします。)
それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」とか「自信はあるけれど(人的などの)コストの事を考えると他の人に任せた方が結果として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。
なので、全く不要だとは思わないです。>セキュリティ監査サービス
それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
(大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。)
他の監査は……と言うと、実体験から言いますが、もらえるお金に比べたら、とてもじゃありませんがとても苦労に見合うだけの額じゃありません(苦笑)。
あと「Redhat 8.0」だから即NGって訳じゃないですヨ。要は既知の脆弱性に対する対策さえキチンと取っていれば良い(設定で回避する方法もあるでしょうしネ)訳ですからネ。
まっちゃだいふくさんの処経由。
ココで書かれている「セキュリティ監査」は「ネットワーク脆弱性調査」の事ですよね?
一応ご存知かもしれませんが、知らない方のために「セキュリティ監査」の種類を挙げますと……
---
(技術系)
(マネジメント系)
とりあえずこんなモノかな?(細かく挙げればキリが無いでしょうが……。)
---
今回は「ネットワーク脆弱性調査」サービスですが……実際にNessusを使ってみるのが早いんでしょうけれど、記述されている通り、既知の脆弱性(パッチ当て忘れ)や設定ミス(ポートの穴あき状況など)を調査、レポートしてくれるサービスです。
で……
---
だけど、そんなのはわざわざ外側から調べてくれなくても、構築したり設定したり、維持管理するひとが
・Redhat 8.0 じゃやばくないか?
・ssh のポートを開けとくのはやばくないか?
・ssh のポートを開けるにしても、パスワード認証は止めといたほうがよくないか?
とかいうことをちゃんと考えれば、いきなりやってきた人に外側からいろいろ
調べまわされるよりも、よっぽどお金もかからないし効果も高い。
(「くさい臭いは元から絶たなきゃだめ - ある nakagami の日記」より引用)
---
……とありますが、それはそれで正しいです。自分達で「自信を持って」出来るのならば、別に他の処に頼む必要は無いです。
(尤も……最近は価格競争に入り単価が安くなっていますので(大体1-IPにつき50k円程度)、それ程目くじらを立てるような高価なサービスでも無いですけれど。)
とは言え、人間が行う事ですから「ついうっかり」とか「つい忘れて」という「過ちを犯す」事があります。
しかもこのような「過ち」は自分では犯したとは気づき難かったりします。
実際、自分が遭遇したケースですが、身内のあるWebサーバに対してツールを使って調査した処、ある「不要なWebサービス」が立ち上がっていて、管理者(自分の後輩……そのサイトを立ち上げる際、何度も相談を受けました)も「あ、サービス止めるの忘れてた」というケアレスミスを1つ発見した事があります。
(正式リリース前だったので、大きな被害にはなりませんでしたが、もし本格的に公開されていたらと考えると、少しゾッとします。)
それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」とか「自信はあるけれど(人的などの)コストの事を考えると他の人に任せた方が結果として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。
なので、全く不要だとは思わないです。>セキュリティ監査サービス
それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
(大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。)
他の監査は……と言うと、実体験から言いますが、もらえるお金に比べたら、とてもじゃありませんがとても苦労に見合うだけの額じゃありません(苦笑)。
あと「Redhat 8.0」だから即NGって訳じゃないですヨ。要は既知の脆弱性に対する対策さえキチンと取っていれば良い(設定で回避する方法もあるでしょうしネ)訳ですからネ。
先程アップしたセキュリティ教育ネタとちょっと絡むんですが、ny(やソレに類するP2Pファイル共有システム)の利用に関して、自分の考えは次の通り(ココから変わる事はまずありません)。
---
(個人の利用に関して)
入れるのは自分は関知しないが、「正しい利用方法(≒利用する事によるリスクの回避方法)」を知らないで使うのはマズイ。
使う事によるリスクをシッカリ認識・覚悟した上で利用するならば止めはしません。但し「At Your Own Risk」である事を忘れずに。
当然nyを入れたシステム上で漏れたらマズいプライベートな情報や、お仕事に関する情報(会社から持ち帰ってきたデータ等)を触れる・開くのは厳禁……漏れるのがイヤなら入れるな。
---
(企業・組織内での利用に関して)
つーか「入れるな!!」。
どうしてもnyの挙動を調べたいなら物理的にClosedなN/W上で試せ。
---
つーか、そんなにnyが入っている(or過去に入れてアンインストールするのを忘れた)システムは多いのか?
---
(個人の利用に関して)
---
(企業・組織内での利用に関して)
---
つーか、そんなにnyが入っている(or過去に入れてアンインストールするのを忘れた)システムは多いのか?
松下電器とオリンパス、フォーサーズシステムに関する共同会見を開催 - デジカメWatch
現地時間で2/26……だから日本では今日からですね、米フロリダで開催されているPMA2006ですが、結構面白い新製品が登場しているようで……。
特にオリンパスを初めとするフォー・サーズ陣営ですが、ようやくここに来てPanasonicが新製品DMC-L1を出すなど、元気を見せています。
ここ最近ニコンがフィルムカメラからの事実上の撤退、コニ・ミノの完全撤退などやや暗い話題が続いていたんですが、こういう明るい話題なら大歓迎です。
実際DMC-L1は昔のフィルム一眼レフに近いデザイン(プリズム部分の出っ張りが無いだけで、それ以外は本当に近いデザインです(※))で、個人的にも興味を引いています。
---
(※)レンジファインダー型に似ていると書いている処もありますが、今のような一眼レフのデザインになったのは、そんなに昔の事じゃないんですヨ。寧ろ昔はプリズム部分の出っ張りがあるか無いか程度の差でデザイン的にも両者は良く似ていたんです。
現地時間で2/26……だから日本では今日からですね、米フロリダで開催されているPMA2006ですが、結構面白い新製品が登場しているようで……。
特にオリンパスを初めとするフォー・サーズ陣営ですが、ようやくここに来てPanasonicが新製品DMC-L1を出すなど、元気を見せています。
ここ最近ニコンがフィルムカメラからの事実上の撤退、コニ・ミノの完全撤退などやや暗い話題が続いていたんですが、こういう明るい話題なら大歓迎です。
実際DMC-L1は昔のフィルム一眼レフに近いデザイン(プリズム部分の出っ張りが無いだけで、それ以外は本当に近いデザインです(※))で、個人的にも興味を引いています。
---
(※)レンジファインダー型に似ていると書いている処もありますが、今のような一眼レフのデザインになったのは、そんなに昔の事じゃないんですヨ。寧ろ昔はプリズム部分の出っ張りがあるか無いか程度の差でデザイン的にも両者は良く似ていたんです。
ここ数日ny等による情報漏えいが多発している訳ですが……。
(例えばココとかココとかココとか極めつけはココとか……。)
まぁ、nyの是非は今はココでは問わないとして、ここ最近情報漏えいを代表とする「セキュリティ事件・事故(インシデント)」が妙に多発しているような感じがします。
(もしかしたら今まで姿を現さなかった「氷山の下」がたまたま表沙汰になっただけかもしれませんが……。)
技術面だけの対応は「イタチゴッコ」になる可能性も高く、原因を根絶するのは難しい事から、そうなるともう1つのアプローチである「教育・啓蒙」からも併せて対策する……というのは今までも言い続けてきた事です。
(勿論教育・啓蒙だけでもアウト……結局「教育・啓蒙をしても必ず何人かはダメダメな人がいるよ~ orz」ってのはSKUF MTG#02 AMの部でも話した事ですネ。)
が、いざ一生懸命エンドユーザ向けに教育しても「ふーん」で終わってしまうケースも多いような……。
何がエンドユーザ向け教育を難しくしているのだろうか……自分なりの考えですけれど、「我々セキュリティ技術者の『常識』と、一般ユーザの『認識』との乖離が悪さをしているのではないかな?」と考えています。
---
(セキュリティ技術者の「常識」)
システムのセキュリティ対策は「システム管理者」が日常業務の一環として行うモノ。
原則各ベンダーからの情報を引っ張ってくる(Pull型)事で、対応を図る。
セキュリティ対策を怠ると、システムだけでなく、業務や生活に支障を来たす恐れがある。
---
(一般ユーザの「認識」)
基本的にセキュリティは誰かがしてくれる(少なくとも自分ではない)。
何かあったらメーカーからリコールなり何なりが来るでしょ(Push型)?
セキュリティをするためにPC・ネットを利用している訳ではないし、したからと言って自分に良い事なんてあるの(面倒くさいだけじゃないか)?
---
こういった「思いの乖離」が起きているのに、それを無視して「お前らとにかくやれ~」と言っても言う事を聞いてくれる訳が無いよなぁ……と。
要は「セキュリティ対策」を「自分事」として考えてもらえるようにするためには、どうしたら良いんだろう?、ってのが今のセキュリティ教育における最大の問題点かなぁ……。
(この辺までは、土曜病院のハシゴをしている間に立ち寄った喫茶店でまとめたネタです。)
---
(自分への宿題)
では、どうやったら「セキュリティ対策」を「自分事」として考えてもらえるのか、その興味の持たせ方(案)を挙げる事~!!(3月中に)
とりあえず、他の方々もこんなネタは良いんでないかいというのがありましたら、教えて頂ければ幸いです。m(_ _)m
(例えばココとかココとかココとか極めつけはココとか……。)
まぁ、nyの是非は今はココでは問わないとして、ここ最近情報漏えいを代表とする「セキュリティ事件・事故(インシデント)」が妙に多発しているような感じがします。
(もしかしたら今まで姿を現さなかった「氷山の下」がたまたま表沙汰になっただけかもしれませんが……。)
技術面だけの対応は「イタチゴッコ」になる可能性も高く、原因を根絶するのは難しい事から、そうなるともう1つのアプローチである「教育・啓蒙」からも併せて対策する……というのは今までも言い続けてきた事です。
(勿論教育・啓蒙だけでもアウト……結局「教育・啓蒙をしても必ず何人かはダメダメな人がいるよ~ orz」ってのはSKUF MTG#02 AMの部でも話した事ですネ。)
が、いざ一生懸命エンドユーザ向けに教育しても「ふーん」で終わってしまうケースも多いような……。
何がエンドユーザ向け教育を難しくしているのだろうか……自分なりの考えですけれど、「我々セキュリティ技術者の『常識』と、一般ユーザの『認識』との乖離が悪さをしているのではないかな?」と考えています。
---
(セキュリティ技術者の「常識」)
---
(一般ユーザの「認識」)
---
こういった「思いの乖離」が起きているのに、それを無視して「お前らとにかくやれ~」と言っても言う事を聞いてくれる訳が無いよなぁ……と。
要は「セキュリティ対策」を「自分事」として考えてもらえるようにするためには、どうしたら良いんだろう?、ってのが今のセキュリティ教育における最大の問題点かなぁ……。
(この辺までは、土曜病院のハシゴをしている間に立ち寄った喫茶店でまとめたネタです。)
---
(自分への宿題)
では、どうやったら「セキュリティ対策」を「自分事」として考えてもらえるのか、その興味の持たせ方(案)を挙げる事~!!(3月中に)
とりあえず、他の方々もこんなネタは良いんでないかいというのがありましたら、教えて頂ければ幸いです。m(_ _)m
正直、この記事見た時には脱力してしまいましたが。orz
(確かに昔からパスワードクラックに関するツールはあったはあったんですが、UG系ネタに近いお話だったので、あまり普通の人が耳にする話題ではなかったんですけれどねぇ……正直言うと、あまり載せて欲しくなかったような(この手の記事を載せると安直に真似をする餓鬼(厨房)がいますので)。)
本当は自宅の環境でも(週末に)検証しようと考えていたんですが、検証し忘れたので、とりあえずWindowsドメイン環境下でのケースを1つ検証事例として出します。
---
【ケース:Windowsドメイン環境下での場合】
(マシン)
DELL Optiplex GX270(Penium4 2.8GHz、Memory1GB、Windows XP Professional SP2+2006/2までの各種セキュリティHotFixは適用済み)
(アカウント)
普段はWindowsドメイン管理者から与えられているドメインユーザ(Domain Users)を利用(ローカルのAdministartorsグループに参加)。
それ以外に4種類のローカルアカウント(Administartor、テスト用のユーザ(Users権限)、ASPNET、HelpAssistant(但し無効化)が登録。Administartorとテスト用のユーザには14文字以内のパスワードがセットされている。
なおLMハッシュは有効化されたままである。
(検証結果)
LiveCDを入れてコールドスタート後、約10分後にはAdministartorとテスト用ユーザのパスワードは解析されてしまった。
それ以外のローカルアカウントは20分経過したが解析できないようなので手動で停止。
ドメインユーザアカウントは調査対象にすら含まれなかった。
(とりあえずの結論)
Windowsドメインユーザはローカルの端末からでは調査対象に含まれない(ドメインコントローラ上で操作された場合は分かりませんが……尤もそのような状態になるようならば、システム以前の問題でしょうし(汗)。)
思ったよりも時間がかかるので、お手軽にパスワード解析という訳にはいかない?……そもそも一般的なWindowsのデスクトップ画面とは異なる画面が10分程度も表示され続けて気づかない方もアレゲですし。
組み込み系アカウントのパスワードはまず解析は出来ない?…恐らく15文字以上のパスワードが自動的に設定され、LMハッシュに関する情報が無いんでしょう。
---
気になる人はココの情報を元に、LMハッシュを無効化してしまうのが一番確実ですね。
(確かに昔からパスワードクラックに関するツールはあったはあったんですが、UG系ネタに近いお話だったので、あまり普通の人が耳にする話題ではなかったんですけれどねぇ……正直言うと、あまり載せて欲しくなかったような(この手の記事を載せると安直に真似をする餓鬼(厨房)がいますので)。)
本当は自宅の環境でも(週末に)検証しようと考えていたんですが、検証し忘れたので、とりあえずWindowsドメイン環境下でのケースを1つ検証事例として出します。
---
【ケース:Windowsドメイン環境下での場合】
(マシン)
DELL Optiplex GX270(Penium4 2.8GHz、Memory1GB、Windows XP Professional SP2+2006/2までの各種セキュリティHotFixは適用済み)
(アカウント)
(検証結果)
(とりあえずの結論)
---
気になる人はココの情報を元に、LMハッシュを無効化してしまうのが一番確実ですね。
お疲れモードだったので、久々に爆睡してしまいました(汗)。
---
土曜は午前中からお昼にかけて病院のハシゴ。そう言えば普段行っている眼科の院長先生に診てもらったのは初めてのような……(今の症状とこれからの対処方法についてシッカリと、かつ分かりやすく教えて頂いたので、安心してお任せできます)。
その後は地元のヨドバシカメラでお買い物(電池など)。
で、普段だったらそのままゲーセン辺りに流れるんでしょうが、疲れていたためサッサと自宅に帰る(これが夕方前)。
布団を敷いて(布団無しだとなかなか眠れないのですヨ)、軽く寝るつもりで横になったら……気がついたら翌日の3:30でした(ヲ。つまり、約半日は爆睡していた事に。うーん、こんな事は久しぶりだなぁ……余程疲れていたのか?
日曜は友人のお見舞いに朝からバタバタ。
翌日(つまり今日)には退院できるという事で一安心……したいのだが、どうも単純に手放しでは喜べない様子。暫くは注意していないとマズいかなぁ……。
東京にとんぼ返りして、今度は秋葉原へ。軽くブラブラしていたら、何故か手には新しいDollの衣装と靴が(マテ)。
自宅に帰り、寝る前にDollの撮影。ノートPCにUSBケーブルを繋ぎ、直接ノートPCに画像を記録する方式で撮っていたら、僅か1時間弱の間に300枚Over撮っていました。まだ未現像の画像がタンマリと残っているのにどうしよう。orz
---
土曜は午前中からお昼にかけて病院のハシゴ。そう言えば普段行っている眼科の院長先生に診てもらったのは初めてのような……(今の症状とこれからの対処方法についてシッカリと、かつ分かりやすく教えて頂いたので、安心してお任せできます)。
その後は地元のヨドバシカメラでお買い物(電池など)。
で、普段だったらそのままゲーセン辺りに流れるんでしょうが、疲れていたためサッサと自宅に帰る(これが夕方前)。
布団を敷いて(布団無しだとなかなか眠れないのですヨ)、軽く寝るつもりで横になったら……気がついたら翌日の3:30でした(ヲ。つまり、約半日は爆睡していた事に。うーん、こんな事は久しぶりだなぁ……余程疲れていたのか?
日曜は友人のお見舞いに朝からバタバタ。
翌日(つまり今日)には退院できるという事で一安心……したいのだが、どうも単純に手放しでは喜べない様子。暫くは注意していないとマズいかなぁ……。
東京にとんぼ返りして、今度は秋葉原へ。軽くブラブラしていたら、何故か手には新しいDollの衣装と靴が(マテ)。
自宅に帰り、寝る前にDollの撮影。ノートPCにUSBケーブルを繋ぎ、直接ノートPCに画像を記録する方式で撮っていたら、僅か1時間弱の間に300枚Over撮っていました。まだ未現像の画像がタンマリと残っているのにどうしよう。orz
本業(研究開発)の方で上司に相談されたので話を聞く。
……何で自分にそんなアレゲなネタを振ってくるかなぁ。orz
(ちなみに……セキュリティとは全く関係の無いネタです。>アレゲなネタ)
……とりあえず急ぎじゃない事と、メイン担当ではないので、引き受けちゃいましたけど(苦笑)。
……何で自分にそんなアレゲなネタを振ってくるかなぁ。orz
(ちなみに……セキュリティとは全く関係の無いネタです。>アレゲなネタ)
……とりあえず急ぎじゃない事と、メイン担当ではないので、引き受けちゃいましたけど(苦笑)。
実は今一番悩んでいるのは「エンドユーザ教育」より「セキュリティ技術者教育」の方だったりします(苦笑)。
(エンドユーザ教育で一番悩んでいるのは「教育するコンテンツの内容」より「どうやったらセキュリティに関する事を『自分事』として捉えて頂けるか(少しでも興味・関心を持って頂き、実践し続けてもらえるか)?」という方なので。)
まず感じているのは「セキュリティ技術者(Not セキュリティオタ(藁))」と呼べる人はIT系技術者の中でもごく限られているよなぁ……」という事。
それも単に「セキュアなコーディングが出来ます」とか「ファイアウォールの設定が出来ます」というレベルじゃなくて、「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」になると「うーん……(悩)」って感じだなぁ……。
(昨年末に某社のスキル診断を受けたんですが、その時出た結果を見ると、「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」に当てはまるセキュリティ技術者を選択した人がですね……全実施者の0.1%にも満たなかったと言う(苦笑)。)
人が少ないのだから、他の処から引っ張ってくるのは難しい(大抵引っ張りだこでしょうし)と考えると自前で育てるという方向になるんでしょうが、さてどうやって育てようか……。
最終目的は決まっている(「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」にする事)ので……どういうステップを踏ませれば良いのか、何を教えたら良いのか、取った方が良い資格(試験)はあるか...etc...を考えると、結構頭が痛かったりします。
ちなみに、自分が踏んだステップは全く参考になりませんでした(笑)。
何と言うか……変態的なステップしか踏んでいませんので(ヲ。
何か良い方法は無いもんですかねぇ……。
(エンドユーザ教育で一番悩んでいるのは「教育するコンテンツの内容」より「どうやったらセキュリティに関する事を『自分事』として捉えて頂けるか(少しでも興味・関心を持って頂き、実践し続けてもらえるか)?」という方なので。)
まず感じているのは「セキュリティ技術者(Not セキュリティオタ(藁))」と呼べる人はIT系技術者の中でもごく限られているよなぁ……」という事。
それも単に「セキュアなコーディングが出来ます」とか「ファイアウォールの設定が出来ます」というレベルじゃなくて、「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」になると「うーん……(悩)」って感じだなぁ……。
(昨年末に某社のスキル診断を受けたんですが、その時出た結果を見ると、「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」に当てはまるセキュリティ技術者を選択した人がですね……全実施者の0.1%にも満たなかったと言う(苦笑)。)
人が少ないのだから、他の処から引っ張ってくるのは難しい(大抵引っ張りだこでしょうし)と考えると自前で育てるという方向になるんでしょうが、さてどうやって育てようか……。
最終目的は決まっている(「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」にする事)ので……どういうステップを踏ませれば良いのか、何を教えたら良いのか、取った方が良い資格(試験)はあるか...etc...を考えると、結構頭が痛かったりします。
ちなみに、自分が踏んだステップは全く参考になりませんでした(笑)。
何と言うか……変態的なステップしか踏んでいませんので(ヲ。
何か良い方法は無いもんですかねぇ……。
花粉の飛散、本格化 マスク着用呼びかけ (朝日新聞) - goo ニュース
自分はそれ程酷い花粉症ではありませんが(アレルギーのメインはハウスダスト)、それでもここ2・3日、電車から降りた後鼻が少しムズムズします。
(普段からアレルギー症状を抑える薬を飲んでいるので、マスク・メガネが無くてもそれ程酷い状態にはなりませんけれど。)
今から急に薬を飲んでも効果は薄い(現在の薬では、飛散する1ヶ月~数週間前から薬を飲んでおいて、ある程度防御効果を作っておかないと効果が現しにくい)ので、事前対策を忘れてしまった方は、マスク・メガネは着用した方が良いでしょう。
自分はそれ程酷い花粉症ではありませんが(アレルギーのメインはハウスダスト)、それでもここ2・3日、電車から降りた後鼻が少しムズムズします。
(普段からアレルギー症状を抑える薬を飲んでいるので、マスク・メガネが無くてもそれ程酷い状態にはなりませんけれど。)
今から急に薬を飲んでも効果は薄い(現在の薬では、飛散する1ヶ月~数週間前から薬を飲んでおいて、ある程度防御効果を作っておかないと効果が現しにくい)ので、事前対策を忘れてしまった方は、マスク・メガネは着用した方が良いでしょう。
いや、ちょこちょこ進めている訳じゃないのですが(笑)。>本業(研究開発)
上司と来期に向けてのMTGを開催……とりあえず予算獲得に向けた資料のレビューと叩きを実施。
いやぁ、相変わらず■い話が飛びまくる(藁)。
とりあえず、どう来期は過ごすかの方向は見えたので、頑張って資料作りに邁進ですかねぇ(苦笑)。
上司と来期に向けてのMTGを開催……とりあえず予算獲得に向けた資料のレビューと叩きを実施。
いやぁ、相変わらず■い話が飛びまくる(藁)。
とりあえず、どう来期は過ごすかの方向は見えたので、頑張って資料作りに邁進ですかねぇ(苦笑)。
キヤノン、同社初のAPS-Cデジタル専用大口径ズーム「EF-S 17-55mm F2.8 IS USM」 - デジカメWatch
寧ろ30Dよりも注目しているのはコッチ(笑)。
前回TAMRONのレンズ欲しいなぁ~と書いた訳ですが、丁度被るんですよね。しかもコッチは手ぶれ防止機能(Image Stabilizer(IS))付き(笑)。
価格が同程度になるなら、ローン組んででも欲しいかなぁ……と思っています。と言うか、コレ買っちゃうとEF-S 18-55mmが完全に不要になります。
少し貯金してから、予約するかなぁ……。
寧ろ30Dよりも注目しているのはコッチ(笑)。
前回TAMRONのレンズ欲しいなぁ~と書いた訳ですが、丁度被るんですよね。しかもコッチは手ぶれ防止機能(Image Stabilizer(IS))付き(笑)。
価格が同程度になるなら、ローン組んででも欲しいかなぁ……と思っています。と言うか、コレ買っちゃうとEF-S 18-55mmが完全に不要になります。
少し貯金してから、予約するかなぁ……。