Linux Foundationの「セキュアソフトウェア開発」を受講しました（１）

Linux Foundation「セキュア ソフトウェア開発」無料オンラインコースを開始 12月5日にアナウンスされた上記ニュース。セキュリティに対する行動とアウトプットをこのブログを通じて自身に課したいと考えていた自分にとっては、CISSPの勉強も終わり、新しい朝活にちょうど良いと思いトライしてみることに。 内容はいくつかの章に分かれ、章ごとに教科書とクイズで構成されています。教科書部分にはノート機能があり、メモを記すことができるので、自己学習に便利です。 内容はCISSPの学習で学んだ知識と多くの部分で重複します。CISSPを取得したい人にとっては役立つと思います。最初の日本語が怪しかったので「ん」と思ったのですが、全体的に翻訳に問題はありません。 「第1部：要件、設計、再利用」 CIAトライアドから始まり、セキュリティと相互に関連するプライバシー（会社の総務が担当しているプライバシー関連のタスクを自分が巻き取ろうとしているのもこれが理由です）に関連する法案、リスクマネジメント、開発者向けのセキュア設計（とはいえセキュリティ担当者も知っておくべき）、OSSの利用 現代のビジネスは”個人データ”を如何に分析し個人向けに利益あるサービスを提供するかを重視しており、これはプライバシーとは相反する考えです。企業はなるべく多種多様なテレメトリーを収集したい一方、Linux Foundationは最もシンプルかつ最良なプライバシー対策は「何も収集しない」と書いています。 テキストはLinux Foundationらしく、ギークで挑戦的な文章が掲載されています。 （なぜプライバシーが重要なのか） 「他人に知られたくないことをやっているなら、そもそもやるべきではないかもしれない」と言う人は、極端な自己卑下をしています。彼らが本当に言いたいのは、「私は、自分がやっていることを政府に知られても平気なほど、無害で脅威のない、面白みのない人間になることに同意した」ということです。 ［このような主張をする］同じ人々の多くは、実際にはこのような行動を取りません。例えば、彼らは自分たちのためにプライバシーを得るために多くの手段を講じるでしょう。...

2022, Dec 18   — 

【ブックレビュー】ピアリング戦記

電子書籍を買うと物理本も一緒に郵送してくれるユニークなサービスで知られるラムダノートが12/19まで電子書籍限定で半額セールをやっているので、前から気になっていた「ピアリング戦記」を買いました。 例えば僕がYahoo.co.jpにアクセスしようとすると、僕がインターネット回線を契約しているGMOインターネットのネットワークにまず繋げます。GMOインターネットがNTTと繋がり、NTTがYahooと繋がり、ヤフーのホームページが稼働しているサーバに繋がるのです（もちろん概念を説明するための例えであり、実際には別のネットワークを経由しているのかもしれません） インターネットはいくつかの企業・組織が運営しているネットワークが蜘蛛の巣（ウェブ）のように繋がったものです。そのネットワークを提供する会社であるISP（インターネットサービスプロバイダー）同士が繋がり合う技術を「ピアリング」と言います。 ピアリングはトランジット（力が弱いISPが対価を払って力の強いISPにパケットを転送してもらう）と同様の技術が使われていますが、互いにトラフィックを交換し合う、トラフィックに対しての対価の支払いが発生しない契約です（実際には対価を要求することがある（ペイドピア）、あるいはバーターの契約があったりするようですが） 僕は前職はISPで働いていました私見ですが、ISPはあまり儲けのない仕事です、その代わりインフラという生活必需品（コロナ禍になり、リモートワークの時代になり、ワールドカップがABEMAで見る時代ですから今この瞬間がまさに有史以来もっともネットワークが必要とされているでしょう。）業績は安定しています。わざわざ今からISPをやりたいという会社もなかなかないという現実ｗそして会社が違うからこそ利用している電力会社や配線敷設ルートも異なり、これが結果として冗長性を確保しています。皆が同じルートと同じ電力会社を使っていたら、地震や火災で全滅ですからね。社会インフラを構成する都合、持ちつ持たれつ、ウィン・ウィンの関係を築きつつも、競争意識も働いています。 そんなピアリング業界ですが、You Tubeを持つGoogleやABEMA、ウマ娘などスマフォゲームを有するサイバーエージェントなど、、今やコンテンツ事業者が力を持つ状況で、コンテンツ事業者、配信事業者同士が自前の回線同士を繋げ、ISPに繋がない事例も出てきてます。 インタビューから様々な裏話が聞けます。 東日本大震災で海底ケーブルが切れて、危うく東京ネット壊滅だったとか。あのとき電話はまったく繋がりませんでしたが、ネットは全く問題なかったのですが、裏ではあわや、だったのですね。南海トラフ地震にも備え、各ISPは冗長構成で回線を引いていてくれてありがたいです。 日本で初めてインターネットが利用され始めた頃のエピソードやInternetEXchangeを立ち上げる活動。まさかあんな場所で、あんな機器を使ってISPを相互接続していたなんて、今では考えられない話です。今でこそL2はEthernetですが、まだどのプロトコルが事実上の標準になるかわからない時代、たいへんだったいっぽう創成期ならではの「みんなでやってみよう」みたいな空気もインタビューで聞けて、過去そういうことをやっていたんだよ、という、あとがきにもあるように、当時のその人しか知らないような、人知れず起きた出来事もいくつかあり、それが書かれることは資料的価値も高いです。 ちなみにこの本の著者はかつてアカマイ　知られざるインターネットの巨人を書かれた人でもあるのですね。当時は知られざる大企業だったアカマイも、今回のサッカーW杯でABEMAが1000万超えの接続をさばくインフラで活用したということでニュースでも名前が上がり、皆が知る会社となりましたね。

2022, Dec 13   — 

CM re:Growth 2022 振り返り会を振り返る

AWS最大のイベントre:Invent。コロナ以来久しぶりのラスベガス開催です。 年々発信する情報量が増大し、とても追いつける状況ではないため、クラスメソッドがまとめてくれるのはありがたい。毎年恒例のre:Invent振り返り会を視聴させてもらいました。 イベント詳細はこちら 記事のサムネイルは上記ページから拝借しています。 来年はAWS SAPの資格も失効します。３年前と異なりAWSをゴリゴリ触ってはいない（どちらかといえばCISSPに関心があります）ですが、再度受験するべきか・・・。 セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート クラメソのセキュリティといえば臼田さん。 今回はセキュリティ関連はすごい情報量で、細かいアップデートがいっぱいだったとのこと。 ネットワーク関連のモニタリングと監視の新機能をピックアップしていました。 これまでインスタンスやサービス自体の稼働は見れましたが、AWSにつながるまでのネットワーク、ISPの障害については追えなかったため、世界地図でどこのISPに障害が出ているかが見れるようになるのはセキュリティ・インシデント対応において地味ながら便利。 ■パフォーマンスモニタリング AWSのネットワークの問題がメトリクスが取れなかったのが取れるように。 いざというときに見に行く AZ内やAZ間のネットワークを見れる、ダッシュボードに登録しておくとか...

2022, Dec 08   — 

CISSP受験の感想

今回Github Pagesを用いてWebサイトを配信する目的はこの記事を書くためでした。 CISSPについて知らない人はおそらくこのページを読むことはないと思いますが、リンクを貼ります。 CISSP®とは 先月CISSPを受験してきました。結果は残念ながら不合格でした。 ネットで検索するとCISSPの合格記は見つかりますが、不合格記は見つかりませんでした。 敢えて不合格記を書くことで、今後試験を受ける人の参考になればと思います。 Who am I 社会人経験はもうすぐ２０年（遠い目） プログラマからデータセンターでの監視業務、ネットワーク構築などL1からL7まで経験してきました。 また、「ネットワークスペシャリスト」や「セキュリティスペシャリスト（現・情報処理安全確保支援士）」の資格を持っています。 クラウドの資格では「AWS SAP」と「セキュリティ専門知識」を保有しています。...

2022, Dec 03   — 

Chromebook上にjekyllをインストールするまで

記事を書く前に、ここまでの環境を用意した際の手順、参考にしたURLをメモします。 同じことをやりたいときに１から調べ直さないよう、また同じことをやりたい人にとって参考になれば幸いです。 GitHubの準備 もともとGitHubは使っていたので参考程度に Chromebook にGitHubリポジトリを作成してリモートリポジトリにプッシュする方法 GitHubにSSH接続する gitでssh接続する際にBad configuration option: usekeychainやterminating, 1 bad configuration optionsとエラーが出たときの解決方法...

2022, Nov 20   —