Upgrade to Pro — share decks privately, control downloads, hide ads and more …

感謝の正拳突き(セキュリティ) / Security Muscle Training

fujiihda
September 25, 2020

感謝の正拳突き(セキュリティ) / Security Muscle Training

本資料は 2020/9/25 の Infra Study Meetup #6「インフラとセキュリティのこれから」の発表資料です。

■発表動画
https://youtu.be/X8HvH3dF6ZM?t=6643

■内容
セキュリティ領域の「感謝の正拳突き」です。具体的には、セキュリティに関わる「情報収集」と「筋トレ」です。

fujiihda

September 25, 2020
Tweet

More Decks by fujiihda

Other Decks in Technology

Transcript

  1. @fujiihda
    2020/9/25
    Infra Study Meetup #6
    「インフラとセキュリティのこれから」
    感謝の正拳突き(セキュリティ)

    View Slide

  2. 2
    2
    @fujiihda
    Whois
    • 役割:インフラエンジニア
    • 仕事:k8sを活用する組織のリサーチチーム
    • 経歴:OSS → OSとコンテナ → 現職
    • 趣味:コミュニティ活動
    ゆっきー
    (Hideyuki Fujii)
    @fujiihda

    View Slide

  3. 3
    @fujiihda










































    全然わからない
    俺たちは雰囲気で
    以下略
    k8s k8s

    View Slide

  4. 4
    4
    @fujiihda
    ところでこれなにかわかりますか?
    感謝

    View Slide

  5. 5
    5
    @fujiihda
    ところでこれなにかわかりますか?
    感謝
    ネテ□が46歳のとき、(中略) 己を育てて
    くれた 〇〇 に感謝するため、
    「一日一万回 感謝の正拳突き」を行なう
    ことにした。
    「気を整え → 拝み → 祈り → (脆弱性を)
    突く」という一連の流れを1万回繰り返す
    (以下略)

    View Slide

  6. 6
    6
    @fujiihda
    ところでこれなにかわかりますか?
    感謝
    茶番はともかく、
    一連の流れ (型) を一日一万回繰り返す
    ことで、強さを手に入れた人がいました。

    View Slide

  7. 7
    7
    @fujiihda
    今日はセキュリティに関する感謝の正拳突きの話 (脳筋)
    • 誰かの役に立つことを祈って私の感謝の
    正拳突きをお伝えします
    – 日々の セキュリティ情報収取
    – 日々の セキュリティ筋トレ
    • ぜひ皆さんの情報収集 / 筋トレ術や
    感想なども教えてください
    愛が大切

    View Slide

  8. 8
    @fujiihda
    情報収集
    (すぐ使えるもの)

    View Slide

  9. 9
    9
    @fujiihda
    すぐ使えそうな情報収集
    • 興味深い人をフォローするだけでなく、その人
    がフォローしている人を真似する
    • 興味深い人 / 興味深いテーマの発表資料や動画
    (日本語) は全部見る (※)
    • 興味深いニュース、リリース、セキュリティ
    アドバイザリは全部読む
    • 興味深い人が書いた日本語書籍は全部読む(※)
    • 公式ドキュメント、標準規格、フレームワーク、
    ガイドラインはなるべく原語で全部読む(※)
    愛が大切
    (※) 一部実践できていません

    View Slide

  10. 10
    10
    @fujiihda
    少し大変だけど効果的な情報収集
    • 興味深い内容や評判であれば洋書でも論文でも全部読む (※)
    – 無料で読めるアーリーリリース版などもどんどん読む
    – PDFななめ読みのときに限り機械翻訳も併用 (なるべくそのまま読む)
    ① Ctrl + c
    2回押下
    ② 読み込
    まれて翻
    訳される
    (※) 一部実践できていません

    View Slide

  11. 11
    11
    @fujiihda
    かなり大変だけど効果的な情報収集
    • 大きなカンファレンスでの興味深い内容の発表資料や
    発表動画 (英語) は全部見る (※)
    – 聞き取れないときは文字起こし(精度80%?)と巻き戻し再生で頑張る
    – 文字起こしと先述の機械翻訳の合わせ技も可能だが、それらを使用して
    超高速技術英語を頑張って理解しようとすると私の場合はコスト10倍
    (※) 一部実践できていません

    View Slide

  12. 12
    @fujiihda
    筋トレ
    (いますぐ目立つものでは
    ないけれど重要なもの)

    View Slide

  13. 13
    13
    @fujiihda
    地道な筋トレ (趣味を兼ねていると良い)
    • セキュリティと低レイヤの基礎理解 (※)
    – コンピュータはどのように動いているのか理解
    – システムプログラミング、OS、基盤技術への理解
    • 地味だけど資格取得 / トレーニング
    – セキュリティ関連
    – クラウドベンダ関連
    • とにかく手を動かす / やってみる
    – 気になる / 有名な脆弱性を検証
    – 脆弱性の仕組みを追う
    愛が大切
    (※) 一部実践できていません

    View Slide

  14. 14
    @fujiihda
    さいごに

    View Slide

  15. 15
    15
    @fujiihda
    アウトプットしないのは知的な便秘
    • アウトプット、フィードバック、情報交換
    – LT、コミュニティ、大きなイベントなどで発表
    • 自分の情報を整理して解説できるようにする
    • 師匠を見つけてレビューしてもらう / 教えを請う
    • 近い専門分野 / 別の専門分野の人と情報交換
    • 運営側にまわるというやり方も有効かも
    • アウトプットだけはおそらくだめで地道な筋トレ必須
    愛が大切

    View Slide

  16. 16
    @fujiihda
    まとめ:
    • 効率が良くて、仕組みを捉えていて、
    1円もかからない奥義は存在しない
    • 先駆者が生み出した秘伝は書籍や発表
    として出てくるので解読すると早い
    • 地味な筋トレは目立たないが必須
    • アウトプットしないのは知的な便秘

    View Slide