@fujiihda 2020/9/25 Infra Study Meetup #6 「インフラとセキュリティのこれから」 感謝の正拳突き(セキュリティ)

2 2 @fujiihda Whois • 役割：インフラエンジニア • 仕事：k8sを活用する組織のリサーチチーム • 経歴：OSS → OSとコンテナ → 現職 • 趣味：コミュニティ活動 ゆっきー (Hideyuki Fujii) @fujiihda

3 @fujiihda の セ キ ュ リ テ ィ を 完 全 に 理 解 し て し ま っ た か も し れ な い の セ キ ュ リ テ ィ わ か ら な く な っ て き た 全然わからない 俺たちは雰囲気で 以下略 k8s k8s

4 4 @fujiihda ところでこれなにかわかりますか？ 感謝

5 5 @fujiihda ところでこれなにかわかりますか？ 感謝 ネテ□が46歳のとき、(中略) 己を育てて くれた 〇〇 に感謝するため、 「一日一万回 感謝の正拳突き」を行なう ことにした。 「気を整え → 拝み → 祈り → (脆弱性を) 突く」という一連の流れを1万回繰り返す (以下略)

6 6 @fujiihda ところでこれなにかわかりますか？ 感謝 茶番はともかく、 一連の流れ (型) を一日一万回繰り返す ことで、強さを手に入れた人がいました。

7 7 @fujiihda 今日はセキュリティに関する感謝の正拳突きの話 (脳筋) • 誰かの役に立つことを祈って私の感謝の 正拳突きをお伝えします – 日々の セキュリティ情報収取 – 日々の セキュリティ筋トレ • ぜひ皆さんの情報収集 / 筋トレ術や 感想なども教えてください 愛が大切

8 @fujiihda 情報収集 (すぐ使えるもの)

9 9 @fujiihda すぐ使えそうな情報収集 • 興味深い人をフォローするだけでなく、その人 がフォローしている人を真似する • 興味深い人 / 興味深いテーマの発表資料や動画 (日本語) は全部見る (※) • 興味深いニュース、リリース、セキュリティ アドバイザリは全部読む • 興味深い人が書いた日本語書籍は全部読む(※) • 公式ドキュメント、標準規格、フレームワーク、 ガイドラインはなるべく原語で全部読む(※) 愛が大切 (※) 一部実践できていません

10 10 @fujiihda 少し大変だけど効果的な情報収集 • 興味深い内容や評判であれば洋書でも論文でも全部読む (※) – 無料で読めるアーリーリリース版などもどんどん読む – PDFななめ読みのときに限り機械翻訳も併用 (なるべくそのまま読む) ① Ctrl + c 2回押下 ② 読み込 まれて翻 訳される (※) 一部実践できていません

11 11 @fujiihda かなり大変だけど効果的な情報収集 • 大きなカンファレンスでの興味深い内容の発表資料や 発表動画 (英語) は全部見る (※) – 聞き取れないときは文字起こし(精度80％？)と巻き戻し再生で頑張る – 文字起こしと先述の機械翻訳の合わせ技も可能だが、それらを使用して 超高速技術英語を頑張って理解しようとすると私の場合はコスト10倍 (※) 一部実践できていません

12 @fujiihda 筋トレ (いますぐ目立つものでは ないけれど重要なもの)

13 13 @fujiihda 地道な筋トレ (趣味を兼ねていると良い) • セキュリティと低レイヤの基礎理解 (※) – コンピュータはどのように動いているのか理解 – システムプログラミング、OS、基盤技術への理解 • 地味だけど資格取得 / トレーニング – セキュリティ関連 – クラウドベンダ関連 • とにかく手を動かす / やってみる – 気になる / 有名な脆弱性を検証 – 脆弱性の仕組みを追う 愛が大切 (※) 一部実践できていません

14 @fujiihda さいごに

15 15 @fujiihda アウトプットしないのは知的な便秘 • アウトプット、フィードバック、情報交換 – LT、コミュニティ、大きなイベントなどで発表 • 自分の情報を整理して解説できるようにする • 師匠を見つけてレビューしてもらう / 教えを請う • 近い専門分野 / 別の専門分野の人と情報交換 • 運営側にまわるというやり方も有効かも • アウトプットだけはおそらくだめで地道な筋トレ必須 愛が大切

16 @fujiihda まとめ： • 効率が良くて、仕組みを捉えていて、 1円もかからない奥義は存在しない • 先駆者が生み出した秘伝は書籍や発表 として出てくるので解読すると早い • 地味な筋トレは目立たないが必須 • アウトプットしないのは知的な便秘