第11回 まっちゃ445勉強会

まっちゃ勉強会は、勉強会に興味を持ってすぐに知り、ずっと参加してみたいと思っていて、今回ようやく参加することが出来ました。

以下、記録ではなく感想ですので、内容を知りたい方のお役には立てないと思います。。

会場について

  • Oracleの青山センターだったのですが、電源あり、無線LANあり、無料のコーヒーありで、本当に至れり尽くせりで、さすがOracleさんって感じでした。ありがとうございました。

目覚まし勉強会

  • せっかくなので朝から参加しようと思い参加しました。とにかくはじめてのまっちゃ勉強会ってことできょろきょろしながらライトニングトーク聞いていました。
  • hebikuzureさん「ブラウザー勉強会始めました」
    • ブラウザー勉強会を開催されるとのことで、勉強会についてのお話でした。IT管理者でも開発者でも利用者でも誰でも楽しめる内容にしたいとのことで、とても面白そうだなぁと思いました。次回は日程の都合で参加出来ないのですが、今後参加してみたいなぁと思いました。
    • 先週のオープンソースカンファレンスでのW3Cの方のお話にもあったとおり、Webというプラットフォームが今後どんどん拡大していく中で、ブラウザは今後どのような存在となるのかとても興味深いなぁと思いました。
    • ブラウザって今は高速化が話題の中心となっていますが、その他ではどんなことが注目なのでしょうか。(Webスライスって結局???)
  • Oroさん「M現象(エムゲンショウ)を追え!!」
    • まさに自分がライトニングトークと聞いてイメージするようなコアな内容のお話でした。ただ、内容については、、すみません!全くわかりませんでした。。内容については、、見当違いなことを書いてしまいそうな気がするのでこの辺で。。
  • フレッシュさん「なぜ、アンチウィルスメーカが無料ソフトを出したのか?−人類パンダ補完計画−」
    • 「Panda Security」という会社は存じ上げていなかったのですが、クラウド型のアンチウイルスソフトというアプローチはとても面白いなぁと思いました。
    • フリー版を提供することで多くの検体を入手することが可能になり、パターンファイルをクラウド上に置くことでパターンの更新が迅速に行えるようになるという仕組み。クラウドであることとフリー版が提供されていることの意味、なるほどなぁと思いました。

自己紹介

  • すると思っていなかったので、何を言おうかと思いましたが、ある偶然もありそれを使わせてもらいました。

Session1:「Security Development Lifecycle」 ジョン ルー 氏

  • マイクロソフトがどのようにセキュリティに取り組んでいるのか、とても興味深い内容で楽しみにしていました。
  • 今回はオンラインアプリケーションを対象にしたお話でした。
  • セキュリティについては、事後に対応する方が当然費用もかかるし、信用などマイナスとなることが多いので、設計の段階から脅威を割り出し、開発に関わる全ての人に教育を行うことが必要。そうする方が結果的にはコストがかからない。確かにその通りだなと思いました。
    • マイクロソフト社で実施されている教育の内容ってどんなものかなとすごい気になりました。
    • セキュリティに関するknowlegdeベースの蓄積は自分単位でもチーム、会社単位でも出来ることだと思うので取り入れたいなぁと思いました。(みんなの頭の中でではなく、文章など誰でも参照出来るかたちで)
  • 脅威としてSTRIDEの説明もありました。確か少し前にどこかでSTRIDEについて見た記憶があって、それがどこだったのか思い出したかったのですが結局思い出せず。。
    • S poofing of user indentity - なりすまし
    • T ampering - 改ざん
    • R epudiation - 否認防止
    • I nformation disclosure - 情報漏洩
    • D enial of service(D.O.S) - サービス妨害
    • E levation of privilege - 特権昇格
  • セキュリティって多くの人にとっては、退屈で難しそうで失敗も許されない。そんな風に考えられているところがあるのかなと思っており、組織やチームが「セキュリティについて考えよう!」となることはなかなか難しいのかなと思っています。なのでSDLを適用させようとすると、今回話されていたとおりトップダウンで実施していかないとなかなか難しいのではないかなと感じました。
  • またセキュリティは、ネットワークやシステム運用が「動いて(繋がって)当たり前」と思われるように、「脆弱性がなくて当たり前」と認識されているように思います。ですので、この辺のセキュリティ関連の取り組みについて、どう評価として反映しているのかも気になりました。
  • 楽天さんがやられているセキュリティ教育〜テストの仕組みはとても素晴らしいと受けたいなぁと思いました。(自社内開発やりたい。。)

お菓子

  • ロールケーキも桜餅のおいしかったです!ご馳走さまでした!

Session2:「アクセス制御の共通化を考える(XACMLの話)」 澤井 真二 氏

  • SAMLすら「アサーション」という言葉を出すことくらいしか出来ないくらい知識がないので、内容についてはわからない部分が多く、ID管理は大変だなとちょっと距離を置いた感じで聞いていました。
  • この辺の話とかディレクトリ、ドメイン管理などについては全く携わったことがなく、自分の無知っぷりに不味いなぁとも思いました。
  • ですが、OAuthとかOpenIDなどの認可/認証の仕組みについては気にはなっているので、調べたいなぁと思いました。
  • セッションの内容と全く関係なくてすみません。。

まとめ

  • はじめてのまっちゃ勉強会でしたが、参加してよかったなと思いました。わからない部分も多くもっと勉強しようと思えたこと、様々な人に出会えたことなど、得るものがたくさんありました。
  • 関係者の皆様、ありがとうございました。

http://matcha445.techtalk.jp/saturday-workshop/11th-workshop