【勉強会】#ssmjp 2015/04
4/24にビッグローブさんで開催された#ssmjp 2015/04に参加してきたのでメモを書いておきます。
スライドは現在公開されているもののみ載せています。
今後掲載されたら追加していきます。
人工知能のはなし
大学で機械学習を学んでいる
全能アーキテクチャ若手の会で会計をやってる。
・リンゴと梨の写真を見て
なんでリンゴと梨とわかるのか?判断基準はどこ?
経験を基にリンゴや梨と判断している
これをコンピュータにやらせる。
ロボット(コンピュータ)に知識を与える。
赤い+丸い → リンゴ
黄色い+丸い → ナシ
という知識を入れて判断させる。
ネットワークやセキュリティに例をとると、
スパム検出の挙動とかamazonのレコメンドシステムにあたる。
・応用範囲が広い事が人工知能(機械学習)の特徴
例、jubatusを使ってスパムを検知する。
1.解析ログを取る。
2.解析ログを半分のグループに分ける。
3.半分のグループで学習する。
4.通常パケット、マルウェアパケットを学習させる。
5.残りのグループで評価をする。
6.パケットの特徴を見て確率を出す。
・人工知能注目のわけ
大容量データが簡単に入手できる
▶︎twitter、facebook、instagram等
特徴という壁を打ち破ったdeeplarning
▶︎googleの猫、一般物体認識コンテストwired.jp
DQN(deep Q-network)wired.jp
畳み込みニューラルネットワークsinhrks.hatenablog.com
・ブロック崩しの動画
最初はへたくそだけど、学習することによって人間らしい動き(玉を打ち返す)ように
なってきてる。
高得点を取る方法も学習しており、端っこに穴を開けて裏側へと押すと自動で玉がブロックを
崩してくれる事を自動学習してコンピュータが自動で行っている。
・人工知能界隈の動き
facebookがディープラーニングのフレームワークをOSS化
総務省の技術的特異点(2045年問題)
技術的特異点 - Wikipedia
IBMワトソンが銀行員に内定
リクルートの人工知能研究所設立
・まとめ
人工知能はコンピュータに人間のように認識能力を与えるもの
有名企業も注目している今後重要になる技術
お絵かきのお話~NW構成図ってどんな感じで書いてます?
・発表の目的
ネットワークの構成図を周りの方から聞く事が少ない
▶︎機密情報関わるのでインターネット公開とかむずかしい
みんなで共有してしたほうがいいジャンルだと思う
・NW構成図の書き方のコツ
上から下までのトラフィックを意識する。
▶︎水が上から下に流れるように
物理と論理を分けて書く
▶︎大規模になればなるほどもっと細分化する。(全体、拠点ベース)
一部の情報が欲しいのに大きな図で出されても分かりにく
目的に対する視認性を高くする
▶︎ビジュアル重視でアイコンを多用する必要はない
資料の存在意義を明確にする
・良くある質問
使ってるツールは?
▶︎PowerpointとVisio
いろいろ使ったがPowerpointに落ち着いた
・発表資料
@togakushiさん SSH48
メモをとることが難しかったので、スライド出たらうれしいなー。
@h_shiobaraさん 自社サイトにセキュリティホール見つけたら開発者じゃないのに一年かけて自分で直させられたぜ
架空の会社?!を例に取りセキュリティインシデントについてお話。
この会社はセキュリティはしっかり作ってた。
CSIRTの体制も整えている。
▶︎メンバーは経営陣や各部署のトップ
Webサイトの構築体制に歪であった。
@h_shiobaraさんは制作部(Ops)をご担当されていた
意識の高いDev(開発)が居ない。
サーバの知識はあるが、フレームワークでプログラムを作れる人が居ない。
Webサイトの作り
そのwebサイトはWindows(IIS)レガシーASP。
フレームワークを一切つかってない。
.aspですべて作っている。
共通部分はincludeで切り出し。
サイトがオープンし暫く運用するとセキュリティインシデントが発覚した。
▶︎ログイン状態で各ページに表示される情報が抜き取られてしまう。
何故?
表示を外部javasprictファイルのincldeで実現していた。
IISからレガシーASPでjavasprictファイルを吐き出すようにして
document.write()で書いていた。
そのjavasprictファイルを外部ドメインから参照すると情報が見れてしまう。
その脆弱性をPoC付きレポートを書いて上長へ報告。
CSIRTで要改修案件となった。
リファラーチェックする事で一時的に対応、抜本解決は後日という事に…
なぜかredmineでチケットを@h_shiobaraさん宛に切られた。
・何でこんな事になるのか?
CSIRTのメンバーは経営陣や各部署のトップ
▶︎責任の所在や対応状況がうやむやになる
システム部に偏った知識を持った方が多くWebシステムの知識がある人が居なかった
▶︎クリティカルな箇所が分からない
業者選定の決定権を持つ物がCSIRTメンバーと重なっている
▶︎いつものメンバーが適当に決めてしまい、必要要件のヒアリングが不足する。
セキュリティホール作らないのも無くすのも政治力がないとダメという風にはしたくないので
経営陣の日々の鍛錬をお願いしたい。
Taiji Tsuchiyaさん なぜネットワーク運用の自動化が進まないのか〜とあるNW屋の泣き言〜
ビッグローブでコアネットワークの運用のお仕事をされている
・ネットワークの運用お仕事について
ルータ設定
各種設定手順書作成
トラフィック制御
NW資源(IPアドレスや機器構成)管理
ルータリプレイス
データセンタ資源調達
・NW自動化事情について
サーバインフラは最近自動化の話をよく聞く。
NW界隈の自動化は事情が違い進んでない
・進まない理由
捜査対象のOSが多い
▶︎各社が出しているOSでそれぞれCLIが違ったりする
外部APIが確立されていない
▶︎各社で統一されたAPIがない
失敗時の影響(リスク)が大きい
▶︎サーバ1台の自動化が失敗した場合、物にもよるが影響は数サービス
ルータで失敗すると、ぶら下がってるすべての機器に影響が出る可能性あり
コアスイッチとかだと西日本全断とかもあり得る話
これ起こすと総務省に報告…
自動化のスキルはサーバ屋さんスキル
▶︎自動化のアイデアが出づらい
手作業で何とかなる作業量
・やれる理由
NW機器は状態取得を取る事は比較的簡単
ホワイトボックススイッチ(ベアメタルスイッチ)
▶︎いっぱいポートがあるLinuxサーバ
netconf(xml)
開発の敷居が下がってる
▶︎webフレームワークや構成管理がそろってきている
・発表資料
wakamonoによるISP的実験プロジェクト
ISPを個人で始めた。
JPNICからAS番号とIPを割り振ってもらった。
・目的
インターネットの基幹技術が触りたい
ISPをゼロから作ってみたい
流れているパケットを見てみたい
NWエンジニアならBGP触ってみたい
自宅 NOC Operator’s groupという名前で活動
https://www.bgp.ne.jp/
・ISPのネットワークはどうあるべきか?
組織(お客さん)から発せられたパケットを運ぶのが仕事
パケットはこぼさず、早く運ぶ
予算が無いので、決められて枠で安定した運用を目指す
ISP接続初めて1ヶ月で2回ほど障害があった。稼働率99.9%台。
・設計方針
ASとつないでるので、他に迷惑がかかるような事は絶対しない。
やりたい事をやっていく。
NOCは計画中のものも含め6拠点。パーシャルメッシュで接続。
通常回線はASのピアリングする時は専用線をつかうが費用が高い(100Mで数十万)なのでフレッツ
のIPv6折り返し通信を利用してトンネリングプロトコルを通して仮想の回線を作ってる。
接続計画をしているASとすべて繋がると対面接続2.6Gになる。
外部接続を受けるところを細かく分けており、1カ所が全断してもASが全部
インターネットから落ちる事がないような設計にしている。
ビッグローブのASともつないでいる。
ASやIXをつなげてもいいという方を募集中。
・質問
Q.費用は?
A.IPアドレス取得でJPNICへ¥54,000/年。初期費用で¥270,000。
回線やトランジット費用も必要
Q.電気代は?
A.¥50,000/月とか… 構成次第で¥10,000/月くらいの方もいる。
Q.NTTのメンテ等を考慮してNOCを引っ越したとかは?
A.たまたまメンバーが散けてたので引っ越しの必要はなかった。
クラホスのDDoS対策の話
ビッグローブクラウドホスティング = クラホスcloud.biglobe.ne.jp
DDos対策には事業者でやるというとこもあれば、お客様でやってください
というとこもある。
情報を公開する事によりお客様に安心して使って頂きたい。
クラウド事業者には世の中に公表されていない機能が沢山ある。
寺社・仏閣のHPでの利用が多いクラホス(トラフィック従量課金無し)
▶︎従量課金だと海外から攻撃があった場合かなりのコストになる。
自動でDDos対応するクラウド
▶︎一般的なクラウドサービス事業者だと自動設定はあまりない
攻撃検知した場合、NWエンジニアが対応する
一定の容量の通信を超えた場合、自動で遮断する機能を備えている。
この機能はビッグローブISPで利用していた機能をクラウド基盤側で
流用した形になる。(強み)
質問
Q.トラフィック量ベースで遮断とあるが、どのレベルで見ているのか?
A.ネットワーク
※自動遮断のロジック(具体的数値)をお話頂きましたが、ブログに書いて
いいのかわからないので数値記載は控えます。
@takahoyoさん パケットで遊ぼう
・パケットと接する心構え
パケットを良く知る
パケットを恐がらない
パケットに愛を込める
つまり「パケットは友達」ということ
・パケットで遊ぶとは?
キャプチャしたパケットを見る
送信パケットをいじる
チャプチャしたパケットをいじる
wireeditをつかってパケットをいじってみる
適当なキャプチャファイルをつかって
wireeditに読み込ませる
user-agentを変える
wiresharkで見てみる
うまくいかないときは直す
・user-agentをshellshock風に変えてみる
▶︎wiresharkで見るとエラーをはいている
・なぜか??
TCPデータの長さが変わっている・・・
シーケンス番号とACK番号がおかしい
そこで、手計算でACK番号を出して直した値を入れてみた。
wiresharkでエラーなく表示された。
wireeditはチェックサムは自動で計算してくれる。
・発表資料
@nomukenさん TDUCTFの話
単なる思いつきでやって大変な思いをした。
TDCTFには81名が参加
練習問題の作成が大変、とにかく大変、みなさんもぜひ1度開催してみてほしい。
今回のスライドではないですが、TDCTFを開催したときのスライドがありました。
TDU CTFのお話 from nomuken
www.slideshare.net
@mimura1133さん YAMAHA ルータの設定を Visual Studio で書きやすく
研究室でRTX1200をいじっていたらYAMAHAルータがどうしても欲しくなった。
飲んでる時に友人から買っちゃえよ!って言われたので買ってしまった。
自宅に持ち帰りごにょごにょいじって遊んだ。
ここまではどこの家庭にもある出来事ww
ルータの設定を書くのが面倒
▶︎もっと視覚的に分かりやすくする事が出来ないだろうか?
そうだ、、、
visual studioのような色分けとIntelliSenseが欲しい!
これを作ればいい。
普通に生活してれば思いつくようなことww
実演の動画を上映されていました。
ソースはGithubにおいてあるそうです。github.com
-
-
- -
-
前回に引き続きとても濃いお話が聞けました。
セキュリティ関連の話はもちろんの事、ネットワークの話が聞けてよかったです。
特に自宅ISPはスゴいの一言です。
すげぇ、自宅NOCは想像より遥か斜め上いってたww #ssmjp
— yut.noguchi (@toto_1212) 2015, 4月 24次回のssmjpは運用系のようです。楽しみですね。
【勉強会】#ssmjp 2015/03
3/27にラックさんで開催された#ssmjp 2015/03に参加してきたのでメモを書いておきます。ssmjp.connpass.com
勉強会を始める前にラックさんのセキュリティ監視センター「JSOC」(Japan Security
Operation Center)を見学させて頂きました。www.lac.co.jp
内部のことはセキュリティ上、書くことができませんが日本のセキュリティの中枢を見させて頂き
大変貴重な体験をさせて頂きました。ありがとうございました。
以下、メモです、、、
かなり大雑把なメモとなりますので、ご参加した方で違う箇所があれば突っ込みを入れて頂ければ
と思います。
@cloretsblackさん "中国のひみつ"(15分)
某ユーザー企業の情シス部門の国際インフラ担当者を10年くらいやっている。
中国の秘密を運用目線でお話したい
▶︎インターネットに載っていない「中国ってこんなとこ」を中心に紹介
個人的に中国大好き、でも変なところも沢山ある。
▶︎好きなんだけど如何な物かみたいなとこも多い。
中国の方は行動が早くて果敢いろんなことを試す。
▶︎インターネットやNWの世界でも雑なことをする。
・南北問題
internetcom.jp
中国には南北で2大プロバイダがある。
▶︎中国聯通(China Unicom) 華北
▶︎中国電信(China Telecom) 華南
南北が断裂気味で超える際のゲートウェイの通信が劣化する。
▶︎メールボックスが上海にあって、北京からアクセスするとうまくいない .etc
今は2つを結ぶ小さなプロバイダがたくさん出てきていて最近はこの問題が少なく
なってきている。2004年〜2010年くらいが酷かった。
・中華FW(金盾)
2006年くらいに話題
1つ画像取るのに10くらいRSTパケットを送る荒々しい動きするFW
RSTフラグはTCPコネクションを一撃で切断する破壊力
中国は通信事情が悪いためRST通信が末端まで届かないことを心配して10本送っていた。
▶︎通信を切る時にクライアントだけでなく、サーバ側にもリセットパケットを送り
通信を残さないというやさしさが見える。
金盾はDNSポイズニングと併用
あらゆる通信を見るのは13億もいたら無理なのではないかと気づき始めた。
検索エンジン等制していて中国の意向に反する検索結果が出てこないようにしている。
▶︎昔は見えない画像とかは頑張れば見える。
通信を統制した上で商売している。
中国版●●(twitterとか)の海外パクリサービスを始めている。
13億の人間が利用するので商売が成り立ち、ヘルプとか漢字にさえすれば通じる部分も多い。
SNSを統制下において拡散を管理しているようにみえる。
・中国のDNS問題
DNSを荒く扱う。
▶︎きちんとしたプロバイダのDNSも異常な返しをしてくる。
・存在しないはずのAレコードが帰ってくる
・typo(例えば xxx.com1みたいな)するとインターネット上にホストはないけど
Web検索するか?(自社の検索ページにリダイレクトする)
・VPN規制
IPSecが遮断される
UDP(500)ISAKMPは通る、AH、ESPが通らない。
▶︎SAは成立しているように見える
何故ping通らない?と管理者が悩まされる
今までIPSecが通っていたのに、現地の営業が「無料で増幅します」の謳い文句で勝手に切り替え
てしまうことがある。
現地マネージャがだまされてしまうケースあり。
実際2拠点切られたことがあったが以下で回避。
・OpenVPNの活用。(任意のUDPポートが使える)
・ベトナム経由で日本へ。(中国のFWと逆側にあるのでは?)
VPN部分をSDN使って複数拠点のトンネルを切り替える。
▶︎中国 ー 日本 のインターネットVPN回線の通信品質を改善する
北京オフィス ー 日本 インターネットVPNで結ぶ、間にFWがあってたまに落ちる。
上海オフィス ー 日本 専用線で結ぶ
上海オフィスを経由する形で2系統用意し、経路の状態を毎秒間隔で監視する。
監視結果をデータとして持って10秒毎に評価し、その結果をSDNを使って経路処理
している。
@ntsujiさん "おれはウソが大きれぇなんだ!〜辻伸弘が多発する改ざん事件を追う〜"(20分)
イスラム国と称する人たちの改ざんについてお話しする
・事件のあらまし
なぜだ?「イスラム国」が府中CFのHPをハッキング
※参考URL
なぜだ?「イスラム国」が府中FCのHPをハッキング
▶︎なぜだ?って誰に聞いてるんだww
結論:そこに脆弱性があったから。
記事の最後に、、、
ITジャーナリストの井上トシユキ氏は「考えられる理由は2つ。一つは単なる間違い。 もう一つは府中FCのライバルチームがイスラム国になりすまし、嫌がらせをした ケースです」と推測。
・単純な間違い
▶︎アノニマスが霞ヶ関と霞ヶ浦間違えた的な
・なりすまし
▶︎そこまでやるの?
辻さん曰く”この事件は脆弱性があったからたまたまやられた事件である”
・調査と推論
改ざん事件を調べる手法
▶︎とりあえずドメインを検索して、キャッシュをみて脆弱性アプリがあるかないかを見る。
キャッシュが残っていない場合
WayBack Machineを使って過去のスナップショットを見てみる。
Internet Archive: Wayback Machine
zone-h(改ざん報告をするサイト)を見る
http://www.zone-h.org/
自分で改ざんして報告する人もいるし、改ざんされているサイトを見つけて誰かの
改ざんを報告するケースがある。なので、改ざん者=報告者ではない。
ハンドル名やjpに絞って検索する。
zone-hでIslamic StateというIDでドメインの中に.jpが含まれているものを検索
3/5で改ざんされている報告があった。
1250サイト以上見られた。
▶コレだけあると︎狙った訳ではなのでは?出来るところを改ざんしたのでは?
警察でも注意喚起があった
「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに係る注意喚起について
http://www.npa.go.jp/cyberpolice/detect/pdf/20150312.pdf
「Islamic State (ISIS)」と称する者によるウェブサイト改ざんについて
http://www.npa.go.jp/keibi/biki/201503kaizan.pdf
中を見てみると使われた脆弱性に触れられている。(珍しい)
wordpressのプラグイン「Fancybox for WordPress」の既知の脆弱性が
使われた模様
3つの改ざんパターンがあった
改ざん後に表示されるwebページの見た目からパターン別に分けると、、、
1、ロゴマークタイプ
この改ざんをされた大都のキャッシュからソースコードを追った。
▶︎Fancybox3.0.1の記載があった
エクスプロイトでの攻撃コードが簡単に手に入る場所にアップされていた(3.0.2)
2、テキストのみタイプ
zone-hで検索すると改ざん方法がアーカイブされている。
action=revsliderの記載がある
プラグイン「Slider Revolution」が使われていることが予想される
デフォルトのディレクトリ構造から予想でディレクトリをのぞいたら覗けた。
そのディレクトリ内のリリースノートでバージョンを確認
▶︎そのバージョンの脆弱性を利用
3、ハンドル名掲示タイプ
プラグイン「Slider Revolution」が使われており、その脆弱性を狙われた。
任意のファイルをダウンロードできる脆弱性を利用されている。
ファイルが「ダウンロードできる=読み出せる」の意味となるため、wp-config.phpを
見てDBのユーザーやパスワードを入手できる。
・念のため
ハンドル名掲示タイプパターンにfacebookのURLが書いてあった。
問いかけたら応答があり、一発目の発言から「どの脆弱性つかったの?」と質問
その問いかけに相手は「what's」と返答ww
その相手に質問し続けたところ、「どのサイトのこと?」と返答あり
zone-hのアーカイブを送ったら、「WebSliderを使った」と。。。
やはり、Slider Revolutionの脆弱性だったことが恐らく改ざん者から情報を得られた。
・さいごに
本件は色んなメディアで騒がれたがそんなに大したことではない。
使われたロゴがロゴなだけ。通常の改ざんと変わらない。
改ざん防止をするには、、、
まず、どんなアプリケーションを利用しているかを確認する
wordpresswp利用しているならプラグインも含めてを確認する
攻撃がそもそも可能かどうかを確認する。
ツールを利用する
WPscan(WPScan by the WPScan Team)
▶︎Kali linux(https://www.kali.org/)に最初から入ってる。
wordpressでどんなプラグイン使っているかが分かる。
CMSMap(CMSmap/README.md at master · Dionach/CMSmap · GitHub)
▶︎wordpressの脆弱性をスキャンできる
通例で●●Mapってソフトは危ない
CMSMapはパスワードが当たってログインすると、勝手にバックドアがしかけられる。
狙われたから対策するというのはもうダメ、粛々と日比の対応をする。
【質問タイム】
テキストタイプで質問、ディレクトリリスティングしてまいたけどzone-hでやったのでしょうか?
▶︎zone-hでは出来ない。WayBack Machineでやった。
本番環境でディレクトリが見れちゃったとのことですがリスクはありませんか?
▶︎ありません。
@kitagawa_takujiさん "哀しみを知る人間こそ強者。哀しみを知らぬ人間に勝利は無い。piyologには載ってないSPE事件のドラゲナイ!!"(60分)
Sony Pictures Enterteinment への不正アクセス事件のお話
SPE事件について、まずはpiyologを見て下さい。d.hatena.ne.jp
会場アンケート
SPE事件の犯人は?
1.北朝鮮が犯人
2.北朝鮮は犯人ではない
3.どちらともいえない
▶︎3が大多数。
更にアンケート
1.どちらかというと北朝鮮が犯人
2.どちらかというと北朝鮮じゃない
▶︎ 2がちょっと多い
・事の始まり
Redditに画像が投稿された。
imgur(2chでも多く使われている画像アップローダ)に画像がアップされてそのリンクが
Redditに貼られた。
映画関連のツイッターアカウントが乗っ取られる。
SPE社内のハードウェアの破壊があった。
▶︎壁紙を変更する
▶︎画像を表示する
・Redditやimgurへは誰が投稿?
Redittに投稿されたメッセージを見ると、SPE元従業員からで「私の友人はこの画像を送って
くれた。全国のSPE端末にこれは表示されている」と。
PCが利用できない状態で、一般社員にここまでわかるのか?という疑問
PCが破壊されているのでスクリーンショットとか利用できないはず
スマホとかで撮影しても目立つだろう。
全国のSPEで起きているという事は、幹部や情シス部門しか情報を仕入れられないはず、
この地位の方達がわざわざ情報流出させるのか?
その意味は?
社員の誰かが画像をモザイク無しで投稿してくれるだろう。という期待
早くしないとデータのリンク先が削除されてしまう恐れがある。
既にリンク先が無くなっているものもある(twitterリンク先等)
自作自演の可能性が高いと思われる。
・GOP(ガーディアンズ・オブ・ピース)
Sony Pictures Entertainment hack - Wikipedia, the free encyclopedia
情報漏えいと思われるファイルとして「SPEData.zip」(システム破壊時に表示されていた表示に
URLリンクが貼られていた)内にreadme.txtがある。
readme.txt内に「データの欲しい人はタイトルに”to the guardian of peace”と書いてメールを
送れ」と記載があった。
なのでここからGOPというのはガーディアンズ・オブ・ピースというだろうという推察できる。
※facebookのURLも書いてありそこにも”guardian of peace”と書いてあった
データの内容
▶︎list1.txt、list2.txt、readme.txt
SPE内部で入手したファイル一覧(ファイル数は3,800,000)
これはリストだけで情報漏えいは無い。
▶readme.txtに書かれていたメールアドレス
2つのドメイン(サービス)が利用されている︎。
・yopmail.com
登録不要、パスワード不要で使える。
メールボックスは誰でも見れてしまう。
メールは8日間しか保存されない。
・spambom.com
discard.email
上記と同様なサービス。
メールを書くことできる。
(1時間に15通しか出せない、スパムには使えない)
サービスにはパスワード保護できるドメインもあるが、
敢えてパスワード保護できない
ドメインを使っている。
特徴は誰でもメール内容が見れて、誰でも返信が書ける。
記者とかが質問したり、自分のメールアドレスが書いてあったりと、、、
当然、質問やメールアドレは誰でも見えてしまう。
本物かどうかは分からないけど。
メールの返信があり、リプライはunseen.isというサービスを利用して返信された。
この返信自体が本物かどうか?
メールアドレスとシグニチャ欄にGod'sApstls(神の人)というメールこれは本物と思われている。d.hatena.ne.jp
データの拡散方法
メールにタイトルに”to the guardian of peace”と書いてきた人宛にBccで送られる。
その中にPastebin(Pastebin - Wikipedia)サイトへのURLリンクが
貼られている。
※Githubも使われている
そのPastebinにダウンロードリンクが貼られている。
実際にダウンロードできれば、PSEの情報があれば本物である。
〜〜〜 略 〜〜〜
北朝鮮が犯人だとすると得をするのはだれか?
▶︎SONY
内部犯行だとすると管理責任を問われるが、国家にやられたなら仕方ない
▶︎The Interview(ザ・インタビュー - Wikipedia)関係者
抜群のプロモーション効果が期待できる
▶︎米国政府
※メモ取り忘れ
▶︎オバマ大統領
強いリーダシップを発揮できた
▶︎セキュリティ業界
他社製品やサービスの依頼向上
▶︎北朝鮮
犯人であっても、なくても、ミサイル発射等を使わなくても脅威を高められた
今後脅しに使える可能性あり
▶︎GOP
このグループが北朝鮮であったとしても、目的が達成できた。
仮に北朝鮮のグループでなかったとしても捜査の手が及ぶ事は無い
すべてが WIN WIN になる
-
-
- -
-
中国の秘密、Islamic Stateと思われる団体の改ざん、SPE事件と濃い内容でお話をお伺いできました。
@kitagawa_takujiさんは体調が優れないなか、400ページを超えるスライドで丁寧にご説明
頂きました。情報量が多すぎてうまくメモを取れず途中は聞き入ってしまいました。
このようなセキュリティインシデント(事件)は表面では見えない事が多く、深くまで追っかける
事により真実と思えるものにぶつかるんだと思います。
セキュリティインシデント(事件)は深く追えば追うほど面白いな。多くは真実が解らずじまい推察になっちまうけど。
— yut.noguchi (@toto_1212) 2015, 3月 27今回の勉強会では追い方やどこまで追えば真実に近づくのかといくことが学べたように思います。
いくつか自分中で纏めたインシデントを再度掘り起こしてみようかと。
次回もささみはおもしろそうな勉強会を開催するそうです。ssmjp.connpass.com
【勉強会】くららカフェ#4 SSL総まとめ 2015
くららカフェでSSLの勉強をさせて頂いたメモを残します。
くららカフェ#4 SSL総まとめ 2015clara-cafe.connpass.com
1. 最新SSL動向 株式会社クララオンライン 志村結衣さん
・SSLとは
プロトコルの総称
暗号化して送信するプロトコルの一つ(認証、暗号化、webサイトの身元証明)
▶︎でも現在はTLSです。
・SSLサーバ証明書
通信の暗号化とwebサイトの運営する運営者の身元を証明する。
・OpenSSL
SSLを使うためのモジュール。(脆弱性対応で大変なやつ)
・SSLは使い方次第
せっかく証明書買ってるのにhttp://XXXXXXX.comみたいなのでリンクして暗号で
きてないケースがよく見られる。(リンクの貼り方)
証明書ビューアとかで見ると組織名が違うケース。
・SSL時系列
baseline requirements発行(2012/7/1)
ベリサインがシマンテックに(2013/5/27)
1024bitのSSLサーバ証明書の終了(2013/12/31)
SHA-1のmicrosoft発表(2013/11)
googleのSHA-1発表(2014/8-9)
・CA/ブラウザフォーラム
政府系
米国政府
日本政府
ブラウザベンダー系
microsoft Root Certificate Program
Mozila CA Certificate Policy
業界団体系
baseline requirements
EV SSL Certificate Guidelines
・インシデント系
コードサイニング証明書誤発行
CAシステムハッキング
不正アクセス犯行声明
某政府 Sub-CA 512bit証明でマルウェアの署名
不正な証明書が発効
・結論
SSLサーバ証明書は受け身のセキュリティツール
ただ使うだけでは暗号通信は出来ない。
SSLサーバ証明書は日々どんどん暗号強度が落ちていくため、それを防ぐ仕様変更に
対応していかなければならない。
2. Heartbleed、POODLEとはなんだったのか
株式会社クララオンライン 寺尾英作さん
・SSL脆弱性祭り
2015/3/4
FREAK(Factoring attack on RSA-EXPORT Keysの略)
MiTM(man-in-the-middle)で暗号解読。輸出向けRSAを因数分解する。
2014/10/14
POODLE(Padding Oracle On Downgrade Legacy Encription)
MiTM(man-in-the-middle)でCBC暗号をブルートフォースアタック
影響:SSL3.0の終了
HeartBleed
リモートから秘密鍵等のデータが漏えいする
攻撃が簡単なことが問題
FREAK(CVE-2015-0204)
輸出向けRSAとは何か?
2000年頃にインターネットやってた方はしっているのでは…
昔、アメリカは暗号技術を輸出規制をしていた。
アメリカ政府が暗号化されたデータを解読できるようにしていた。
海外で使う暗号はbit数を低く、アメリカ国内で使う場合は高いbit数を使うような
政策をしていた。暗号化強度が弱い物しかアメリカ国外では利用できなかった。
暗号技化コードを何十冊もの分厚い本にして出版し、販売し国外へ輸出してOCRで
読み取るみたいなこともしていた。
※本には輸出規制が無いから。
2000年過ぎに解除された。
海外では輸出規制されさてたものしか使えなかった時期があったために、ブラウザや
サーバソフトウェアは特別に読み取る仕組みを入れてしまった。
コレを外す時期を失ってしまい、今にいたった。
強制的に輸出向け暗号化レベルにダウングレードして通信することで、弱い暗号化で
読み取ることが可能
一時的RSAとは?
リクエストした時に、サーバから鍵が返される。その鍵を使って暗号化する。
一時的RSA鍵が頻繁に変わるであれば問題ない。apacheの設定等で鍵を使い回すよう
になってしまっていると問題。
普段は問題ないが中間者が入って抜かれると、しばらく変わらない鍵に対して
因数分解して解読されてしまう。
次にアクセスしたとき、アクセス元はAES256-SHAでアクセスをしているが、
中間者がEXP-DES-CBC-SHAに書き換えて送ってしまう。
サーバから一時的RSAをもらい、先ほどの因数分解結果より解読可能となる。
MIMT(Man in The Middle Attack)攻撃の解説
・野良WIFI、偽AP(Evil Twin)
野良wifiはまだ対処できるが、偽APは対処が難しい。
・proxy、DNSサーバの変更
自分で設定しない限りは変更されないと思っていないか。
最近はアドウェアやマルウェアみたいなものが勝手に書き換えてしまうこともある。
スマホでジェイルブレイクしていると、知らない間に書き換えられていたり。
・ルータの脆弱性
IPアドレスをデフォルト(192.168.1.1)で使ってる人が多い。
リモートから入られDNSサーバを変更されたり
・DNSポイズニング
・アプリケーションキャッシュポイズニング
動的サイトのjavasprictを偽物に置き換られてしまう。
どれも有効な策が無く、アンチウイルス等もこれらにはあまりや役立たない。
ある程度、被害に遭うことは想定し、大事な物は置かないや二段階認証を利用する。
POODLE(CVE-2014-3566)
Padding:不要な付け足し
Oracle:予言
On Downgrade Legacy Encyption ・・・:古い暗号方式へダウンロードした上で
暗号は解読に総当たりでスゴい労力がかかる。
しかし、ある条件が重なると256通りまで絞れる状況を作り出してしまう。
POODLEでSSL3.0終了とは?
SSL3.0では、RC4もしくはCBCのゴチらかの暗号アルゴリズムで通信を秘匿して
います。
RC4は脆弱であり、CBCを使うことを推奨。
CBCにも脆弱性があり、全面て全面的に撤廃の動きになった。
(P xor K)xor =P
Kを鍵とする暗号ができる。
鍵の長さが十分あると、暗号解きが難しい。
Paddingとは
暗号計算終わりに長さを埋める(ブロック暗号を埋める)ためのもの。
Paddingは検査されない。
このPaddingを利用するのがPOODLE。
最後のブロックがPaddingだけで埋まるような文字列をつくる。
自分が指定した文字列で暗号化した文が手に入る。それをいろんなパターンで書き
換えて送ると、同じパターンの暗号文が手に入る。
Padding部分は検査されないので自由に変えられる。自分が256通りの種類の
リクエストをすると復号したい暗号データと一致するものが出てくる。自分が
リクエストしているのでその元データがわかっているので暗号化されたものを
求めることが出来る。
HeartBleed(CVE-2014-0160)
OpensslのHartbeat機能に見つかった脆弱性
トレードマークを作ることを先にしてしまいOSSコミュニティに流さなかった。
優先順位まちがってないか?情報公開の仕方としては悪い例。
Hartbeat機能とは?
クライアントからhelloを含むハートビートリクエストを投げるとハートビート
レスポンスとして、helloとエコーバックする機能。
helloのリクエストに細工をして送ると、hello以外にデータを付けて返してしまう。
developers.mobage.jp
返してしまったデータには何か入っているか分からない。(コレが問題)
65kb程度のデータが漏れてしまう。helloの次のブロックに秘密鍵が入っていた
場合は秘密鍵が漏れてしまう。
IDやpassword、セッションIDのようなありとあらゆるデータが漏れる可能性がある。
250万リクエストしたら重要情報がとれたとか…
これからの脆弱性対応方法
japan.zdnet.com
NCC Groupがコードの監査をするとのこと
予備的監査が終了するのは2015年夏の予定。がんばってほしい。
3. 今後対応すべき課題とは? (仮)
匿名希望さん
ご登壇者のご希望でこちらのセッションは他言禁止(ツイート)ということで記載
することはできませんが、とてもディープなお話が聞けました。
【勉強会】本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会
「本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会 ―2014年を振り返り、2015年を予測する」に行ってきました。
徳丸さん、根岸さん、辻さんというセキュリティ界隈の大御所達のパネルで大変面白い話が聞けました。
スライドが無く聞きながら記録したので雑な点、表現がおかしな点がありますがメモしました。
・2014年で印象に残ったセキュリティインシデント
徳丸さん
オンラインバンキングに対する一連の不正送金
- 法人口座が狙われ始めた
やられると銀行が補填してくれない
辻さん
ddosサービスを利用した高校生が書類送検
- 800円程度でゲームサイトを落とした
booterやリザードストレッサーといったDDosサービスで攻撃をした。
これらのサービスを辻さんはDDos as a Service(DaaS)と呼んでいる。
海外でもそう呼ばれていることもあるそう。
- DDos攻撃のサービス
4.2ドル支払えば1000秒継続(最大サイズ5GB)するDDos攻撃を1週間の間であれば何回でも可能
もっとお金払うと大きいサイズで送れる。
検証とかすると上位(回線キャリア)に迷惑かかるのでできない。
DaaS同士のDDos攻撃のやり合いもある。
リザードスクワット(XBoxやPSNW落とした集団)もストレッサーを使ってる。
脆弱な家庭用ルータを踏み台にして攻撃させる。
対策は回線事業者だけでなく、個人個人もパッチを当てるなり気をつける必要がある。
根岸さん
400Gbps超えのDDos攻撃
- NTPを悪用したDDos攻撃
国内でも10Gbps超えの攻撃は頻繁に起こっており、100Gbps超えもぼちぼち出てくる。
NTP以外にもSSDPも目立つ。家庭用ルータが狙われることが多い
キャリアだけでの防御は難しい、家庭用ルータでもパッチやファームアップが必要。
・2014年、世間の注目は浴びなかったが、注意が必要なセキュリティインシデント
徳丸さん
Drupalの脆弱性CVE-2014-3704に対する攻撃
- Drupalはセキュアと言われていた。
重要官庁やホワイトハウスで使われている。
企業でもよく使われているので注意が必要
利用していることが分かれば簡単に攻撃できる
Chrome拡張で利用しているサーバとか分かるものがあるので、それでクロールされるとすぐ発見されてしまう。
辻さん
技術評論社のWebサイト改ざん
- Webサーバの脆弱をつかれた訳でない。
クラウドサービスのログイン画面を模倣したものに、社員が誤ってログインし管理者ID/パスワードを盗まれて改ざんされた。
その情報でクラウドサービスにログインされてしまいOSを入れ替えられた。
根岸さん
iCloudハッキング
- 海外セレブの写真が漏えいした。
Apple(iCloud)の脆弱性と思いきや、実際は被害にあった有名人の情報(ID/パスワード/秘密の質問)を推測してログインされた。
iCloud2週間後、2要素認証をリリースした。
2要素認証は利用するべきで、2要素が出来るサイトはクリティカルなサイトが多い。
2要素認証があることによって利便性を損なわない実装が重要。
撮影した写真がクラウドにアップされる
▶︎誰もがアクセスできる環境に写真があるリスクを忘れない
便利な物は悪いことする人にも便利なことが多い
2ファクタ認証とは 〔 二要素認証 〕 【 2-factor authentication 】 - 意味/解説/説明/定義 : IT用語辞典
・2014年の誉めてあげたい人・組織
徳丸さん
技術評論社
- 詳細な侵入過程包み隠さず公開し、対応が良かった。隠したがる企業は多いはず。
辻さん
金沢市のコンビニ店員
- コンビニでプリペイド買って裏の番号写真を撮影するような詐欺手口
大量に買おうとしていたお客さんに「LINE詐欺」じゃないですかと聞いた。未然に防いだ。
店員の判断でやったことが評価
技術でなんとかしようと思いがち。意外にコストがかかったりする。
このような人でできるものもあることを忘れてはいけない。
根岸さん
Edward Snowden氏
-まだまだ情報のリークが続いている。日本では関心が薄い。
インターネットを利用している方が関心をもつことが沢山あるのでもっと注目されてもいい
無関心でも無関係ではない。
海底ケーブルもタッピングされており、日本からの通信も流れており、関心は無いけど
自分の通信が流れている(関係)かもしれない。
・2014年 思い出に残るミスリード(取り上げられ方が違うよねって感じのこと)
徳丸さん
脆弱性に対する過剰反応
- ゴールデンウイークIEの脆弱性
テレビでIE使わない方がいいとアドバイス(別のブラウザを使えばいいのではという意味で)
▶︎世間ではインターネットが危ないのでは?と言う形でとらわれてしまった。
またyahooやめてgoogleであればいい?なんてのも出てきた。
利用者のことも考えて発言すべきだった。
- 脆弱性に慣れる必要がある。
極められた対処方法を淡々とこなせばよい
名前がつくと俄然大事になりがち
- shellshock
基本パッチは当てる。
▶︎イントラなら当てなくていいでしょ?
何とかして当てない方法を模索している
ソフトバンクさんの見解がベスト
影響は無いけど、1ヶ月後の定期メンテナンスで当てる(ソフトバンクさん)
bashに存在する脆弱性 「Shellshock」 | トレンドマイクロ セキュリティブログ
辻さん
脆弱性のあたり年報道 or Gmailアドレスとパスワードが約500万漏えい
- メディアがあおり過ぎ(緊急とか危険)。更に伝言ゲームでおかしくなる。
淡々と対応する手順
緊急かどうかの判断フロー
- Ghost発見者の最後に攻撃が難しいことやapacheだとかのメジャーソフト影響無いと書いてある。
Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を | トレンドマイクロ セキュリティブログ
根岸さん
模倣サイトに関する注意喚起(3s3s)
匿名プロキシサイト、害はあるかもしれないが本来の使い方では有害ではないのに取り上げられてしまった。
適切な判断が必要
▶右に習えではいけない
3s3s.orgにいくと利用方法が書いてある。
プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる | スラッシュドット・ジャパン セキュリティ
・是正したい世間の勘違い
徳丸さん
パスワード認証に主な脅威は外部からの総当たり攻撃である
- 総当たり攻撃の話でパスワード8桁では足りなくて12桁とか必要とか言われてる。
ちゃんとすれば6桁でも問題ないパスワードができる
辻さん
無線lanは暗号化されていれば安全
- フリーのwifiが多くなってくると思われる。
空港会社提供のwifiは平文。そういうものと思っている。平文危なくないのか?
▶︎では暗号化していれば大丈夫か?
wpa、wpa2 暗号化するための鍵が同じ
みんなで同じ暗号を使っているので戻すこと可能
- 偽のアクセスポイントの可能性
よく勉強会とかで貼ってあるID、パスワード同じもののAP使ってると抜かれる
可能性ある(その勉強会会場が提供しているか検証はできない)
▶︎radiusとかあれば…
- 重要な通信は公衆lanではやらない自己防衛。
極論使わないってことも…
企業であれば会社経由でのVPN。個人であれば自分のモバイルルータとかを利用推奨。
お金に関わる通信はフリーwifi経由では行わない
根岸さん
暗号化しているクラウドサービスは安全(データ保管、パスワード管理)
- プライバシーに関わる者は共有クラウドストレージに置くな(スノーデン氏)
暗号化していてもサービス提供事業者は戻すこと可能
ユーザー側で暗号化しているから安心していい訳ではない
- パスワード管理サービスのマスターパスワード鍵はどこでどうやって管理しているのか
物によってはマスターパスワード(複合鍵)をサーバに送っているサービスもあるよう
▶︎難しいかもしれないが自分で調べてそのようなサービスは利用しない
・ベンダー/パートナー選びのポイント
徳丸さん
お客様の課題を十分に理解して、課題に即した提案ができるか
- セキュリティベンダは自分の意見だけ言うのが多い傾向がある。
課題に則した提案をしてくれるベンダがよい。
- あるセキュリティベンダのセミナーでの話
事前にWAFを入れておくことがプロアクティブな対応。◀︎ はっ?これ如何なものか…
辻さん
一緒に悩んでくれるか否か。
- 人生相談みたいなケースもある。
データセンタに行ったらスクリーンセーバーに「人間らしい生活がしたい」ってww
セキュリティ提案は簡単に答えが出るものではない。
一方的にあおって自分とこの製品を売りつけるようなのはダメ。
答えがすぐに出ないこともある。時間をかけて一緒に決めるようなとこ。
根岸さん
インシデントの際に相談できるか、信頼できる情報をいち早くつかんでくれるか
- 何か分からないことがあったら聞けるベンダ。
脆弱性に関して的確なアドバイス(すぐ対処すべき、世間が騒いでるだけ等)をはっきり言ってくれるところ
やるべきこと+α あったら嬉しいだろうなという情報、プロアクティブな対応策の情報提供が出来るベンダ(辻さん)
・2015年の予測、注目ポイント
徳丸さん
パスワードに対する洗練された攻撃
- 以前は最初から一気にサーバ攻撃してきてて、ゆっくりやればいいのにと思っていたらそんな攻撃が出てきた。
githubはゆっくりパスワードアタックされた。
現在はそういう攻撃が起きている。
根岸さん
カジュアルかつ大規模なDDos攻撃
- DDos攻撃の規模や攻撃方法が拡大してきている。
DDos攻撃させさないのは無理なので、どうやってうまくかわすか。
大きなイベント(W杯、オリンピック)はDDos攻撃が盛んになる傾向
大きなイベントに向けて強靭なインフラを作る
辻さん
2014年までに出来上がった下地の活用
金銭被害に繋がった物が後半多かった、前半はその準備だと思う。ログインされて終わり、個人情報見るだけ等。
リスト型攻撃が減り始めた頃、大手2社宅配業者がやられた。
ネコの宅配業者:ポイントためても金銭に変えれない。ポイント使って抽選権利獲得。金銭メリットが全くない。
にも関わらず狙われた。
宅配業者への情報提供は自宅の情報は正しいものを必ず入れる。
リスト型攻撃はメール、パスワードの組み合わせが多い。
電話番号もある。
この辺りの情報目当てで宅配業者が狙われたのでは。
そこで得た情報が活用される年かと思う。
攻撃側もツールの共有している(根岸さん)
日本以外からのアクセスを遮断しても攻撃者は日本にプロキシ置く。
▶︎攻撃側もプロアクティブ
Q&A
徳丸さんへの質問
@ikepyon J-LISのモデルプランでは「これこれの脆弱性がないこと」と要求していて、その上で、脆弱性検査をすること、開発ガイドラインを提示すること、セキュリティ保証期間(想定5年)内に当該脆弱性が発覚した場合は無償修補を要求しています
— 徳丸 浩 (@ockeghem) February 10, 2015webシステムのRFPにどうか書けばよいか。
現状はいろいろな方が手探りで行っている
主流の考え方は2つ。
発注者側がSQLインジェクション対策としてSQL文やプレースホルダを使う等、発注者側が細かい指示を出す。
※最後のQ&Aは聞き取れない部分があり中途半端ですいません。
【勉強会】サービスを成長させるためのグロースハック事例
サービスを成長させるためのグロースハック事例をきいてきたのでメモ
Growthhack
ウィルゲート 加藤さん
メイソンジャー、黒田官兵衛にはまってる。
- 暮らしニスタとは
クックパッドでいうレシピを生活の知恵版にしてユーザーからの投稿を載せたサイト。
cakephp、mysql、memcache、redis、git、vagrant、VirtualBox等を使ってる。
- ビジネスモデル
ネットワーク広告
メーカー広告(バナー)
企業がサイト内に公式アカウントを持って貰う
キューピー公式アカウントを作成しがマヨネーズの使い方を紹介 .etc
サイト内商品の通信販売
- 主婦が自由な時間にしたいこと
買い物、家でのんびり、寝る、映画
女子会、SNS、飲み会
手芸、読書
マッピング分析
実際はコミュニケーション取れない現実
主婦だと一生懸命がんばっても認められない現実
いいアイデアが浮かんだときに暮らしニスタに投稿
- 開発コンセプト
暮らしニスタは主婦の「事故現実・社会貢献」を支えるプラットフォーム
- webメディアをグロース(成長)させる3C
Contents、Community、Commerce
- コンテンツメディアに置ける課題
PV稼ぎの記事を書く
↓
メディア価値が下がる
↓
収益か出来ない
↓
編集力がつかない
- PV至上主義からの脱却コンテンツメディアの3C
contents
コンテンツ生産し、サイトの価値を高める
community
リアルとネットでのコミュニティを形成し、ユーザーの定着・活性化を促す
commers
サイト上でスムーズに商品購入に結びつけ、収益を上げる。
- AARRRモデルを活用したグロースハック事例
★AARRRとは
ユーザーが新規で訪問して課金する流れ
Dave Mclure氏(500startupsのベンチャーキャピタリスト)が提唱
・Acquisition(ユーザ獲得)
・Activation(利用開始)
・Retention(継続)
・Referral(紹介)
・Revenue(収益発生)
AARRR | 用語集 | シナジーマーケティング株式会社 SynergyMarketing
★AISASとは
電通が提唱
・Attention(注意)
・Interest(関心)
・Search(検索)
・Action(行動、購入)
・Share(共有)
AISAS - MarketingPedia (マーケティング用語集Wiki)
- 暮らしニスタのKPI
投稿数、PV
- AARRRモデルを使ってグロースハック
AARの部分にフォーカスし実施したこと
・Acquisition(ユーザ獲得)
サイトへの流入数を増やす
このカテゴリでのPKI:訪問数
雑誌の露出
キャンペーン(商品券プレゼント .etc)
・Activation(利用開始)
訪問後の会員登録数を増やす
このカテゴリでのPKI:会員登録数
アイデアを募集する仕組み作り
アイデア募集コーナーの設置
コンテストの開催
・Retention(継続)
継続的な投稿数を増やす
このカテゴリでのPKI:リピート投稿数
急上昇ランキング(ランキング順位を設置したが上位が変わらなかった)
ユーザへ個別フィードバック
バッジ(ゲーミフィケーション要素、コンテストで表彰されると付与される)
公式キャラクター(ふっくん、あさき)を作成
新機能、使い方、システム不具合、ユーザへのコメントは公式キャラから発信
AWS CloudWatchの値をZabbixで取得!
ウィルゲート 堀さん
好きなコマンド nmap
- 暮らしニスタのシステム
・Route53でDNS管理
・ELB配下 EC2 8台
・ユーザーからの画像はS3保存
・画像系はcloudfrontで配信
・RDS MySQL (チューニングのお陰かmicroインスタンスでも10%台)
・memchace、redis
・EC2 on postfixからSES経由でユーザにメール配信
postfixを経由させる理由はキューの追跡、ログが欲しかったから
- CloudWatchを使う問題
・2週間保存問題
2週間では過去のイベントが参考に出来ない
- zabbix採用理由
・New Relicやscoutは試した。
有料になってしまうのが問題
・もともと社内でzabbixを使って監視をしている
リプレースしてzabbixを利用した方がコストが安い
・zabbix proxyを2台使ってる
1つはAWS、もう1つは他クラウドの監視
- zabbix活用ポイント
・APIを利用してCloudWatchの値を取っている
・サービス毎にアカウントを発行しているが、キー情報を登録することで
アカウント跨ぎステータスが1画面で確認できる
エンジニアCROSS2015 at 実行委員メンバー
1/29(木)に大さんばしホールにて開催された「エンジニアCROSS2015」に実行委員として参加しました。
運営側で動いていたのでセッションは聞けてないで、合間に取った写真で纏めます。
【前日準備風景】
プログラム表
会場準備風景その1
会場準備風景その2
会場準備風景その3
ノベルティその1
ノベルティその2
ノベルティその3
準備も終わり大会場の壇上から
【開催当日】
会場前の最終ミーティング
デーリーポータルZブース
GMOクラウド 青山社長の開会挨拶
俺はどうしてそのデータストアを選択したのか 〜銀河と小宇宙を語る会〜
本当に使える CROSS プラットフォーム開発環境はどれだ!ガチンコ対決!
IoT・ウェアラブル・VR~今後のデバイスに向けた開発手法について ~スマホの次を見据えて~
インフラエンジニアの睡眠時間を確保する方法 ~Infrastructure as a Code時代のインフラ運用~
ゴールドスポンサーブース
プラチナスポンサーのビズリーチ様
引継ぎ式年遷宮 ~私の世界の引き継ぎ・あなたの世界の引き継ぎ~
Webアプリケーションから機械学習まで ~ PythonとPythonコミュニティの2015年大展望
超高齢化社会到来!介護の現状とこれから我々IT業が出来る事とは?
デザイナーからのラブレター 〜デザイナーが本音で話すエンジニアとの新しいカンケイ〜
コミュニケートセッション開始のご挨拶 ニフティ株式会社 三竹社長
サントリー様ビールサーバ到着
ジョブボード
勉強会情報を書くコミュニケーションボード
アンカンファレンスプログラムその1
アンカンファレンスプログラムその2
団体スポンサー様
個人スポンサー様
企業スポンサー様一覧
アンカンファレンス用軽食準備
アンカンファレンスの様子
会場撤収後の簡単な打ち上げ
1000人レベルのカンファレンス運営ってどんなんだろうという興味から始まり、コミュニティリーダーはどうあるべきかを学びたくて参加したエンジニアCROSS。
初めてのメンバー顔合わせは確か服装は半そでだったと思うので、約半年かけて作ってきたコミュニティ。準備中は大変なこともあったが、周りのメンバーに支えられながら何とか無事に終えることができました。
担当を責任もって全うすることで、コミュニティはニフティ中心と思っていたが、そんな空気は全く無く会社という垣根を越えていろいろな方とコミュニケーションでき、とてもいい勉強になった。
これが会社やプロジェクトといった単位ではないことが重要。そこには政治的なものや報酬に対する責任がででくるから。
コミュニティは個人のやる気以外は何物でもない、やるのも自由、辞める自由。
やっぱコミュニティは面白いし、CROSS運営で学べたことは沢山あった。
メンバーで記念写真 @中井 勘介さん撮影
【GCP】GCP概要
GCPに触れる機会が多くなってきたのでちょっとメモ用に纏めておく。
触れるのはCompute Engineが殆どなのだが、GCPというかGoogleのPaaSやIaasを知っているようで知らないので簡単に書いてみる。
Google Apps(GA)
Google Appsはグーグルが提供するクラウドサービス(参考)
・Gmail
・カレンダー
・ハングアウト
・ドキュメント
・サイト(参考)
・Vault(参考)
Google App Engine(GAE)
python、JAVA、Go言語が使えるwebアプリケーションPaaS
言語毎のSDKをインストールし、開発してアップロードしRunさせて起動。
管理コンソールやAPI、メール、Memcache、タスクキュー等の機能は利用可能で、無償で1GB分のストレージも利用可能。
但し、DBに関してはRDBMSは利用できず、オブジェクトデータストアを利用。
データストアへのアクセスは、クエリオブジェクトインターフェースとGQL。
昨年末の「Google Cloud Platform Live」にてGAEの機能である「Managed VM」でDockerをサポート発表
Docker上に自分が動作させたい言語のランタイムを入れたDockerイメージをデプロイすればGAE上で動作可能
AWSでいう「AWS Elastic Beanstalk」のようなもの。
Google Cloud Platform(GCP)
Googleが自社のインフラをデベロッパー向けにIaaSを提供するサービスの総称。
AWSでいうサービス総称「Amazon Web Services」のようなもの。
サービスラインナップ
<Compute>
・Compute Engine(AWSでいうEC2) ▶︎ 仮想サーバ
・App Engine(AWSでいうAWS Elastic Beanstalk) ▶︎ WebアプリケーションPaaS
・Container Engine(AWSでいうECSとはちょっと違うような) ▶︎ Dcokerコンテナデプロイサービス
<Storage>
Cloud SQL(AWSでいうAmazon RDS) ▶︎ RDBMSサービス(今のところMySQLのみ)
Cloud Storage(AWSでいうAmazon S3) ▶︎ ストレージサービス
Cloud Datastore(AWSでいうAmazon DynamoDB) ▶︎ NoSQLデータベースサービス
<Networking>
Load Balancing(AWSでいうELB) ▶︎ ロードバランシングサービス
Interconnect(AWSでいうAWS Direct Connect) ▶︎ オンプレ環境接続サービス
Cloud DNS(AWSでいうRoute53) ▶︎ DNSサーバサービス
<Big Data>
BigQuery(AWSでいうAmazon Redshift) ▶︎ カラム型データベースサービス
Cloud Dataflow(AWSでいうAmazon Kinesis) ▶︎ リアルタイム分析サービス
Cloud Pub/Sub ▶︎ リアルタイムメッセージサービス
<Service>
Translate API ▶︎ 翻訳APIサービス
Prediction API ▶︎ 機械学習(データ分析・予測)APIサービス
Cloud Endpoints ▶︎ モバイルアプリケーション用バックエンド向けクラウドサービス
<Management>
Cloud Deployment Manager ▶︎ 管理・自動構成ツール
Google Compute Engine(GCE)
GCPサービスの1つで仮想サーバ機能を提供。
対応OSは「CentOS」、「Debian」、「RedHat」、「SUSE」、「Ubuntu」、「Windows」、「CoreOS」
「Free BSD」、「openSUSE」、「SELinux」、他にも自作が可能となる。
プロジェクトと呼ばれる単位でインスタンスを管理。
課金もプロジェクト単位で計算されるので予算管理や会計管理で便利。
リージョンは「北米」、「ヨーロッパ」、「アジア」で、ゾーンは各拠点2拠点ずつ。
マシンスペックは「Standard」の汎用タイプ、「Micro」のマイクロタイプ、「Small」の小規模タイプ、
「highcpu」のCPU重視タイプ、「highmem」のメモリ重視タイプがある。
Compute Engine Autoscaler機能で1000ノードのクラスタでも5分以内に起動することが可能。
gcutilユーティリティ(Google Cloud Utility)をローカルに入れることによりコマンドで操作が可能になる。
J.Krown: Windows7 にgcutil ユーティリティ(Google Cloud Utility) をインストールする方法
参考リンク Google for Work Japan 公式ブログ
