minoeru.github.io

【サポーターズ勉強会】これだけは絶対覚えたいセキュリティ基礎講座に参加してきた！

はじめに

　初めまして、ミノエルと申します。ホームページにブログ欄を作成したため、情報のアウトプットの練習として参加講座の感想を書いていきます。
　渋谷区にある渋谷スクエアで12月12日(水)に行われた「【サポーターズ勉強会】これだけは絶対覚えたいセキュリティ基礎講座」に参加してきました。サポーターズ関連のイベントに参加するのはこれが２度目です。
　今回のイベントでは、(@ariaki4dev)さんがセキュリティについての基礎を解説してくださったり、セキュリティに対するモチベーションを高めてくださったりしました。また、セキュリティというトレンドの変化しやすいコンテンツに対する最新情報の入手方法や例などを教えていただきました。ありがとうございます。

概要

今回の内容は以下の6章でした。

• セキュリティとは
• ガイドラインと攻撃方法
• セキュアコーディング
• 事例からみる危殆化
• OSセキュリティ
• 最後に

セキュリティとは

　この章では、セキュリティに対するリスクの考え方や、原則など基本的なことを学びました。この章でもっとも重要だと感じたことは資産の把握に対する考え方です。データを保護するために様々な行為を行うことは確かに大事ですが、実際の守るデータについて詳しくならなければ実際に失った際に何が失われたのかがわからず困ってしまいます。他にも、このような状態だとサラミ法などに対して気づくことができないです。なので、これからは資産の把握をしっかりとしていきたいと思います。
　セキュリティ管理の工数の話も聞きました。セキュリティは他の業務とは別の工数で考えられており、最初にガイドラインの作成から入り、それに沿って進めていきます。そして、新しい脅威に対応するため、流行の脆弱性に対して対策していきます。次の章で詳しい説明がありましたが、脆弱性のランキングの変化が激しかったため、流行を学び続ける重要性を再確認できました。

ガイドラインと攻撃方法

　この章では、脆弱性のランキングやその対策方法や、今後の変化にもついていけるような情報源の情報などを学びました。GitHubやaptの入手元からウイルスが混入してしまうケースなど、今まで知らなかったタイプの脆弱性について知見を得たり、OWASP top 10のような流行りの脆弱性を知るための方法について知れたので、今後に生かしていきます。

セキュアコーディング

　セキュアコーディングとは、以下について考えられたコーディング方法です。

• セキュアコーディング
  • ゼロトラスト：入出力の正しさ、論理的な正しさ
  • 契約プログラミング：自他の信頼の境界（関数に入る前に検証。関数はいつ呼ばれるかわからないため）
  • エラーハンドリング
  • イベントロギング

　契約プログラミングなど、今まで聞いた覚えのない単語が出てきたりもしましたが、例をだして説明してくださるなど、理解を助けていただきました。また、そのような単語にはリンクを貼っていただけたので、リンク先を読むことでさらなる理解をしていきたいです。
　これまでのコーディング経験でセキュアコーディングを考えてコードを書く機会はありませんでしたが、パフォーマンスを多少なりとも落としてもセキュリティ意識のあるコードを取り入れていきたいです。

事例からみる危殆化

　まず、危殆化とは、昔は安全だったけど今は安全とは言えない状態のことです。現在主流となっている暗号アルゴリズムは10年以上前に考えられたものが多くなっています。コンピュータの性能は日々進歩しており、昔は解読に時間がかかり過ぎてしまい現実的に解読不可能であった暗号アルゴリズムも、今では解読にさほど時間がかからないこともあります。そのため、昔の技術を過度に信頼しすぎることは危険です。なので、ソルトとペッパー（ペッパーについては今回初めて知りました…）を使用することで解読を難しくするなどの対策が必要です。
　暗号化を行うだけでなく、暗号化に使用されているアルゴリズムや、暗号の歴史などについて知ることは、セキュリティの意識を高めることに繋がると思われるため、積極的に知識を蓄えていきたいと思います。

OSセキュリティ

　この章では、話者の得意分野(?)であるOSのセキュリティについての話を聞きました。OSセキュリティなど、考えたこともなかったため前提知識が最も少なく、色々と勉強になりました。
　OS自体が安全であるために用いられている技術がリングプレてクションです。これは、CPUに実装されており、あらかじめ決められた権限以上のことは命令できないように定められていることです。これによってアプリケーションがOSの中身を書き換えられないようになっています。
　Linuxを触ることで内部についてある程度理解が深められるであろうことは今まで思っていましたが、OSという根幹の部分についてある程度知識があることも重要な気がしたので、とりあえず時間のある学部生のうちに「30日OS」あたりをやってみれたらな..と思います…脆弱性に対して深い理解を得たいです。

感想

　初めて参加した勉強会でしたが、新たな知識を得たり、新たな知識を得る方法を知れたりしたので非常に有意義な時間でした。ありがとうございます。理解が不十分だった内容については配布されたパワーポイントにあるリンクから追加の情報を得て、今後に生かしていきたいです。
　他の参加者と話す機会も少しあり、その時にネットワークに興味があると言ったところ、「3 Minutes Networking」と言ったものの存在を教えていただきました。これには、他のページに「30 Minutes Networking」などもあり、大変勉強になりそうなので知れてよかったです。「マスタリングTCP/IP」の補完になると良いです。
　このように新たなことを学べる良い機会なのですが、学生の数がとても少なく感じられました。学部生のうちに交流をしておくのはとても貴重なことだと感じるので、是非参加してみましょう。次回は懇親会も参加したいと思います。