Upgrade to Pro — share decks privately, control downloads, hide ads and more …

感謝の正拳突き(セキュリティ) / Security Muscle Training

fujiihda
September 25, 2020
Technology
4
1.7k

感謝の正拳突き(セキュリティ) / Security Muscle Training

本資料は 2020/9/25 の Infra Study Meetup #6「インフラとセキュリティのこれから」の発表資料です。

■発表動画
https://youtu.be/X8HvH3dF6ZM?t=6643

■内容
セキュリティ領域の「感謝の正拳突き」です。具体的には、セキュリティに関わる「情報収集」と「筋トレ」です。

fujiihda

September 25, 2020
Tweet

More Decks by fujiihda

See All by fujiihda
攻撃しながら考えるKubernetesセキュリティ / Considering Kubernetes Security While Attacking 2
fujiihda
10
2.2k
攻撃しながら考えるKubernetesのセキュリティ / Considering Kubernetes Security While Attacking
fujiihda
16
5.3k
1893件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成するsyzkallerのテスト自動化技術 / syzkaller Kernel VM Kansai 10th
fujiihda
8
1.5k
OSの機能から考えるコンテナセキュリティ / Considering Container Security
fujiihda
8
2.6k
Linuxカーネルのファジングツールsyzkaller / Linux kernel fuzzing tool syzkaller
fujiihda
2
2.5k

Other Decks in Technology

See All in Technology
Azure OpenAI Service リファレンスアーキテクチャからみる本番システムレベルの LLM アプリに必要な検討項目の解説 / From Azure OpenAI Reference Architecture to Production-Ready LLM Apps #serverlessdays #serverlesstokyo
koudaiii
5
1.7k
【2023】SWR vs TanStack Query
ytaisei
1
230
サーバーレスは死なぬ!みんなEDA(Event Driven Architecture)として使ってるでしょ?
cyberarchitect
5
1.9k
今改めて見直してみるラズパイの真価
hamadakoji
1
150
Case Studies: Modern Development Practices In Highly Regulated Environments
charity
1
310
React Suspenseを使って遷移体験を向上させる
kobayang
3
790
Microservices - Where are my Transactions and my Consitency????
ewolff
2
120
LLMアプリケーションの安定性を高めるための精度評価・改善
nrryuya
3
1k
LLM 時代におさえておきたい Azure Serverless ファミリーまとめ / serverlessdaystokyo2023-llm-aoai
miyake
5
830
セルフホストランナーとインターネットとの間の転送量を削減している話
defaultcf
0
120
2023-09-05_OCIJP_まれによくあるマルチクラウドでDB-AP分離構成のこと
hk_shino
2
210
"SMB vs. EP" プロダクト特性の違いから考える「何をつくる?つくらない?」
miyashino
0
370

Featured

See All Featured
Optimising Largest Contentful Paint
csswizardry
6
1.8k
RailsConf 2023
tenderlove
0
240
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
17
1.3k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.7k
YesSQL, Process and Tooling at Scale
rocio
159
13k
Why Our Code Smells
bkeepers
PRO
329
56k
Git: the NoSQL Database
bkeepers
PRO
420
61k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
657
120k
Learning to Love Humans: Emotional Interface Design
aarron
265
38k
Designing for humans not robots
tammielis
246
24k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
Agile that works and the tools we love
rasmusluckow
323
20k

Transcript

  1. @fujiihda
    2020/9/25
    Infra Study Meetup #6
    「インフラとセキュリティのこれから」
    感謝の正拳突き(セキュリティ)

    View Slide

  2. 2
    2
    @fujiihda
    Whois
    • 役割:インフラエンジニア
    • 仕事:k8sを活用する組織のリサーチチーム
    • 経歴:OSS → OSとコンテナ → 現職
    • 趣味:コミュニティ活動
    ゆっきー
    (Hideyuki Fujii)
    @fujiihda

    View Slide

  3. 3
    @fujiihda










































    全然わからない
    俺たちは雰囲気で
    以下略
    k8s k8s

    View Slide

  4. 4
    4
    @fujiihda
    ところでこれなにかわかりますか?
    感謝

    View Slide

  5. 5
    5
    @fujiihda
    ところでこれなにかわかりますか?
    感謝
    ネテ□が46歳のとき、(中略) 己を育てて
    くれた 〇〇 に感謝するため、
    「一日一万回 感謝の正拳突き」を行なう
    ことにした。
    「気を整え → 拝み → 祈り → (脆弱性を)
    突く」という一連の流れを1万回繰り返す
    (以下略)

    View Slide

  6. 6
    6
    @fujiihda
    ところでこれなにかわかりますか?
    感謝
    茶番はともかく、
    一連の流れ (型) を一日一万回繰り返す
    ことで、強さを手に入れた人がいました。

    View Slide

  7. 7
    7
    @fujiihda
    今日はセキュリティに関する感謝の正拳突きの話 (脳筋)
    • 誰かの役に立つことを祈って私の感謝の
    正拳突きをお伝えします
    – 日々の セキュリティ情報収取
    – 日々の セキュリティ筋トレ
    • ぜひ皆さんの情報収集 / 筋トレ術や
    感想なども教えてください
    愛が大切

    View Slide

  8. 8
    @fujiihda
    情報収集
    (すぐ使えるもの)

    View Slide

  9. 9
    9
    @fujiihda
    すぐ使えそうな情報収集
    • 興味深い人をフォローするだけでなく、その人
    がフォローしている人を真似する
    • 興味深い人 / 興味深いテーマの発表資料や動画
    (日本語) は全部見る (※)
    • 興味深いニュース、リリース、セキュリティ
    アドバイザリは全部読む
    • 興味深い人が書いた日本語書籍は全部読む(※)
    • 公式ドキュメント、標準規格、フレームワーク、
    ガイドラインはなるべく原語で全部読む(※)
    愛が大切
    (※) 一部実践できていません

    View Slide

  10. 10
    10
    @fujiihda
    少し大変だけど効果的な情報収集
    • 興味深い内容や評判であれば洋書でも論文でも全部読む (※)
    – 無料で読めるアーリーリリース版などもどんどん読む
    – PDFななめ読みのときに限り機械翻訳も併用 (なるべくそのまま読む)
    ① Ctrl + c
    2回押下
    ② 読み込
    まれて翻
    訳される
    (※) 一部実践できていません

    View Slide

  11. 11
    11
    @fujiihda
    かなり大変だけど効果的な情報収集
    • 大きなカンファレンスでの興味深い内容の発表資料や
    発表動画 (英語) は全部見る (※)
    – 聞き取れないときは文字起こし(精度80%?)と巻き戻し再生で頑張る
    – 文字起こしと先述の機械翻訳の合わせ技も可能だが、それらを使用して
    超高速技術英語を頑張って理解しようとすると私の場合はコスト10倍
    (※) 一部実践できていません

    View Slide

  12. 12
    @fujiihda
    筋トレ
    (いますぐ目立つものでは
    ないけれど重要なもの)

    View Slide

  13. 13
    13
    @fujiihda
    地道な筋トレ (趣味を兼ねていると良い)
    • セキュリティと低レイヤの基礎理解 (※)
    – コンピュータはどのように動いているのか理解
    – システムプログラミング、OS、基盤技術への理解
    • 地味だけど資格取得 / トレーニング
    – セキュリティ関連
    – クラウドベンダ関連
    • とにかく手を動かす / やってみる
    – 気になる / 有名な脆弱性を検証
    – 脆弱性の仕組みを追う
    愛が大切
    (※) 一部実践できていません

    View Slide

  14. 14
    @fujiihda
    さいごに

    View Slide

  15. 15
    15
    @fujiihda
    アウトプットしないのは知的な便秘
    • アウトプット、フィードバック、情報交換
    – LT、コミュニティ、大きなイベントなどで発表
    • 自分の情報を整理して解説できるようにする
    • 師匠を見つけてレビューしてもらう / 教えを請う
    • 近い専門分野 / 別の専門分野の人と情報交換
    • 運営側にまわるというやり方も有効かも
    • アウトプットだけはおそらくだめで地道な筋トレ必須
    愛が大切

    View Slide

  16. 16
    @fujiihda
    まとめ:
    • 効率が良くて、仕組みを捉えていて、
    1円もかからない奥義は存在しない
    • 先駆者が生み出した秘伝は書籍や発表
    として出てくるので解読すると早い
    • 地味な筋トレは目立たないが必須
    • アウトプットしないのは知的な便秘

    View Slide