Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
オンラインを活かすセキュリティ人材育成
Search
sonodam
February 04, 2021
Education
0
40
オンラインを活かすセキュリティ人材育成
2021年2月3日
https://www.ubsecure.jp/seminar/topics-2021/t-20210203
で講演(40分、オンライン)した資料の公開版。
sonodam
February 04, 2021
Tweet
Share
More Decks by sonodam
See All by sonodam
教師・教育支援者のための情報セキュリティ第十三回
sonodam
0
60
教師・教育支援者のための情報セキュリティ第十二回
sonodam
0
69
教師・教育支援者のための情報セキュリティ第十一回
sonodam
1
54
教師・教育支援者のための情報セキュリティ第九回
sonodam
0
41
教師・教育支援者のための情報セキュリティ第八回
sonodam
0
49
教師・教育支援者のための情報セキュリティ第七回
sonodam
0
87
教師・教育支援者のための情報セキュリティ第六回
sonodam
0
54
教師・教育支援者のための情報セキュリティ第五回
sonodam
0
53
教師・教育支援者のための情報セキュリティ第三回
sonodam
0
140
Other Decks in Education
See All in Education
Switches
irocho
0
190
執筆テーマの決め方
sapi_kawahara
1
180
Copilotとして理解する生成AI利用の基本
gmoriki
0
140
人生の転機からチャンスを掴む「シュロスバーグの4Sモデル」/4s-models
yuko_yokouchi
3
750
千葉県印西市立・原山小学校における新たな学び「情報探究の時間」実践報告』
codeforeveryone
1
730
Gesture-based Interaction - Lecture 8 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
Human Perception and Colour Theory - Lecture 2 - Information Visualisation (4019538FNR)
signer
PRO
0
1.7k
week4@tcue2024
nonxxxizm
0
370
week2@tcue2024
nonxxxizm
0
820
合理的配慮を知るワークショップ/Understanding Reasonable Accommodations (Workshop)
freee
2
1.5k
LightSail2324
cbtlibrary
0
130
5 занятие. Разбор метода "8 кубиков"бизнес-модели #ideaNN 16.02.2024.
karlov
0
180
Featured
See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
32
46k
Adopting Sorbet at Scale
ufuk
69
8.6k
Code Reviewing Like a Champion
maltzj
515
39k
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
Web development in the modern age
philhawksworth
203
10k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
12
1.5k
How GitHub (no longer) Works
holman
305
140k
Building an army of robots
kneath
300
41k
BBQ
matthewcrist
80
8.8k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Transcript
オンラインを活かす セキュリティ人材育成 園田道夫
Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT) ナショナルサイバートレーニングセンターセンター長 •
https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://colosseo.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、 講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • 中央大学理工学研究所客員研究員 • 大阪大学非常勤講師 2
Who am I ? • SECCON実行委員(事務局長) • https://www.seccon.jp/2019/seccon/executivecommittee.html • SecHack365主催・トレーナー
• https://sechack365.nict.go.jp/ • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催&プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • Hack in the box, Review Board • https://cfp.hackinthebox.org/ 3
Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo
2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html 4
主な関係コンテンツ • 監訳:「ブラウザハック」,「ファジング」, 「ハニーネットプロジェクト」,「実践パケット解析第一版」 • 翻訳:「実用SSH第二版」,「暗号技術大全」,「 Snort2.0侵入検知」 • 著作:「アクセス探偵IHARA 」,
」,「Winnyはなぜ破られたのか」, 「アクセスガール明日香危機一髪」, 「企業情報ネットワークの保護管理」他 • Web連載:「にわか管理者奮闘記シリーズ」 • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns 5
研究関係 • 数理モデル的な・・・ • 攻撃検知(分類) • 学習効果の可視化、スキルの可視化 • 設問評価(数学,CTFなど)、設問自動作成 •
デマ検知 • 目grepによる攻撃検知 • 他多数 6
Stay Home, Stay Safe 7
オンラインコミュニケーションの特徴 • 会議用システム • 順番に喋る→スピードが落ちる • ノンバーバル部分の情報量が落ちる 8 ノンバーバルコミュニケーション(非言語的コミュニケーション) とは、言葉によらないコミュニケーションのことで、顔の表情、顔色、
視線、身振り、手振り、体の姿勢、相手との物理的な距離の置き方な どのこと。これらの要素によって伝わる情報の量はかなりの割合を占 めると言われている。
足りないところを補うには? • 音質向上という対策 • 良いマイク、良いヘッドフォンイヤフォンスピーカー • Yale-led effort yields Zoom
upgrades • https://music.yale.edu/news/yale-led-effort-yields-zoom-upgrades • 画質向上 • 良いカメラ • 会議システムの限界 • (ネットワーク性能) 9
並列チャットの可能性 • 手を上げて質問するより心理的なハードルが低い • 圧倒的に活性化する • 誰かが喋り終えるのを待つ必要が無い • 「質問用時間」に限定されない •
メインを録画済み動画にしたら話者本人がチャットに 参加可能 • →フィードバックの量と質を大きく向上させる 10
11
12
メインを事前作成動画にする • ライブはリスキー(笑) • いろいろな魔物が棲んでいる • 品質が上がる • 編集可能 •
話者に客観視を促す • 自分の動画を視聴すると、既存動画の見方が違ってくる • (1.25)倍速で客観視を加速 • デメリットはライブ発表の経験値の機会損失くらい? • どのくらいのインパクトがあるのか、人生スパンでは不明 13
オンラインでのグループワーク • コミュニケーション効率が落ちていることを認識する • 会議システムの限界(again) • いわゆる「会議システム」じゃないものを選ぶ • discord •
Slack 14
15 https://discord.com/
16 https://discord.com/
グループワークの工夫 • みんなでひと言チェックインとチェックアウト • 共同作業で勝手にアイスブレイキング • モデレーターは任命 • 一度は顔を出そう •
急に「今日は顔を出そう」とやらないこと • (音質が良い前提で)少人数グループで会話 • サポートはチャットメインで 17
グループワークもう一工夫 • グループで当たる課題の工夫 • 社会的に未解決の課題など、検索で答えに到達できない課題 • Capture The Flag(CTF) •
環境などの変化をプロトコルにしてみる • 人間はパターン認識に優れている人も多く、すぐ飽きる • メタな予想を裏切る刺激で集中力を上げる • メインは会議システムでもチャットやQAシステムを別立て でやってみる 18
19
20
21
22 注:現在は開催されていません
グループワークもう一工夫 • コラボレーションのためにgithubなどをいよいよ使い こなしていく必要がある • ペアプログラミング、モブプログラミング的にツール使い こなしわいわい会をやってみる • 会話の坩堝や雑談を明示的に承認する •
雑談の設定 • 喋りすぎず聞きすぎない • 飲み会じゃない方が良い • 前述の「変化」は話題になる 23
自己研鑽企画 • 基本は人目ドリブンで教え合い話合いのある企画 • 講演や講義の動画を数人で一緒に視聴する • 動画の「輪読会」もアリ • もくもく会=集まって黙々と何かをやる、人目ドリブン の作業集会
• オンラインCTF • 海外カンファレンスのトレーニングやワークショップ 24
自己研鑽企画その2 • 新しい手法や考え方について自分ならこうする(守る・攻 める)というのを考える • 海外のカンファレンスや学会の発表が素材に • 日本語では無い方が良いのは、記事になっていないものが多いので日本 語ベース検索で解説が見つかりにくいから=理解することが小さなハー ドルになる
• 持ち寄って発表しても良い • 集団的内省は効果的(経験学習) 25
Understanding security mistakes developers make: Qualitative analysis from Build It,
Break It, Fix It • https://www.usenix.org/conference/usenixsecurity20/presentation /votipka-understanding • 「セキュアなソフトウェア開発は、多くの可能性のある脅威と緩和策を考慮しなければ ならない困難な作業です。この論文では、基本的なセキュリティ経験があるにもかかわ らず、プログラマがセキュリティに関連したエラーを犯す方法とその理由を調査します。 これを行うために、我々は、現実世界の制約(正確性、性能、セキュリティ)を模倣す るように設計された安全なプログラミングコンテストに提出された94件の参加者の詳細 な分析を行いました。参加者は、安全なコードを書くことに加えて、他のチームのプロ グラムの脆弱性を検索するよう求められました。私たちは、6 ヶ月間の集中的な期間を かけて、反復的なオープンコーディングを用いて、提出された各プロジェクトと脆弱性 (私たち自身が特定した脆弱性を含む)を手作業で、しかし体系的に特徴付けしました。 脆弱性の種類、攻撃者の制御、悪用のしやすさ、プロジェクトをセキュリティ実装戦略 に基づいて分類しました。その結果、いくつかのパターンが浮かび上がってきました。 例えば、単純なミスが最も一般的ではなく、そのようなミスが発生したプロジェクトは 21%に過ぎませんでした。逆に、セキュリティ概念の誤解に起因する脆弱性は、78%の プロジェクトで顕著に多く見られました。この結果は、セキュアプログラミングAPI、 API文書化、脆弱性発見ツール、セキュリティ教育の改善に意味があります。 www.DeepL.com/Translator(無料版)で翻訳しました。」 26
EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://www.offensivecon.org/speakers/2020/aristeidis-thallas.html •
「ハイパーバイザーは、システム仮想化のために一般的に使用されているだけでなく、 実行時の攻撃からカーネルを保護するために、Androidエコシステムでも採用されて います。各OEM/ベンダーは、ARMの仮想化拡張機能を採用することで、独自のハイ パーバイザーを自由に実装することができます。Androidエコシステムでは、一般的 に適切なデバッグやシステム検査のサポートが不足しているため、このような実装 は、監査/リバース/デバッグが非常に困難でした。この状況は、OEM/ベンダーがド キュメント、ソースコード、ツールなどを公に提供しないことでさらに悪化してい ます。このプレゼンテーションでは、デバッグを含むエミュレートされたシステム の完全な制御をユーザに提供するQEMUの下でのプロプライエタリなハイパーバイ ザのエミュレーションに焦点を当てます。詳細には、ARMシステム開発と仮想化拡 張に関する情報を提供し、ブートストラップとSamsung S8プロプライエタリハイ パーバイザとの相互作用を可能にするために必要不可欠な機能を含むフレームワー クを開発して導入した概念を紹介します。その後、この知識を発展させて、この セットアップの下でファジング機能を組み込むことを目指します。このプレゼン テーションの最後までに、聴衆/読者は、ARM仮想化拡張機能と、他のハイパーバイ ザーを監査/リバースし、提供された最小限のフレームワークを拡張したり、審査中 のハイパーバイザーのニーズに合わせた独自の実装を行うために必要な様々なシス テム要件/制約を理解していることが期待されています。www.DeepL.com/Translator (無料版)で翻訳しました。」 27
EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://census-labs.com/news/2020/07/22/emulating- hypervisors-a-samsung-rkp-case-study-offensivecon-2020/
• https://census-labs.com/media/athallas-offcon-2020-wide.pdf • https://www.youtube.com/watch?v=SxezUdv1whQ • http://www.phrack.org/papers/emulating_hypervisors_sam sung_rkp.html 28
29
自己研鑽 企画例 ① Ransomware as a Service(RaaS)について対 抗する手段を考えてみよう Weakest
Linkを狙ってRansomwareを起 動させてデータを人質に取る 仮想通貨(暗号資産)で身代金をいただく ② 守りが手薄な現地法人や連携先を狙う攻撃 に対抗する手段を考えてみよう その組織本体では無く、予算も無く人も 居ない海外の現地法人や、レベル感の異 なる連携先を狙う システムだけでなく人も狙う 30
ティーププラクティスを意識する • 常に自分よりちょっと強い敵と戦うのが一番伸びる • 反復練習に「ちょっと強い」要素を入れて常にチャレンジ • ちょっとだけ速く、ちょっとだけ効率良く • CTFはディーププラクティス状態を実現しやすい仕組み •
目標としたい人を分析して、構成要素を徐々に獲得して いくアプローチ • 悪口やダメな人の分析は有害なだけ 31
世界中で大流行のCTF • ctftime.orgに登録されたCTFは2014年に60、2019年は198、そして 2020年は230! • 初心者向けCTFも増えている • kusuwadaさんのオススメの初級者向けCTF • https://tech.kusuwada.com/entry/2020/12/02/065100
• CTF Advent Calender 2020 • https://adventar.org/calendars/5338 • Bandit: Over the wire • https://overthewire.org/wargames/bandit/ • レクチャー動画も多数 • 活用例:freeCodeCampからpicoCTFのはじめの一歩! • https://daily-postit.hatenablog.com/entry/20201214-freecodecamp-picoCTF-start 32
CTF:初級→中級の壁 • 出題傾向は多様なものからpwn系に • しかし、ハードルが高い • WriteUp(めちゃくちゃある)でお勉強 • 問題ファイル等をGETしてチャレンジしてみる •
WriteUpを見ながらなぞる • pwn.collegeがあるよ! • SECCON 2020 電脳会議の講演動画に詳しい • https://www.youtube.com/watch?v=rc8mjqvki2Y 33
脆弱性を探すコンテスト • PWN2OWN • https://www.thezdi.com/blog/2020/3/17/welcome-to-pwn2own- 2020-the-schedule-and-live-results • https://www.zerodayinitiative.com/blog/2019/10/28/pwn2own- miami-bringing-ics-into-the-pwn2own-world •
SECCONもやってる(た) • https://2018.seccon.jp/2018/07/seccon-2018-x-cedec- challenge.html • https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html • 天府杯 • https://i.eqxiu.com/s/jG0Fs4ZG?bt=yxy&share_level=1&from_user= 2020100835b82e13&from_id=de570acd- 9&share_time=1602217487848 • https://forest.watch.impress.co.jp/docs/news/1288055.html 34
35 Team Fluoroacetate https://twitter.com/RZ_fluorescence PWN2OWN2020:$130,000 USD PWN2OWN2019:$375,000 USD(plus a vehicle(Tesla
Model 3)) Photo from https://twitter.com/thezdi/status/1109241913209556992/photo/1
脆弱性を探して賞金をもらう • 常設バグバウンティプログラムポータル • https://www.bugcrowd.com/ • https://www.hackerone.com/ • https://hackerone.com/playstation •
https://hackerone.com/nasa • →年間のCVE数は36000以上。探すパワーはまだまだ不足 • https://cve.mitre.org/data/downloads/index.html 36
まとめ • オンラインの利点は、超豊富なコンテンツと物理的な距離 の超越 • コミュニケーションの冗長さは有る程度まで克服可能 • フィードバックの量と質はオンラインの方が良い • グループワークは設計と準備次第
• 動画などのコンテンツ作成含む準備が大変だけど(笑) • セキュリティの課題は自然とディーププラクティス • 社会的課題も多いし、CTF入門から賞金稼ぎまで行ける •今ならオフラインの良さをもっと活かせる! 37
38
39 事前登録制 (無料) ここのリンクを クリック!
40 2月開催有 Aコース初心者向け B-2コース国の機関等、 重要社会基盤事業者、 民間企業等向け ここのリンクを クリック!
参考資料 • 専修大学上平先生のブログ • https://kmhr.hatenablog.com/ • 上平先生にも参加いただいたSecHack365の2019年度成果発 表会におけるパネルディスカッション「コロナ禍におけるフ ルオンライン教育について」などの動画 •
https://vimeo.com/channels/2019sechack365 41
終 42