4
results
for 勉強会
-
ヒカリエにあるDeNAさんで「【Security✕Discussion】#1 DeNA・楽天・LINEとセキュリティについて語る夜」というイベントが開催されたのでその時のメモです。 https://discussion-security.connpass.com/event/148055/ セキュリティポリシーの大改訂 DeNAさん 岡村隆之さん セキュリティチームのリーダー ゲームで世界配信があると各国の法律が関わってくる オートモーティブ事業では位置情報が関わってくる 世の中と事業にあわせて改訂が必要 セキュリティをマネジメントするためにガバナンスがある → NIST 具体的な方法はコントロールで定義する コントロールが149個ある 脅威情報を外部から取得→シナリオを作成→担当者へバトンタッチ(防御検知ツールの導入・授業員研修・インシデント対応計画) 事業部やインフラ部門に確認して修正しつつ、全社的にコメントをもらう→ポリシーに落とし込む モニタリングする ポリシーに基づいて会社は動く ポリシーが有効に機能しているか確認する→実態にあわなければポリシーを修正する、事業にあわないポリシーを見つける、会社の戦略にあわせる PDCAをまわすことがポリシー改訂に必要 楽天のサイバーセキュリティの取り組み。攻撃事例を交えながら対策例の共有 楽天さん 福本佳成さん 2002年に楽天入社 初代楽天のセキュリティエンジニア 2002年は脆弱性だらけのサイトばかり 開発のセキュリティプロセスを構築 セキュリティ組織の設立 2003年にセキュアコーディングを徹底 新規で年間700プロジェクトの監査をおこなっている→監査=脆弱性チェック 定期監査 2007年にRakuten-CERT/2008年にCSIRTへ加盟 2013年から不正ログイン試行が激増 中国で楽天用の不正ログインツールが出回る 連携して不正ログインサーバーを見つけて犯人逮捕 フィッシングサイトを停止できず、ドメインが作られ続ける APWGにフィッシングサイトのデータベースがあって、各ブラウザが参照するようになった 今は15分で更新されるようになった トラフィックの30%は不正なアクセス 楽天は日本初のOWASPスポンサー 情報セキュリティのお仕事と組織運営 LINEさん 新美さん 組織はITセキュリティ系(インフラやアプリ、脆弱性)の仕事と情報セキュリティ系(ポリシーや個人上情報保護)の仕事にわかれている 若いメンバーが教育/クラウドサービスの審査等を担当 キャンペーンの情報取り扱い・文言審査・UXの確認を行っている シニアメンバーがサービス横断で設計を行っている、弁護士や法務経験者、Pマーク運用者等が担当 DBで暗号化されているかなど、専任の技術者が担当 各国法やニュース、トレンドを分析 対外企画の立案〜実行 法務機能を担う、仕事の基本は兼務(4チームで)、さまざまな専門家を登用 企画→設計→実装→運用 情報セキュリティの仕事は多様、悩みも多様 感想 今回は技術一辺倒というよりは、各社がどうやってセキュリティを担保するために取り組んでいるかという発表だったが、興味深い内容が多かったように思う。 DeNAさんのようにゲームで世界配信したり、配車アプリなどを提供していると多種多様な情報が得られるだろうし、セキュリティと一口に言ってもインフラやアプリケーションの脆弱性もあれば、個人情報の取り扱いに関するポリシーなども関わってくる。 その上で、DeNAさんはポリシーを定義してPDCAをまわしながら、世の中と事業にあわせてポリシーをアップデートしていっているというのは、適切でいて、且つ安心できるポリシーになるだろうと思う。 ガチガチに定義しただけで、実運用の伴わない、体外的なアピールのようなポリシーは運用者も指示者も疲弊して、事業にもそぐわないのおで誰もハッピーにならないのかもしれない。 人数がいて、知識や新しい動向のキャッチアップの得意な人が向いているのかもなーと思ったし、運用に則したポリシーであれば皆協力的かもしれない。 次に、楽天さんの発表者の方はセキュリティエンジニアのスペシャリスト中のスペシャリストと言った方だった。 2002年に楽天のセキュリティエンジニア第一号として入社して、ずっとセキュリティに関する取り組みを行っているようで、外には公開できない内容を惜しげもなく発表されていた。 ホワイトハッカーとはまさにこんな方を言うのだろうなと思いながら聞きつつ、楽天はセキュリティに関して日本でもトップクラスの取り組みをしているというのがわかったし、個人的には一番おもしろい話だった。 最後はLINEさんの取り組みの話で、どちらかというと組織構成の話が主だっていた。
-
Ansible Night in Tokyo の抽選に当選したので、参加してきた時のメモ。 殴り書きに等しいのであまり参考にならないと思うけど、一応記録しておく。 ANSIBLE NIGHT 2018 開催日 2018.04.26 開催場所 レッドハット株式会社 恵比寿ネオナート5階セミナー会場 Cisco with Ansible 物理ネットワーク機器をAnsibleで設定する Ciscoはルーターやスイッチ以外も出しているよ。サーバーとか、ウェブ会議システムとか。 DEVNETというシステムを作っていて、ドキュメントの共有ができる -> Ansibleの使い方とかも SSOと連携している 物理ネットワーク機(Nexus)とAnsible 高価なのでVM版シミュレーターを用意している DEVNETでもサンドボックスがある ESXi,Virtual Box,VMware Fusion,KVMで動作する Ciscoのアカウントがあればイメージをダウンロードできる Contiv + k8s + Ansible ブリッジネットワーキング、オーバーレイネットワーキング、アンダーレイネットワーキングまでみていかないといけない コンテナネットワークの管理は結構大変だよね Flannel,Calico Contiv Network Plugin L2 サポート オーバーレイ、ACIをサポート オープンソース Contiv利用のメリット FW的にルールを設定できる ポリシーグループできる yamlでエンドポイントグループを指定するだけ Cisco ACI + Contiv も可能 DEVNETにSandboxあるよ Cisco ACI + Ansible ネットワークは面、サーバーは点なのでサーバーと比べるとネットワークは割りとAnsibleで管理するの大変 ネットワークの課題 ユーザー -> Web -> App -> DB みたいなシンプルなものだけではなく、複雑でネットワーク提供まで時間がかかっていた ACIによって、想定するネットワークが自動的にセットアップされることを期待している Cisco APIC は GUI/CUI/API が存在する 基本的にはAPIを叩くようになっている(GUIもAPIを叩いているだけ) DEVNET には APIC Sandbox が存在する DEVNET へログインしなくても利用できる 毎日初期化される 激遅 Ansible 2.勉強会 Created
27 Apr 2018 -
3/1の土曜日に、オープンソースカンファレンス2014に行ってきました。 開催場所が多摩市の明星大学(めいせい)で、とても遠かったために時間ギリギリでした。 でも、MySQL Clusterの勉強会でも講演されてた方のMySQLのチューニングの話とか、今旬なオープンソースを色々知ることができてよかったですね。 是非来年も行きたいです。 ただ、MicrosoftさんもさくらインターネットさんもGMOさんも萌え萌え系のキャラ押しなのが気になりましたw 個人的には多摩モノレールのエヴァ感ががすごい感動したので、それを見られただけでも良かったですw
-
■MariaDB勉強会メモ:2014/02/18 場所:DeNA@渋谷ヒカリエ [Montyさんの講演] ・2009年から開発スタート ・feedback_pluginはデフォルトで無効→有効にしてほしい。 ・20%くらいが10.0を利用している ・MySQLからのMariaDBへの移行について ・ProgressReportで実行の進捗が確認可能 ・マスタースレーブ環境でMySQLと比べてMariaDB環境の方が高速 ・optimizer features ・Kristian Nielsen’s blogを見ると良い ・InnoDBが使える ・Performance Schemaはデフォルトでオフにするほうを推奨 ・一つのスレーブが複数のマスターを持つことが可能。 ・TokuDB ・Olivier Bertrand ・WikipediaはMariaDB 10-15%くらい高速化している ・2013 4月 GoogleはMariaDBを使用する ・2013 6月 RHELも導入 ・MariaDBへ移行する理由→MySQLの開発チームがMariaDBの開発をしている ・たくさんのfeaturesがあるからMySQLを使用する理由は無い ・マルチマスター 4-5倍 [斯波さんの講演] Spider ・DBシャーディング Mroongaストレージエンジン ・全文検索、位置情報検索 ・検索中でも高速に更新可能 MariaDB10.0 ・RC版、もうすぐ安定版 [Colin Charlesさんの講演] ・SkySQLのチーフエバンジェリスト ・GoogleのMySQLからMariaDBへの移行について ・kakao talkはMariaDBへ移行 ・WordPressはMySQL、MariaDBを推奨 ・slash gear blog VPS使用しているが年間$12000削減できた ・OLX 広告 40ミリオンページビュー [堤井さんの講演] ・MySQL5.5とMariaDB5.5との互換性はある ・MySQL5.5とMariaDB5.6との互換性は低い ・MySQLからMariaDBへの移行はスムーズにできるが、MariaDBからMySQLへ戻すのは難しいのではないかと思われる ・OSS ・速いらしい。 ・オプティマイザが優秀。 ・スレッドプール。 ・Oracle社1社のコントロールでない。 ・開発の方向性が見える。 ・コミュニティからのフィードバック ・Buildも楽しい。(MacOS X) –> Mac Portsでやるのが推奨。