Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

PCIDSSネタ(2本)

2009-01-30 10:48:34 | セキュリティ(技術者向け)
管理者のためのPCI DSS講座 第2回 PCI DSSのインフラを作る - ASCII.JP

エンタメ系記事が多いASCII.JPにしては珍しく(マテ)、至極真っ当なPCIDSSに関する記事。

以前まっちゃ445勉強会#03 めざまし勉強会でも少し触れましたが、セグメンテーション重要という話になります。
図が多用されているので、どういう具合に分けると幸せになれるのか?、というのを知る手がかりになると思います。
---
オール・ザッツ・PCI DSS 第5回 カード情報システムでのIIS、QSAはどう見る? - @IT

審査側の立場として、今回はIISに対してどのような点を見ているのかという解説記事。確認している項目は、別にPCIDSSじゃなくてもセキュアなWebサーバを構築する上で確認すべき点とほぼ同一なので、それについては特に目新しいものじゃありません。

が、重要なのはコッチの方。
QSAによる訪問調査では、いきなり設定の確認に入るわけではなく、文書の確認を行い、その文書に従ってセキュリティ設定が正しく実装されているかを確認することになります。つまり、設定を施せばよいわけではなく、どのような設定を行うべきか、業務や環境、システムの種類に合わせて検討、および標準の策定を行い、適用する必要があります。これはUNIX系OSであろうとWindows系OSであろうと同じことがいえます。
(「オール・ザッツ・PCI DSS 第5回 カード情報システムでのIIS、QSAはどう見る?(@IT)」より引用)
これは各種監査・審査でも同様なのですが、いきなり設定を見る訳じゃなく、まずは基準となる文書(ベースライン)があるかどうかから始まり、ベースラインがある場合はその妥当性の確認(※1)をし、そこで問題が無いなら実際はどうなの?、という流れで見ていく事になります。
この事は別にPCIDSSうんたらという話ではなく、シッカリとした運用を行う上でも、ドキュメントが残っていないようでは話にならない(※2)ので、まずはその辺から固めていく事が重要だと思います。
---
(※1)例えばメーカーから提供されているホワイトペーパー等の参考資料と突き合わせて確認するとか、著名なセキュリティ団体や学会が発行している資料と突き合わせるとか、そんな感じです。
(※2)トラブル(インシデント)発生時の対応や、担当者の引継ぎの際、資料が無くてどうするのさと小一時間(ry

もうね、バカかアホかと(ry

2009-01-28 17:14:39 | セキュリティ(エンドユーザ向け)
「池袋で殺人します」mixiに殺害予告の少年逮捕 - Internet Watch

この手のニュースを見ていると、本当に思うのだが……

「おまいら、ネット=匿名だと未だに思っているのかと小一時間(ry」

……って感じですよ。orz

リアルな世界とは異なり、ネット上ってのは通信が発生する都度、何処かで必ず痕跡(ログ)が残るんですよ。
ログを追いやすいのか追いにくいのかという違いはあるものの、概ね時間さえかければ大抵は「誰が」「何時」「何処で」「何をした」のかは調べる事ができるんですよ。
特に犯罪性が高いモノは、憲法で言う「通信の秘密」の適用範囲外になるので、ISP(プロバイダ)側も警察に証拠の1つとして通信ログを提出するので、まず殆ど特定されますわな(で、夜討ち朝駆けで「警察から来ました(以下略)」となる訳で)。

2chなどの「表面上匿名のように見える(※1)」場ならまだしも、会員情報を運営側にしっかり抑えられている「mixi」ででしょ……もうバカかアホかと(ry

多分「書類送検→起訴猶予処分」コースだろうけど、シッカリ逮捕された事実は記録される訳で、その後の人生がどうなるかは……もう言うまでもないですね(※2)。

何度も書いている事かもしれませんが……

「ネット世界は、リアル世界以上に匿名という言葉は無い」

……という事を、もっと知るべきですよ。
ついでに言うと「俺だけは特別」も無いから。通報されたらまず捕まります、しかも短期間で(昔と違って、警察もISPも慣れているから)。
---
(※1)あくまで「表面上」の事……実際にはログはシッカリ記録されています。
(※2)本当は裁判で有罪が確定するまでは「逮捕された人=犯罪者」とはならないんですが、どうも日本の社会では「逮捕された人=犯罪者」という目で見てしまうため、例え不起訴 or 裁判で無罪が確定したとしても、一旦逮捕された人に対してはそういった目で見てしまう傾向があります。当然日常生活(例えば就職や金策など)でも不利益を被る可能性が高いです。

資料公開>まっちゃ139勉強会#17 午後の部 LT

2009-01-27 00:34:34 | セキュリティ(技術者向け)
第17回 まっちゃ139 午後の部 発表資料 - End Of ... Wik

と言う事で、過日1/17(土)に開催された第17回 まっちゃ139勉強会のロシアンルーレットライトニングトークにて発表した資料を公開いたしました。
上記リンクから辿るか、又はココをクリックしてダウンロードして下さい。

買い換えた>PSP

2009-01-26 12:32:55 | Game
初代(しかも1stロット)で頑張っていたPSPですが、昨日ようやく買い換える事に。

……別に壊れた訳じゃないんですが、□ボタンを多用するゲーム(※1)をプレイするようになり、例の引っかかりが多少気になってきたというのが最も大きい理由だったりします。

で、早速プレイしてみたのだが……軽い、軽いよ。
いや、昨年のTGSで体感はしていたんですが、やっぱり実際手に取ると本当に軽い。

あと液晶画面が明るい……が、最高輝度(※2)に設定すると明るすぎるかも。という事でACアダプタを繋げている状態でも、やや暗めに設定して遊んでいます。
---
(※1)「機動戦士ガンダム ガンダムVS.ガンダム」……メイン射撃が□ボタンに割り当てられているのです(コンフィグで割り当て変更は可能ですが)。
(※2)4段階目……ACアダプタを繋げている状態の時のみ有効な設定の方。

で、今更だけど雑感>まっちゃ139勉強会#17

2009-01-21 16:01:56 | セキュリティ(技術者向け)
もう色々と出ているみたいだから、書く必要は無いですよね(マテコラ)。

……と書くと西の方から「呪い(ヲ」が飛んできそうなので、一応簡単に書きます。

一言で言うとおいしかったですw……じゃなくて、タメになりました。
-----
(朝 JR京都駅にて)
京都に到着後、トイレに駆け込むと、ヤマガタさんが出てくる処と遭遇。
一緒に歩きながら話を聞くと、どうやら同じ便の同じ車両だった……アレー???
(同じ便なのは分かるのだが、何故同じ車両にも関わらず、約2.5時間の間気が付かなかったのだろう???)

-----
(めざまし)
一言で言うと「中学生凄い」。
そっかぁ、大昔だと「BASICでプログラム」なのが、今だと「LLでWebアプリを書く」が入門なのかぁ……。

-----
(本編)
前編の小野寺さんのお話……いやー、これを聞けただけでも十二分の価値はあるよなぁ。
つーかPublicな場では絶対に聞けない(話せない)ようなネタが聞けただけでも(ヲ

お菓子は、例の「大群で走ってきそうな」モンブラン。自分は洋酒入りの方を頂きましたが、結構洋酒が来る……コレ、未成年禁止(笑)。
(いや、本当に酔っ払いそうになりましたし。)

LLは(自分以外)は非常にタメになりました。
え、自分?、とりあえず「掴み」は取れたんで(マテ)。
(あのネタは、モンブランを食べながら急遽挿入……時間にして約30秒で発想→実装しました。)

-----
(懇親会)
自分がいた席は、何故か分からないけれど、濃度120%のオタトークが炸裂(ヲ

ようやく戻ってこられた……

2009-01-21 12:30:20 | 雑記
いや、京都からは1/18(日)の朝には戻ってきましたよ(でも疲れて、とても作業する気にはならなかった)。

そうじゃなくて、一昨日(19)、昨日(20)はネット環境が無い処へ拉致監禁……じゃなくて本業の方の研修で引きこもりモード。で、今日の朝は本業のお客様の処へ……で、今に至ると。

ちなみに本業の方の研修は、ITILの緑本(ITILの導入)に関する事だったりします。

先日のまっちゃ139勉強会のLTでの資料は、明日・明後日くらいまでには公開したいと思います……遅くなって済みません。m(_ _)m

月刊MS 2009/1号

2009-01-14 14:20:31 | セキュリティ(エンドユーザ向け)
2009 年 1 月のセキュリティ情報 - Microsoft
今月は1本(OS)、適用すると再起動が発生するので、Microsoft Update実施前に開いているファイルは全て閉じておきましょう。

--- ここから先はやや技術者寄りのお話なので、パスしても構いません ---

ちょっとだけ難しい話になってしまいますが、今回リリースされたセキュリティ修正プログラム「MS09-001」の深刻度は「緊急(Critical)」です。

が、MS内部の専門家によると「理論的には任意のコードを実行させる事は可能だが、実際にはDoS状態にしかならない」との事。
この辺は将来の脅威に備える(※1)という意味での判断結果だと思います。
---
(※1)状況が変わるなんて良くある話ですしね。

おいしそう……

2009-01-14 09:45:18 | 雑記
さて、今週末(17日)に開催が迫った「まっちゃ139勉強会#17」ですが、LTの準備はぼちぼち進んでおります。
で……

今回のまっちゃ139のお菓子は、過去最高額!!! - まっちゃだいふくの日記★とれんどふりーく★
今回のまっちゃ139のお菓子は、マールブランシェのモンブラン!!!

ですが、ひとつ525円です。はい。一人ひとつ用意しますよ!!!!
……これは「感想:おいしかったです」(※1)を増やすための布石ですね、わかりますw
---
(※1)実際に過去開催の「まっちゃ139/445勉強会」の感想として寄せられたとかいないとか(ヲ

セキュリティ系勉強会へ行こう!!

2009-01-06 09:54:19 | セキュリティ(技術者向け)
はなずきんのIT勉強会に行こう! 第2回 「門外不出」のセキュリティ系勉強会 - @IT
この記事を書いた人本人経由。

こうやって地図を見ると、「セキュリティ」をメインテーマとして取り扱っているIT勉強会って、実は少ないものの全国各地で開催されているって事が良く分かります。
主にセキュリティを扱っている勉強会を日本地図にマッピングしました。いろいろな場所で開催されているので、わたしのように新幹線や夜行バスを利用して参加する人が少なくありません。
(「はなずきんのIT勉強会に行こう! 第2回 「門外不出」のセキュリティ系勉強会 (@IT)」より引用)
……つーかモロ自分の事のような(ヲ
(何せ初めてまっちゃ139勉強会に行った時は、夜行バスを使って「0泊3日」という暴挙をやっちゃいましたし(マテ))
上記引用部分から外していますが、青春18きっぷなどの割安で行けるチケットなどを駆使して遠方から来られる方も、結構多いですしね。
なぜセキュリティ系の勉強会には、遠方からの参加者が多いのでしょうか。最大の理由は「門外不出」の内容を扱っているから。セキュリティ技術の向上を図るため、際どい内容が含まれるものや、公開禁止と書かれているものを扱うのがセキュリティ系の勉強会。そのため、実際に参加しないと詳細な中身を知ることができないのです。
(「はなずきんのIT勉強会に行こう! 第2回 「門外不出」のセキュリティ系勉強会 (@IT)」より引用)
そうそう、自分も勉強会に参加した後に書く記事が雑感で留まっているのは、こういう理由があったりします。実際自分も何度かオフレコを条件に話した事が何度かありますし。
(本当は可能な限り情報公開したいところなんですが、「道義上それはヤバいでしょ?」というテーマを取り扱う事もままありますので。)
「これは書いていいのかな?」と少しでも感じた場合は、開催者や登壇者に確認をしましょう。また、これはセキュリティ系の勉強会に限ったことではありませんが、残念ながら社員が外部の勉強会に参加することを好ましく思わない会社も少なからずあるのが現状です。勉強会や懇親会で写真を撮影してブログに載せる際は、一言断りを入れましょう。
(「はなずきんのIT勉強会に行こう! 第2回 「門外不出」のセキュリティ系勉強会 (@IT)」より引用)
自分がよく行く「まっちゃ139/445勉強会」の場合は、開催挨拶時にキチンと説明があります(自己紹介、オフレコと指示された話、および質疑応答は公開NG、録音、撮影もNG)ので、その指示に従えば、まぁこの手のトラブルに巻き込まれる事はないでしょうね。

とは言え、必要以上に恐れる事はなく、参加してみると結構和気藹々とした雰囲気の処が多いので、まずは「気になったら参加してみるべし」という事で。
(直近は来週土曜(17日)の「まっちゃ139勉強会(京都)」……何か自分も喋る事になったらしい(コラ)ので、時間と都合がつく方は是非申し込んで、会場までお越し頂ければ幸いです。)