明日の別イベントとあわせて、話題は矢張り標的型攻撃。人が防ぐというには限界がある(というか、限界になるまで試してくる)ので、あとは人の介在なく防ぐか、発見するか悪影響を防衛するか。そこに色々な考えかたが出てくる。

うちの会社は…まあ部署ごとに微妙にカバー範囲に応じて結論は違うんだろうな。

JVNに似合わない名前をみつけた。ベンダ補足ではなく、珍しくJPCERT/CCからの補足情報があるということは、ハンドリングしている人もしっかりどのような製品かを認識していたのだろうか。

よく考えれば、パートナーシップにおける製品の脆弱性関連情報の取り扱いは、フリーソフトウェアだろうが、旧来のOLS/FSW/PDSだろうが関係はない。そして、ネットワーク越しに攻撃可能ならば、なるほどゲームでも含まれる。ならば、それが同人ゲームであろうとも、サイトをかまえ、パッチを配布でき、製作者が明確ならば何の問題もない。

というものの、普通の製品が並ぶ中で東方の名前を見ることになろうとは…。東方シリーズは二次創作のガイドラインがあるから良いが、市販データ流用とか違法性がありそうな製品の届出がきたら、関係諸氏が延々困るんだろうなあ、きっと。

自作サーバの自主運用で有名だったはてなが、さくらのクラウドでの業務委託に切り替えたとの事。安価に入手できる、用途にあわせつつ適応で組める、といった自作のメリットがクラウドで享受できるようになってきたからなのだろう。サーバ機器のおもりをするにしても、昨今は節電もあれば人件費も相対的に高くなるし、結局のところ運用費用がかかるということだ。

個人ではどうかと言うと、私は以下の点をクリアできれば自宅サーバをクラウドに移しても良いと考えている。なお、価格優位性とか保守体制とか会社の信頼度とか安定度とか、あたりまえの話は省略。

まずは可用性ということで「データが引き揚げられること」。データをベンダロックインされるのではなく、適当な単位で手元にバックアップしておきたい。Amazonなど世界各国で分散すれば1箇所落ちても大丈夫、などというのもあるが、古い人間なのでデータは手元に届くようにしておきたいし、手元が壊れてもリモートがあるという状態にしておきたい。

つぎにいささか職業病的だが「機密性が約款で担保されていること」。元々通信事業者には縛りがかかっているが、クラウドサービスの場合どこまで適用されるのかがいまいちわかりにくい。そのため、オペレータが中身を覗けません、安いからといってマーケティングに利用されません、という保証が欲しい。その分、いざとなったら約款の壁でデータが取りだせませんよとなってもＯＫ。そのための可用性条項だ。

最後に、できれば身元確認を取るサービスであること。クラウドによるサービスの利点は支払いさえあればすぐに取れるような利便性にあることは承知しているが、住所を同定する必要があるISPサービスとの連携、あるいはクレジットカードでも良いので身元や信用の確認を行った上で利用可能なサービスである方が、Pinboardのように◯◯な方々避けとしては望ましい。

実際に移すとしたら、まずはウェブとDNSまわりで様子見して、最後にやっとメールサーバという事になるだろう。IPv6が自宅までなかなかきちんと届かないので、クラウドで試せるならば色々やってはみたい。Vyatta等も気になる。

そして、ここまで書いてやっと気がついたが、どっちみち家庭内でファイルサーバとか動かすと大して消費電力がかわないのではないだろうか。せいぜいISPを移動しやすくなる程度? …まあ気にしない気にしない。

長いので後まわしにしていた日本文化チャンネル桜のインタビュー。そういうチャンネルで、警察庁の標的型攻撃のニュースとあわせて見るとなかなか興味深い。

【伊東寛】サイバー戦に関わる最近の動向・国がなすべきこと[桜H23/7/26]

いくつかの視点が参考になった。警察行動は、相手の脅威に応じた対応しかできない。戦争は、相手の脅威に依らずどこまでも行使できる。これが、日本の話なのかそれとも比較的普遍的な話なのか、どちらなのだろう。

戦争に関わる対象は歴史ごとに増えている。つい前までは軍隊だけでなく爆撃などで後方の民間人も巻き込まれるようになった。それが、ロシアのグルジア進行のように民間が勝手に参加(サイバー攻撃)するようになった。というのは納得。

一昔前は愛国者有志(?)の類が「んじゃ、ちょっと敵国いって勝手に戦ってくるわ」とはできなかったが、今はできるということなのだろう。流石にまだ交戦のきっかけにはならないだろうけれど、Stuxnet等を見ていると必ずしもできないわけではない、と思う。

そう考えると、Windowsのゼロデイ脆弱性一つで色々できるので、政治的にはともかく方法的には攻めるのが有利な時代なのかもしれない。

10年も経つと色々あるものですが、基本的に人はかわっていないわけで、研究内容の紹介の時にはあらかじめ何も言うなと釘をさされたりしてしまいました。見慣れた資料もあるので色々と余談を話し続けられたり、そもそもお互い院生の時代の話までしか知りませんから、エピソードはそれなりにあるわけですし…。

という妙な警戒がありつつも、他の方々を含めて色々と情報交換できて実に有意義な時間でした。

ベンダが「うちの製品にこんな脆弱性があるよ」と公表するための標準形式が公開された。

もちろん独自にいくらでも情報を公開するのは良いけど、標準記述にしておくと他の情報との連携もとれるし、「標準PCに標準のソフトウェアを入れて標準形式で管理、アップデートの情報も標準形式で入手して、影響範囲の算出とかバージョン管理も標準」的なツールまかせの自動化ができると、お役所世界で助かる。

実際、セキュリティ設計の標準化と自動化のための仕組み(SCAP)がアメリカ政府関連で進められており、国内でもIPAがCVE, CCE, CPE, CVSS, XCCDF, OVALなどを展開している。当然、今回のCVRFもそれらの情報と連携することが期待されている。

とはいえ、記事の中にあるように近い情報のOVALですらまだ完全に連携はできず、今後の展開待ちでしょうか。ML、Twitter, Facebookなど数々の情報源からはこういう礼儀の良いデータはでできそうにないですし。CVSSのTMとの連携も気になるところです。

モテる女子力を磨くための4つの心得「オムライスを食べられない女をアピールせよ」等 – Be Wise Be Happy Pouch［ポーチ］

こんにちは、ネットワークセキュリティを専攻しているセキュリティ屋です。私はシャノンの定理も離散コサイン変換もわかりませんしブスですが、ネットワークセキュリティに関してはプロフェッショナル。今回は、モテる女子力を磨くための4つの心得を皆さんにお教えしたいと思います。
　
1. あえて2～3世代前のUTMを飲み会に持っていく
あえて2～3世代前のUTMを使うようにしましょう。そして飲み会の場で好みの男がいたら話しかけ、わざとらしく監視画面を出していじってみましょう。そして「あ～ん！　このUTM本当にマジでチョームカつくんですけどぉぉお～！」と言って、男に「どうしたの？」と言わせましょう。言わせたらもう大成功。「アプリケーションレベルファイアウォールとか詳しくなくてぇ～！ ずっとコレ使ってるんですけどぉ～！ 使いにくいんですぅ～！ ぷんぷくり～ん（怒）」と言いましょう。だいたいの男は新しいUTMを設置したがる習性があるので、古かったとしても1世代前のUTMを使っているはずです。

そこで男が「最新のUTMにしないの？」と言ってくるはず（言ってこないセキュリティ意識が足りない男はその時点でガン無視OK）。そう言われたらあなたは「なんかなんかぁ～！　最近Paro Alto Networksが人気なんでしょー!?　あれってどうなんですかぁ？　新しいの欲しいんですけどわかんなぁぁああい!!　私かわいそーなコ★」と返します。すると男は「PAシリーズでしょ？　次世代FWで日本展開を重視しているから色々対応してくれるらしいよ。本当に良くわからないみたいだね。どんなのが欲しいの？」という話になって、次の休みの日にふたりでUTM選びに商社デートに行けるというわけです。あなたの女子力が高ければ、男がアプライアンス一式買ってくれるかも!?
　
2. 仮想化を多用するとモテる
クラウドに向いた仮想化ルータを提案に入れると、顧客の男性ユーザーは「なんかこの子カワイイなぁ」や「仮想レイヤの住人かも」と思ってくれます。インターネット上では現実世界よりもレイヤが上になって相手に伝わるので 仮想化を多用することによって、男性はあなたを一つの肉体に縛られない二次元の女の子らしいと勘違いしてくれるのです。そういうキャラクターにするとほぼ絶対に同性に嫌われますが気にしないようにしましょう。
　
3. とりあえず男には「えー！ なにそれ!?　 知りたい知りたーい♪」と言っておく
飲み会などで男が女性に話すことといえば情報漏えいとかセキュリティ事件の話ばかり。よって、女性にとってどうでもいい話ばかりです。でもそこで適当に「へぇーそうなんですかぁ～？」とか「よくわかんないですけどすごいんですねぇ」と返してしまうと、さすがの男も「この女ダメだな」と気がついてしまいます。ダメ女だとバレたら終わりです。そこは無意味にテンションをあげて、「えー！ なにそれ!?　 知りたい知りたーい♪」と言っておくのが正解。たとえ興味がない話題でも、テンションと積極性でその場を乗り切りましょう。積極的に話を聞いてくれる女性に男は弱いのです。

いろいろと話を聞いたあと、「だから入札要件にISO/IEC27001認証取得が指定されていて、機器はISO/IEC15408のEAL4以上必須なんですね！　覚えたぞぉ！　メモメモ！」とコメントすればパーフェクト。続けて頭に指をさしてくるくる回しつつ「ALC_FLR！　ALC_FLR！」と言って、「どうしたの？」と男に言わせるのもアリ。そこで「EAL4の要件に加えて国際的に通用する範囲でEAL4+にしているのでありますっ☆」と言えば女子力アップ！　そこでまた男は「この子官公庁案件にピッタリかも!?」と思ってくれます。私はシャノンの定理も離散コサイン変換もわかりませんしブスですが、こういうテクニックを使えば知識がない私のようなバカ女のほうがモテたりするのです。男は優越感に浸りたいですからね。
　
4. iDCではウイルスを駆除できない女をアピールせよ
男とiDCに入ったら、真っ先にアンチウイルスのアプライアンスを探して「あーん！　私これ設定できないんですよねぇ～（悲）」と言いましょう。するとほぼ100パーセント「どうして？　嫌いなの？」と聞かれるので、「嫌いじゃないし使いたいけど使えないんですっ＞＜」と返答しましょう。ここでまた100パーセント「嫌いじゃないのにどうして設定できないの？」と聞かれるので、うつむいて3～5秒ほど間をおいてからボソッとこう言います。「……だって、……だって、ゲートウェイで駆除したらコンピュータウイルスが死んじゃうじゃないですかぁっ！　ウイルスちゃんかわいそうですぅ！　まだexploit実行もしてないのにぃぃ～（悲）。脆弱性があるか試せないんですよ……」と身を震わせて言うのです。

その瞬間、あなたの女子力がアップします。きっと男は「なんて優しい天使のようなコなんだろう！　絶対にゲットしてやるぞ！　コイツは俺の女だ！」と心のなかで誓い、あなたに惚れ込むはずです。意中の男と付き合うことになったら、そんなことは忘れて好きなだけウイルスを駆除して大丈夫です。「アンチウイルス苦手じゃなかったっけ？」と言われたら「会社のポリシーで必須になった」とか「入れないとWindowsが文句を言う」、「Cascadeにやられた古傷が痛む」と言っておけばOKです。

早速換算した会社がいたようで。意外と安いと見るべきか、思ったよりも高いというべきか。

TRPGゲーマーとしてはルーマニア/モルドバの運転免許や身分証明書、イスラエルのパスポートの値段を見て、「プレイに使えるな」と考えてしまうのが性か。

外部から攻撃してDoS可能な脆弱性か。CVSSも良い値がついている。

で、手持ちのRTはファームウェアが更新されないんですけど、どうしませう。

CloudFlareというサービスが良い値段の分散サービスらしい。稼働率からして安値でも採算があるということらしいが、実際はどうなのか。セキュリティも強調しているので気になるところだ。

実際、クラウドサービスのセキュリティというものは色々面倒なもので、社内でも何人も調べて講座にしていたりする。上物は同じなんだけれども仮想化レイヤが絡んでくるのでそこをどこまで「制度化」するのかというのがキモな気がする。ESXiとかVMMに徹しているものはまだわかるが、Vyattaとかからむと内部でさらに複雑なネットワークとなるのでネットワーク方面のセキュリティまで必要となる。

NISTのSP800-125があるので、一般的にはこのあたりでポリシーレベルを決めれば良いのかな。日本の省庁で出しはじめれば基準になると思う。