ken1flanのブログ

自己紹介・最近やってることなどを書くつもりです。

「良いコード/悪いコードで学ぶ設計入門」読書会 第21回を開催できませんでした

「良いコード/悪いコードで学ぶ設計入門」読書会 第20回 を開催できませんでした。

academist-reading.connpass.com

理由は…

  • 本業で不具合対応があり、忙しかったこと
  • 参加者が自分と社内の一人だけだったこと(connpassではいませんでした。)

参加登録者がいなかったのはこんなふうなことだったのでしょうか…?

  • 年度末で忙しかった?
  • 14章後半は題材がIDEの話で、みんな興味なかった?

次回は4/22で、15章を半分やろうと思っています。(5月もGWでやりにくいなぁ…)

おまけ

読書会を始める前に、少しだけ同僚とIDEの話をしていました。 彼はRubyMineを使ってるそうで、この章をきっかけにリファクタリングの機能を見たら、かなり充実していることに驚いていました。 動かして見せてもらいましたが…かなりよさそうでした…。メソッド名や変数名の変更が気軽にできそうになるのは本当によさそうです。うらやましい…。

pleiades.io

2024年03月

3月何したっけ…?というまとめ。

以前のまとめ

Special Thanks

第55回Software Design (2024年4月号) 輪読&座談会 に参加してきました

いつもおせわになっている第55回Software Design (2024年4月号) 輪読&座談会に参加してきました。

softwaredesign.connpass.com

今回は特に刺激的な会でした。 また次回も行こうっと。

Software Design 2024/04 メモ

Software Design 2024年04月号を読んで、ちょこっとずつ感想を書いてます。

gihyo.jp

表紙

  • 新年度にふさわしい爽やかなグリーン…!

第1特集 新年度のはじまりに学ぶ! Linux基礎知識60 あなたの実力をチェックしてみよう

Introduction:Linux基礎知識チェックリスト ......編集部

  • うわあ…自信ないw
  • 結構知らない単語が…。
    • LVM、UsrMerge、CGroups、runuserコマンド、NetworkManager、Netplan
    • 名前だけとか、説明できそうもないのも結構…。
  • でも、なんとなくでも目を通しておけば、ちゃんと役立ちそうで、期待…!

第1章:ディレクトリ構造とファイルシステム スタンダードなLinux操作の基本を知る ......水野 源

  • GPT、聞いたことなかったかも。しばらくノートだからなぁ…。
  • UEFI、なんとなくしか知りませんでした…。
  • LVMは思い出しました…!
    • 1層余計に挟むことで、デバイスをまたいでボリュームを作れたり、あとから追加できたり…便利!
  • FHSにバージョンがあるんですね…それは知りませんでした。
  • UsrMerge、へえええ!
    • 昔、OS添付のcshは/bin、自分でコンパイルしたtcshは/usr/local/binとかやっていましたが…。
  • 自分はハードリンク、あんまり使わないんですが…みなさん、どんなときに使います?
  • シンボリックリンクのalternativesシステム、知りませんでした。へええ…。

第2章:プロセス管理 実行中のプログラムの情報確認、操作、制限方法を押さえよう ......青田 直大

  • 最近、sush🍣でちょっと馴染みました…!
  • カーネルスレッドの[][]のつけた実行ファイル……偽装に使ってるヤカラがいるんですね、きっと…。
  • procs、いいですね…。入れました!
  • psやtopなどのコマンドを今まで雰囲気で使ってました💦
  • /proc…macOSにはないようで、すぐに試せないのがちょっと残念。
  • 昔はプロセスの優先度を弄りたいときがありましたが…最近あんまないですね…。
  • プロセス管理って、どんなときにされます…?
    • (最近自分は使いたくなったことがないです…。)

第3章:ユーザー権限とアクセス権 管理者権限を正しくコントロールしよう ......くつなりょうすけ

  • ユーザ管理もあんまりしなくなってしまった感…。
    • サーバに役割がはっきりしたからかなぁ…。
    • …でも、なんか動かんなぜだ!となると、この知識ベースで調べたりしてましたね、よく考えると。
  • 昔からあまり変わってないのかも…?ホント、よくできてるんですね。

第4章:ネットワーク設定と管理 動作の確認方法と強力な管理ツールの使い方を押さえよう ......宮原 徹

  • このあたりは…最近あんまり使ってないですね…。
    • 新しいサーバを置こうとしてないからかなぁ…。
    • 最初の設置のときはつまづいて調べますもんね…。

第2特集 常識として知っておきたい 今から始めるテクニカルライティング 伝わる/役立つドキュメント作成のポイント

  • 章立てを見ながら、あー、ですよねぇ…という感じが…。ちゃんと読んどこ。

第1章:テクニカルライティング入門 「伝わる」ドキュメントに必要な三箇条とは ......米山 柚香子

  • 「自分にとって必要な情報だけを知りたい人」…ドキッ!
    • 構造化とかセクションタイトルとかに興味あるのはこのせいかもなぁ…。

第2章:読者に合わせたドキュメントを書く 必要なことを必要なだけ書くために ......米山 柚香子

  • 読み手を意識するところまではなんとかやっているつもりです…。
    • このメモは…!読み手はおらず、自分が読んでいくときに思ったまま書いてるので、読みにくいです!
      • 目的は、雑誌を読んだときの思考の流れがざっくり再現されればいいなぁ…くらい。
  • 読み手の目的は強く意識していて、前提知識は…これもなんとなく意識はしてますかねぇ…。
    • 読み手は実際に対象者がいることが多いかも。
  • ただ、読み手を意識するようになったのはここ数年な気がします💦
  • 読み手の範囲を絞るのは、同人誌のときにやりました…!
    • 技術書がそうやって書いてあるから、マネしたんですが…書きやすくなりましたね。(読みやすいかはわかりませんが><)
  • コラムの本、気になります…。

第3章:アウトラインで伝える情報を整理する ドキュメントの階層構造を意識しよう ......piyo

  • アウトラインから書く…これは必ずやりますね…。
    • だって……対象が大きすぎると、何を書いているのかよくわかんなくなっちゃいまして…。
    • …と、よく考えたら、書いている方がわかんなくなっちゃってる文章、他人である読む人が分かる可能性、かなり低くなりそうですよね…。
  • アウトラインを作る流れ、よさそう!
    • 最初に伝えたいことを雑多に出しますね!

第4章:明確な文章を書く技術 読み手の負荷を減らすためのポイント ......小野 葵

  • ドキュメントは一部しか読まれない…書き手には残酷なw
    • 読み手としたら、当たり前ですね。時間ないもん!
  • Fパターン…!たしかにやりますねえ…。
  • 一文一義…なるほど、これは知りませんでした!気をつけようと思います。
  • 読み手の視点も忘れがちですね…気をつけます…!
  • ドキュメントもプログラムも、読みやすくするテクニック、同じところが多いですね。
  • これ、会社でも読みたい気持ち…。

連載:Column

万能IT技術研究所【23】能登半島地震時の電離層変化を「みちびき衛星」で調べよう! ――「地震前には地中に電池が生まれて地震予知もできる」説!? ......万能IT技術研究所

  • 上空の電離層から地震予知…?ホント、いろいろなところから記事を書いててスゴイ…。
  • オープンデータが進んできたからこそ、こういうことを個人ができるのだと思うと…感慨深いですね。
  • 大気の揺れだから、ロケットの軌道もわかるのか…すご…。
  • 地震予知、一周回ってナマズがホントに可能性ありそうで、オチもスゴイ…。

ハピネスチームビルディング【25】コミュニティに参加して楽しみながら成長する ......小島 優介

  • コミュニティに参加する…。
    • 今参加しているのは、Software Design読書会だけですね…。
    • 自分の運営するものに追われて、若干諦めてたけど…またどっか行きたい気持ちになってきました。

エンジニアのためのやる気UPエクササイズ【20】エンジニアのための昼寝ガイド ......えくろプロテイン

  • …これ、日常的に短時間の睡眠を入れようかなぁ…。

あなたのスキルは社会に役立つ~エンジニアだからできる社会貢献~【148】テクノロジーに対する不信感が募る時代に、納得感のある合意形成ができるテクノロジーを考える ......高木 俊輔

  • 「テクノロジー vs. 民主主義」…こういう構造をどうしても作りたくなっちゃうのは、人間のバグかあ。(人間たる自分もそういうふうにしちゃいがちなので、わかる…。)
  • チャーチルの名言を思い出したい。
  • 今まで平等にするにはいろいろ難しかった民主主義のいろいろをテクノロジーでなんとかできるんじゃないか、的な。
  • ブロックチェーンの技術は結構期待しているんですよね。いろいろなものの根幹になりそうです。(仮想通貨は投機でなんかグチャグチャですが…)
  • こんな活動があったんですね…ちょっと期待しちゃいます。

連載:Development

Databricksで勝つデータ活用【新連載】データプラットフォームの歴史とデータインテリジェンスプラットフォーム ......桑野 章弘

  • Databricksとは|Databricks on AWS
    • なんかスゴそう…。AWSでも使えるじゃないの!
    • 従量課金みたい。
      • こりゃウチじゃ使いこなせないと高いですね…。
  • パイプラインをひとつのサービスで扱えるところが結構ヨサゲです。
    • あ、BIツールは別なんですね…。
  • MLflow…モデルのライフサイクル管理?これはよさそう…。
  • この先の連載が気になります…。
  • HTML/CSSの解釈や表示を担ってるなら、Blink利用のブラウザはほぼ同じ表示になる感じですかね…。
  • EdgeとChromeピクセル単位で比べてみるべき…?

Google Cloud流クラウドネイティブなシステムデザインパターン【3】データウェアハウス ......田中 万葉、監修:宮城 望

  • あ、これもDWH…!
  • GCPといえば、BigQueryか!
  • Dataform、テストやコード管理なんかもあるとは…これはいいですね…。
  • データ量が少なければわりとやすそうなのも魅力…。

ぼくらの「開発者体験」改善クエスト【4】iOSアプリのUIテスト基盤、リアーキテクチャ、自動化 ......金子 雄大

  • フロントもレガシーコード…。
  • 「開発者体験の良さ」のうちの一つは、開発しやすさで、ビジネススピードに直結しそう…。これは説得材料ですね…。
  • 行動ログの正しさの検証を含めているのはおもしろいですね。データを取ることがビジネスとして大事にしているのがわかります…!
  • 新しいアーキテクチャの段階的な導入…気になります…。
    • 新規画面で小さく試し始める…なるほどです。
  • テストが手厚いフレームワークはありがたいですね…。これは日々実感しています。
  • Visual Regression Test…いいなぁ…。
    • うちのは扱いにくい形で書いちゃったので、なんとかリブートしたいです…。
  • androidはどうしているんだろう…と思ったら、来月だそうで…たのしみです!

実践データベースリファクタリング【5】キャッシュ中毒 ......曽根 壮大

  • キャッシュ中毒…はなったことない…。そこまでパフォーマンス・チューニングをする段階まで至ってない感じです…。
  • ちょっと先の世界を覗き見する感じ…。
  • キャッシュのテスト、どう書くんでしょう…?
    • 自分は…書かないかも…。
  • 多段キャッシュは怖いので、よく使う、なるべく大きなパーツで取るようにしようと思ってますが…。
  • Railsのキャッシュはあんまり考えないで使っても、デフォルトのキーが更新日時など必要なものを考慮してくれてて、扱いやすいかも…?

Cloudflare Workersへの招待【5】Honoで作る短文投稿Webアプリ ......福岡 秀一郎

  • コスト、マヂで安いですね…。D1もか…!
  • 無料分も結構あるし…試したい…。
  • あ…テストとかどうするんでしょう?
    • zenn.dev
    • D1のローカル環境があるみたい…。
    • これならgithub actionsでもできるし、よさそう。

実践LLMアプリケーション開発【7】LangChain Expression Language 落ち穂拾い ......西見 公宏

  • わからないなりに連載を読み続けて、ようやくLLMアプリケーションというのがなんなのか、見えてきました…。
  • ちょっと作ってみたくなってきました…。

MLOpsのすすめ【9】LLMのデータエンジニアリング ......澁井 雄介

  • Common Crawlなんているのがあるんですね…。
  • 学習の前に行う処理にコツが要りそうです…。
  • 来月で最後…ちょっと寂しいですね…。

位置情報エンジニアリングのすすめ【9】防災マップの作成④ 空間演算による距離計測と避難所到達圏の可視化 ......小松 聖

  • 最近の端末のリッチさよ…。
  • 到達圏の表示…!サンプルとは思えないくらいよく考えられているように見えます…!

AWS活用ジャーニー【19】AWS Systems Manager ......杉金 晋

  • …そういえば、Elastic Beanstalkの環境のバージョンアップをしたときに聞いた名前でした。
  • 今は使ってないけど、使えるってことかも。
  • 複数台にいっぺんに実行できるRun Commandは便利かも…。
  • Change Calenderで自社の営業日を入れて参照できるのは便利かも…。

連載:OS/Network/Security

ドメイン解体新書【3】DNS操作のベストプラクティス ......谷口 元紀

  • 基幹サービス故に、何重にもキャッシュが効いているから、変更はしづらいですよね…。
  • ネガティブキャッシュ…そういうのもあるんですね…。
  • 権威サーバ移転のベストプラクティス、なるほどでした!
    • 同じ情報を新旧の権威サーバで登録しとけばって。

魅惑の自作シェルの世界【17】ジョブの制御――&&と|| ......上田 隆一

  •  ゾンビがたくさん出ます って…理由はわかるけど、言葉がなんかスゴイ…。
  • そういえばシェルスクリプトって、意外に並列に処理を書きやすいんでした。自分のやりたいことがシンプルだったからですかね…。
  • 2つ以上のパイプラインがあるときにバックグラウンドで、というのはプロセスがカッコの役割をしているっぽいのかなあ。
  • 次回はゾンビ退治 なんかオモロイw

アラカルト

ITエンジニア必須の最新用語解説【184】CheerpJ ......杉山 貴章

  • Javaアプレットを思い出しました。
    • JVMをブラウザにインストールする必要があったんですね…。(昔過ぎて忘れてました…。)

読者プレゼントのお知らせ

SD BOOK REVIEW

  • ロボットの確率・統計
    • www.coronasha.co.jp
    • ロボットという題材も、ギャンブルとかズル嘘…?コラムも面白そうです…!
    • くー…全く仕事と関係ないけど読みたい…。

バックナンバーのお知らせ

SD NEWS & PRODUCTS

  • クリィeKYC
  • SpreadJS
    • メシウスって聞いたことないなぁ…と思ってたら、グレープシティ!
    • あいかわらずこういったものを売られているようで、やっぱりノウハウがありそう…。
    • 企業がちゃんとメンテしているUI部品、たしかに価値がありそう。
  • ITエンジニア本大賞2024
    • www.shoeisha.co.jp
    • もうすぐ良いコード悪いコード〜が終わるから、またひとつチョイスしてやってみるか…。
    • それはそうと、デブサミ行きそびれてしょんぼり(´・ω・`)
  • Flatt Security
    • flatt.tech
    • flatt.tech
    • しばらく前にfacebookで井出さんの投稿を読みました。結構熱い内容で、自分もFlatt Securityが1兆円企業になるのを楽しみにしています…!
  • どこかでお見かけしたお名前が…

次号のお知らせ

  • なかなか入門してないTypeScriptですが、楽しみにしています…!
  • レガシーシステム攻略…!おもしろそうです!

特別広報

グローバルへ挑戦するココネのエンジニアリング力を探る【10】スケールしても開発に専念できる組織体制に ......編集部

  • 前回のテーマの後編っぽい。
  • 制度設計もしっかりされているようで、結構いいですね…。

情報セキュリティ対策自主研修 第16回 「IPAの情報セキュリティ10大脅威 2024 解説書をざっくり読もう」を開催しました

academist-reading.connpass.com

情報セキュリティ対策自主研修 第16回 「IPAの情報セキュリティ10大脅威 2024 解説書をざっくり読もうを開催したので、簡単な感想を書きます。

題材

www.ipa.go.jp

感想

  • 表紙最高…!
    • よくこんなに詰め込みましたね…。
  • 挿絵もいい感じ…!
    • ざっと脅威の説明を読んだあとに、絵を見ると説明したくなりましたもん。
  • トレンドマイクロがこんなよさそうな資料を出してくれていたとは…。もっと前に知りたかった…!
    • www.trendmicro.com
    • …とはいえ、知らなくて資料を自分で読み込んだのは悪くなかったかも。
  • ひとりで読むよりずっと楽しい…!
    • 自分だったら気にならないところが気になる方がいたりして、学びが2倍以上になっている感があります。

運営としてのふりかえり

KPT方式で。

前回のTry

  • 次回のネタを決めます…!
    • 決められていませんでした。うーん、どうしよう?

Keep

  • いろいろと質問が出てたすかりました…!
    • 訊かれた自分は楽しかったですが…質問者・参加者は…楽しかったならよいのですが。
  • ちゃんと事前に読めた…!

Problem

  • 次回何をやるか、まだ未定でした…。
    • 情報モラルの話がどっかにあったらやりたいのですが…。

Try

  • 次回のネタを決めます…!

おわりに

参加してくれたみなさん、ありがとうございました! あとでざっと見直しても、やっぱりひとりで見るより、圧倒的に気づくことが多いので、今後も継続してやっていきたいと思います!

メモ

  • 終わったあとにやること
    • [x] 前回のjamboardの削除
    • [x] Google Meetのメッセージの保存
    • 謝辞と感想
      • [x] twitter
      • [x] facebook
      • [x] mastodon
      • [x] bluesky
      • [x] threads
      • [x] connpassのイベントメッセージ
      • [x] ブログ
  • 次回準備
    • [ ] jamboard
    • [ ] カレンダー/Google Meet URL
    • [ ] connpassイベント
    • [ ] ネタぎめ
    • [ ] 告知
  • 直前
    • [ ] 告知
    • [x] リマインドメール

情報セキュリティ10大脅威 2024を軽く読む

情報セキュリティ10大脅威 2024解説書を見て、ざっと気になったり思ったことをメモしています。

表紙

  • なにげに面白い…。
  • どんな要素が入ってますかね…?
    • 手前右、USBメモリを外部の人に渡そうとしている → 内部不正による情報漏洩
    • 手前左、持ち出し厳禁や社外秘っぽい資料がちらばっている → 不注意による情報漏洩
    • 中段右、盗聴・盗撮
    • 上段、クラッキングによる営業妨害

はじめに

  • 順位は選考会での投票
  • 個人版
    • 順位を廃止
      • 順位が危険度と誤解されるおそれのため、五十音順
    • 手口は古典的で、存在を知っているだけでも対策になる
  • 企業版
    • 社会的影響で判断

情報セキュリティ10大脅威2024

  • 順位にとらわれないで、それぞれの立場・環境で優先度をつけ直して対応してほしいそう。
  • 「セキュリティ対策の基本」が重要
    • 攻撃手口、対策、目的でまとまってて、わかりやすいかも。
    • 2015年版に攻撃の糸口が解説されているとのこと…ですが、リンクがみつけにくいです><
  • セキュリティ対策の基本の基本+α
    • 企業の対策っぽいですね。

1. 情報セキュリティ 10 大脅威(個人)

  • 攻撃者/被害者/脅威と影響/攻撃手口/事例または傾向/対策と対応 でそれぞれまとまってますね。
    • 対策と対応が予防/早期検知/被害後の対応とまとめられていて、わかりやすいです。

インターネット上のサービスからの個人情報の窃取

  • 攻撃手口
    • 脆弱性や設定不備以外にも、他のサービスから取得した認証情報を悪用…。
    • パスワードの使いまわしをすると、被害が簡単に拡大しちゃう感じですね><
      • 若干脱線かもですが、マイナンバーカードでいろいろ共通化とか、勘弁してほしい感じです…。
      • いろいろ同時に盗める便利なものは、クラックするための手間や費用がかかってもやりますよね><
  • 対策と対応
    • 不必要なサービスは退会
      • 不必要だとわかったとき = 興味がなくなっているとき なので、思い出さないですよね><
      • 今、うちの会社では使っているものをリストアップしていて、半年に1回見直している感じですね。
    • 被害の検知
      • 月に一度、クレカと銀行の明細を見るようにしてます。

インターネット上のサービスへの不正ログイン

  • 二要素認証が突破されるケースもあるみたいです💦
  • 脅威と影響
    • 金銭的な被害の他に、写真やメッセージの覗き見、嫌がらせ投稿、フィッシング詐欺の投稿も…。
    • 数年前に知り合いが「レイバンのサングラス」をインスタグラムで投稿してました…。

クレジットカード情報の不正利用

  • 事例または傾向
    • 他のものもそうですが、全く人ごとに思えません…。

スマホ決済の不正利用

  • 「攻撃者も簡単決済」…うはぁ…。

偽警告によるインターネット詐欺

  • これは、IPAの体験ページを一回やるべきです…!
  • ブラウザの通知機能、ホントうるさいですよね…。

ネット上の誹謗・中傷・デマ

  • 攻撃者
  • 対策と対応
    • これだけ毛色が違うんですよね。どこかにまとまった情報ないのかな…?
      • 情報リテラリー、モラルの学習用の資料

フィッシングによる個人情報等の詐取

  • 事例または傾向
    • 給付金、インターネットバンキングはわかりやすいですが…QRコード、接続先がみえないのでたしかにイヤですね。直前でURLをちゃんと確認するようにします…。

不正アプリによるスマートフォン利用者への被害

  • 事例または傾向
    • 公式マーケット以外はNGですが、公式マーケットにもまぎれているというのは、少し頭の片隅においておいてもいいかも。
  • 対策と対応
    • ここに書いてあること以外に、アプリの権限を不用意に与えないようにするのも大事かも。結構細かく機能を分けているので、多少期待しています。

メールや SMS 等を使った脅迫・詐欺の手口による金銭要求

  • 攻撃の手口
    • 様々すぎて参考になりますね…。
  • 対策と対応
    • 変なメールは無視は、実際のところあまり自分が見えるところに届いていません。gmailのフィルタがバンバンやってくれてて…助かりますね…。

ワンクリック請求等の不当請求による金銭被害

  • 「契約」について、ある程度の知識があれば避けられますかね…。
  • ブラウザアクセス時のデバイス情報を表示して、ここまで知ってるんだぞ!的なことを言ってきますが…職業柄通信時に送っている情報がだいたいわかってるので、せやなーと流せますが…そうでないひとはどうしたら…?
    • 何事も不当だと思ったら無視して、然るべきところへ通報、ですかね…?

コラム:パスキーを知っていますか?新しい認証方式でパスワードレスの時代に!

  • 何箇所か設定してて、少し利用しましたが…なんかうまくできないです…><
  • ただ、デバイスに連絡が来たりするのはよさそうなので、自社サービスにもなんとか入れたいです…!

コラム:そのショッピングサイト、本物ですか?

  • 情報をクロールして使われて、その上、犯罪者一味扱いされる可能性があるとか、どんだけ踏んだり蹴ったり…
  • ドメイン名のpunycode、かなりヤバいですね…。
  • SAGICHECK
    • …よい取り組みですが、毎回入れて確認するのはちょっと💦
  • ¥マーク問題…日本円と中国人民元で同じ記号ですが、1CNH ≒ 20JPY なのでトラブリやすいみたいです。

2. 情報セキュリティ10大脅威(組織)

  • 個人とまとめ方は同じで、わかりやすくていいです!

1位 ランサムウェアによる被害

  • 事例または傾向
    • 名古屋港の話が入っています…!復旧、早かったと思います。
  • 対策と対応
    • 被害を受けたときに裏取引で身代金を払ってしまうと、犯罪組織に資金提供をしたとみなされてしまうおそれが…。ええ〜…厳しい><

2位 サプライチェーンの弱点を悪用した攻撃

  • イラストがわかりやすいです!
    • このことを考えると、ビジネスで組む相手は〜の認証を取得しているところ、となるのもわかります…。
    • せめて、〜に対し、〜をしていますと説明できるくらいにしておきたいところ。
      • 認証はめちゃくちゃ高いので…。(理由はわかるけど。)
  • 攻撃手口
    • ソフトウェアのサプライチェーン攻撃は……利用しているすべてのライブラリがOSSなので、ある程度の人間の目で見られている、という安心感は自分もソースをちょくちょく覗く、という行為をしていこう、ということなのかも。
      • 時間を取るようにしましょ。
  • 事例または傾向
    • 外部委託先のシステムが…というのが多いですね。
    • 委託先の社員などが…というのは含まれないのかな?
      • 適正な価格じゃないと、質が保てないぞ、みたいな面もありますね…。
      • www3.nhk.or.jp

3位 内部不正による情報漏えい等の被害

  • 情報リテラシー、モラルについて学べる体制、チェックする体制、面倒な業務を改善する姿勢…
    • これって健康な会社そのものでは…。
  • 対策と対応
    • システム操作履歴、案外残っているので…と社員にもちゃんと周知しておくのは大事かも。
      • (ただしくっつけてすぐに誰かをわかるようにするのはしたくないし)

4位 標的型攻撃による機密情報の窃取

  • 事例または傾向
    • 東大の事例、怖いですね…。講演依頼として何度かメールのやりとりをしている中で、リンクを踏ませたみたいです。標的型は…避けられる自信はありませんね…。
    • ネットワーク貫通型
      • ネットワーク内に何らかの方法で侵入できてしまうと…。組織をターゲットにするときには動機があるので、これも避けるのが難しそう…。
      • ネットワーク内にも更に壁を作っておくとよいのかも。
        • ただし利便性が…。
        • なるべくラクな認証を組み合わせるとか…。
      • こういうことから「ゼロトラスト」が来たのかな…?
  • 対策と対応
    • 結局は、普段から対策をしっかりやっておきましょう、ということになるんですよね。銀の弾丸はない、的な。

5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃

  • 攻撃手口
    • 公開前の脆弱性ですもんね…。
    • スゴイ努力…。
    • セキュリティ関連のコミュニティ内に紛れてたりもするんでしょうね…。
  • 対策と対応
    • サポートのしっかりしたところの製品を使う、は基本ですね。

6位 不注意による情報漏えい等の被害

  • 要因
    • 情報リテラシーの低さとかプロセスの不備だとか、組織の対応が足りてない系が多いです…。
    • 体調不良、多忙…たしかに要因になりますね。パッと出てきませんでした。
  • 対策と対応
    • がんばって制度を整えていくってことですかね…。

7位 脆弱性対策情報の公開に伴う悪用増加

  • 脆弱性が公開されてパッチがリリースされた、という情報を元に攻撃…!
    • みんながみんな当てませんもんね…。
    • 残念ですが、リーズナブルな攻撃感あります。
  • 対策と対応
    • 重要なシステムにはちゃんと管理者をおいて、運用していきましょう…。

8位 ビジネスメール詐欺による金銭被害

  • 従業員になりすまして…流石にうちはこれにやられにくいですね。
  • 中規模で業務フローが整備されてないとなりそう…。
  • 対策と対応
    • 詐欺の手口をなんとなく頭に入れておくと、少しマシかも…。
      • 普段とちょっと言い回しが違う、やたら急がせる…

9位 テレワーク等のニューノーマルな働き方を狙った攻撃

  • うち、VPNそんなに使ってないからマシかも…?
    • とはいえ、個人の端末に何かしらある可能性はあるので…どこまで対策するか、ですかねえ…。
  • 対策と対応
    • 体制の整備、防御の多層化、みたいなところでしょうか…。

10位 犯罪のビジネス化(アンダーグラウンドサービス)

  • ホント、こんなものが商売になる時代が来るとは…。
    • ネットはいろんなものが売られるようになりました。
  • 事例または傾向
    • え…月額でウィルスを販売、サポートありって…。
  • 対策と対応
    • ダークウェブの監視とか、結構テクニカルなものがあるし…外注とかできたりするんでしょうか?

コラム:AI とうまく付き AI(あい)たい

  • バーチャル誘拐…そんなのもあるのか…。
  • このコラム自体はAIの利用についての話かも。

「共通対策」

  • ほとんどの攻撃に対して、それぞれに特別な対応があるわけでもなく、基本的なことをきっちりやりましょう、的な感じっぽいですね。

パスワードを適切に運用する

  • 適切な保管・運用…これ、結構難しいですよね。
    • 個人のものは心配ないですが…ひとつのアカウントをみんなで共有しようとしたときに、めっちゃ崩れてる気がします。
      • 付箋紙、簡単なパスワード…

情報リテラシー、モラルを向上させる

  • 教育する、はわかるけども…何を使えばいいんでしょう…?
    • うちは「情報セキュリティ対策自主研修」を月に一回設けてますが…題材に困りますもん。

メールの添付ファイル開封や、メールや SMS のリンク、URL のクリックを安易にしない

  • これ、サービスをしている我々はURLをメールにいっぱい書いているんですよね…。実際はどうしたらいいんでしょう…?

適切な報告/連絡/相談を行う

  • 相談先の一覧、ありがたいです!
  • 企業も、インシデント相談窓口をまとめたほうがよさそうです…。やらねば…!

インシデント対応体制を整備し対応する

  • CISO、CSIRTを構築…これは中小だと厳しくないですか…?
  • …まずは中小企業のための〜をやろうっと…!

サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う

  • やっていること、これからやりたいことが並んでいます…。
  • チェックリスト的に使おうかな…?

適切なバックアップ運用を行う

  • バックアップの復旧訓練をどこかでやりたい…!
    • そして定期訓練に…。

感想

  • うんざりするほど、対策が共通でした。つまり、当たり前のことをしっかりやっておきましょう、ということだと痛感したというか…。
  • 各脅威の最新の事例がつけられているのはとてもありがたかったです。今後何か訊かれたらこれをみに来ても良さそうです。
  • 思った以上におもしろかったので、来年も軽く流し読みしようと思います…!

第53回Software Design (2024年3月号) 輪読&座談会 に参加してきました

いつもおせわになっている53回Software Design (2024年3月号) 輪読&座談会に参加してきました。

softwaredesign.connpass.com

  • 今回は第1特集、DDDでめちゃくちゃ盛り上がりました。
  • 結構プロマネをされていそうな方が多く、現場での知見が盛り沢山でした。
    • 戦略/戦術 がだんだん視座が上がっていって、経営の話にまで辿り着いちゃってました。
    • なんだかんだと相似形ですよね。
  • イベントストーミング/イベントソーシングのところで、ユースケースじゃないの?的な話がとてもよかったです。最終的に、最近マイクロサービスだから…ということをおっしゃった方がいて、なるほど…と思いました。
    • うちだとあんまピンとこないな…と思っていたのはそのせいだったのかも。
  • AWSの話でそのうちにブルーグリーンデプロイ来るかも?
    • 自分は簡単・安心・爆速でめっちゃいい体験だったので、広まるといいなぁ…!
  • 最後にtsurugiの話を駆け足でしてもらった中に、トランザクションは書けずにやって、失敗したらabortさせる、とあり、自分が読んだときはあんまり変わらずに書けるじゃんと思っていたのが覆されました!あと、我々が死ぬ頃にはtsurugiが真ん中にドーンと立ってるんじゃないですかね…と仰ってた言葉もよかったです。どこかでホスティングされたら使いたくなりました…!

今回は特に刺激的な会でした。 また次回も行こうっと。