Upgrade to Pro — share decks privately, control downloads, hide ads and more …

感謝の正拳突き(セキュリティ) / Security Muscle Training

fujiihda
September 25, 2020
Technology
4
2.2k

感謝の正拳突き(セキュリティ) / Security Muscle Training

本資料は 2020/9/25 の Infra Study Meetup #6「インフラとセキュリティのこれから」の発表資料です。

■発表動画
https://youtu.be/X8HvH3dF6ZM?t=6643

■内容
セキュリティ領域の「感謝の正拳突き」です。具体的には、セキュリティに関わる「情報収集」と「筋トレ」です。

fujiihda

September 25, 2020
Tweet

More Decks by fujiihda

See All by fujiihda
TAMとre:Capセキュリティ編 〜拡張脅威検出デモを添えて〜
fujiihda
2
480
攻撃しながら考えるKubernetesセキュリティ / Considering Kubernetes Security While Attacking 2
fujiihda
10
2.5k
攻撃しながら考えるKubernetesのセキュリティ / Considering Kubernetes Security While Attacking
fujiihda
16
5.7k
1893件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成するsyzkallerのテスト自動化技術 / syzkaller Kernel VM Kansai 10th
fujiihda
8
1.8k
OSの機能から考えるコンテナセキュリティ / Considering Container Security
fujiihda
8
3k
Linuxカーネルのファジングツールsyzkaller / Linux kernel fuzzing tool syzkaller
fujiihda
2
3.2k

Other Decks in Technology

See All in Technology
AI Agentを「期待通り」に動かすために:設計アプローチの模索と現在地
kworkdev
PRO
2
380
SREの視点で考えるSIEM活用術 〜AWS環境でのセキュリティ強化〜
coconala_engineer
1
250
システムとの会話から生まれる先手のDevOps
kakehashi
PRO
0
210
Lakeflow Connectのご紹介
databricksjapan
0
100
やさしいMCP入門
minorun365
PRO
146
95k
20250408 AI Agent workshop
sakana_ai
PRO
15
3.4k
ソフトウェア開発現代史: "LeanとDevOpsの科学"の「科学」とは何か? - DORA Report 10年の変遷を追って - #DevOpsDaysTokyo
takabow
0
200
50人の組織でAIエージェントを使う文化を作るためには / How to Create a Culture of Using AI Agents in a 50-Person Organization
yuitosato
6
3.2k
アセスメントで紐解く、10Xのデータマネジメントの軌跡
10xinc
1
350
Startups On Rails 2025 @ Tropical on Rails
irinanazarova
0
250
SRE NEXT CfP チームが語る 聞きたくなるプロポーザルとは / Proposals by the SRE NEXT CfP Team that are sure to be accepted
chaspy
1
570
TopAppBar Composableをカスタムする
hunachi
0
170

Featured

See All Featured
The Cost Of JavaScript in 2023
addyosmani
49
7.7k
Embracing the Ebb and Flow
colly
85
4.6k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.3k
The Cult of Friendly URLs
andyhume
78
6.3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.2k
How GitHub (no longer) Works
holman
314
140k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
13
1.4k
Adopting Sorbet at Scale
ufuk
76
9.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
178
53k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
21k

Transcript

  1. @fujiihda 2020/9/25 Infra Study Meetup #6 「インフラとセキュリティのこれから」 感謝の正拳突き(セキュリティ)

  2. 2 2 @fujiihda Whois • 役割:インフラエンジニア • 仕事:k8sを活用する組織のリサーチチーム • 経歴:OSS

    → OSとコンテナ → 現職 • 趣味:コミュニティ活動 ゆっきー (Hideyuki Fujii) @fujiihda

  3. 3 @fujiihda の セ キ ュ リ テ ィ を

    完 全 に 理 解 し て し ま っ た か も し れ な い の セ キ ュ リ テ ィ わ か ら な く な っ て き た 全然わからない 俺たちは雰囲気で 以下略 k8s k8s

  4. 4 4 @fujiihda ところでこれなにかわかりますか? 感謝

  5. 5 5 @fujiihda ところでこれなにかわかりますか? 感謝 ネテ□が46歳のとき、(中略) 己を育てて くれた 〇〇 に感謝するため、

    「一日一万回 感謝の正拳突き」を行なう ことにした。 「気を整え → 拝み → 祈り → (脆弱性を) 突く」という一連の流れを1万回繰り返す (以下略)

  6. 6 6 @fujiihda ところでこれなにかわかりますか? 感謝 茶番はともかく、 一連の流れ (型) を一日一万回繰り返す ことで、強さを手に入れた人がいました。

  7. 7 7 @fujiihda 今日はセキュリティに関する感謝の正拳突きの話 (脳筋) • 誰かの役に立つことを祈って私の感謝の 正拳突きをお伝えします – 日々の

    セキュリティ情報収取 – 日々の セキュリティ筋トレ • ぜひ皆さんの情報収集 / 筋トレ術や 感想なども教えてください 愛が大切

  8. 8 @fujiihda 情報収集 (すぐ使えるもの)

  9. 9 9 @fujiihda すぐ使えそうな情報収集 • 興味深い人をフォローするだけでなく、その人 がフォローしている人を真似する • 興味深い人 /

    興味深いテーマの発表資料や動画 (日本語) は全部見る (※) • 興味深いニュース、リリース、セキュリティ アドバイザリは全部読む • 興味深い人が書いた日本語書籍は全部読む(※) • 公式ドキュメント、標準規格、フレームワーク、 ガイドラインはなるべく原語で全部読む(※) 愛が大切 (※) 一部実践できていません

  10. 10 10 @fujiihda 少し大変だけど効果的な情報収集 • 興味深い内容や評判であれば洋書でも論文でも全部読む (※) – 無料で読めるアーリーリリース版などもどんどん読む –

    PDFななめ読みのときに限り機械翻訳も併用 (なるべくそのまま読む) ① Ctrl + c 2回押下 ② 読み込 まれて翻 訳される (※) 一部実践できていません

  11. 11 11 @fujiihda かなり大変だけど効果的な情報収集 • 大きなカンファレンスでの興味深い内容の発表資料や 発表動画 (英語) は全部見る (※)

    – 聞き取れないときは文字起こし(精度80%?)と巻き戻し再生で頑張る – 文字起こしと先述の機械翻訳の合わせ技も可能だが、それらを使用して 超高速技術英語を頑張って理解しようとすると私の場合はコスト10倍 (※) 一部実践できていません

  12. 12 @fujiihda 筋トレ (いますぐ目立つものでは ないけれど重要なもの)

  13. 13 13 @fujiihda 地道な筋トレ (趣味を兼ねていると良い) • セキュリティと低レイヤの基礎理解 (※) – コンピュータはどのように動いているのか理解

    – システムプログラミング、OS、基盤技術への理解 • 地味だけど資格取得 / トレーニング – セキュリティ関連 – クラウドベンダ関連 • とにかく手を動かす / やってみる – 気になる / 有名な脆弱性を検証 – 脆弱性の仕組みを追う 愛が大切 (※) 一部実践できていません

  14. 14 @fujiihda さいごに

  15. 15 15 @fujiihda アウトプットしないのは知的な便秘 • アウトプット、フィードバック、情報交換 – LT、コミュニティ、大きなイベントなどで発表 • 自分の情報を整理して解説できるようにする

    • 師匠を見つけてレビューしてもらう / 教えを請う • 近い専門分野 / 別の専門分野の人と情報交換 • 運営側にまわるというやり方も有効かも • アウトプットだけはおそらくだめで地道な筋トレ必須 愛が大切

  16. 16 @fujiihda まとめ: • 効率が良くて、仕組みを捉えていて、 1円もかからない奥義は存在しない • 先駆者が生み出した秘伝は書籍や発表 として出てくるので解読すると早い •

    地味な筋トレは目立たないが必須 • アウトプットしないのは知的な便秘