第11回 まっちゃ445勉強会レポート風味
「実はジョン・ウーは私の親戚です…………嘘です」という心温まる掴みではじまったMicrosoftのジョン・ルー氏のSDL(Security Development Lifecycle)話
同じMSが昔提唱していたSimple DirectMedia Layerとは違うんです
各プロセスと分離した別のプロセスとしてセキュリティを配置するのではなく、各プロセスに内包させるといったアプローチといえばいいんでしょうか
ボクは開発者じゃないんでそんなに奇異に思わなかったけど、今までってそんな感じだったんでしょうか?とむしろ聞いてみたくもあったり
……そもそもセキュリティって概念が存在しなかったって可能性も高いですけどね、ええ(^^;;;;;;;
全部を話すには時間がないので、ということでここからトレーニングの話とか脅威モデルの話をメインにといった流れに
脅威モデルというのは設計段階のリスク特定のモデリングであり、よくある脅威としてSTRIDE脅威モデルを元に各工程でこれに該当するものがないか考えるといったやり方
STRIDE脅威モデルは以下のように想定される各脅威の頭文字をとった命名となっている
・S なりすまし (Spoofing identify)
・T 不正改竄 (Tampering)
・R ユーザーによる処理事実の拒絶 (Repudiation)
・I 情報漏洩 (Infomation disclosure)
・D DoS攻撃 (Denial of Service attack)
・E 特権昇格 (Elevation of Privilege)
わかりにくい表現になっちゃってますが、Repudiationは例えば注文したものを届けたのに「そんなの注文してない」とかいう、いわゆる「とぼけ」行爲のことです
後はまあ、割とよく聞く単語だと思うんでスルーしていきます
ジョン・ルー氏はここで簡単な投票ページを例にとって、このページにどのような脅威があるのか?といった流れで説明されていましたので、ボク的にもここは2001年に実際にあったTIME誌の「今年の人 (PERSON OF THE YEAR)」の事件を例にとって説明を
2001年、TIME誌の恒例企画「今年の人」をインターネット投票で決めようと言うことで投票ページが立ち上がりました
ここまではよくある(?)話なのですが、2ちゃんねるで盗撮 や覗き、覚せい剤所持で捕まったタレント田代氏を「今年の人」にしようぜ!的な動きが妙に盛り上がってしまいました
最初のうちは手作業での連投だったのですが、自動スクリプト(一般に田代砲として知られる)が登場し、サーバーが過負荷で逝ってしまったりしたあげく、実際に田代氏が1位となるもTIMEの中の人の賢明なる判断により1位をスルーして、2位だったOsama bin Laden氏を1位とした……と言った話です(当時を知らない人は何それ?風味な話だとは思いますが、実話です)
当時はまだまだ牧歌的な時代でしたので、事前に脅威の分析をするとかは無かったのですが、もし現代で同じことをするのならば以下のように分析できます
・S なりすまし (無記名投票だったので要素なし)
・T 不正改竄 (同一人物・グループの連投による投票結果の改竄)
・R ユーザーによる処理事実の拒絶 (要素無し)
・I 情報漏洩 (要素無し)
・D DoS攻撃 (田代砲によるDataServerへのDoS)
・E 特権昇格 (要素無し)
なので、対策としては
・クッキーの使用によるアクション制限
・IPブロッキング(特定IPの排除)
・ユーザー認証(ユーザーしか投票できないって感じになりますが)
・HIP(文字入力認証(変形している文字を入力させるアレ))の使用
と言った方法が導き出せるという感じです
また、コードの自動チェックツールをMSでは無償で提供して頂いているようで、「CAT.NET」「FXCop」と言ったツールなんかも紹介して頂きましたが、対象はC#とのことでwwwww
単語はなんとか聞き取れるんですが文として頭の中で理解できないので、単語に反応するのが精一杯でした>TOYOTAとかね
通訳さん頼りでしたが、内容的には興味深かったです
で、おいしい勉強会恒例のお菓子!!!
実はもう一つテーブルがあって、そっちには違う味のものや道明寺もあったっぽい
で、ボクが選んだのがコレ
黒いはらロールは、ごま風味でクリーム部分にやや大きめにクラッシュしたマロン入り
ボク的にはクリームがやや甘すぎたかな
黒いはらロールは黒い人用ということで、TOTORO氏もすすめられておりました、黒い人なので(激しくマテ
大福の方はいわゆるイチゴ大福で、大きいイチゴがメインで少しだけこしあんが入っている感じでこちらは美味!!
堪能させて頂きました
で、その後はOracleの澤井氏によるXACMLの話
認証・認可の標準化技術の話だったのですが、聞いたときにはイマイチぴんと来ませんでした......orz
懇親会で、bugbird氏とお話しする機会がありそこで、今話題になっているクラウドの認証は動的じゃなくっちゃいけないのだが、動的認証にかんしては標準化された技術について云々……といった話を聞いて、おおおおぉぉぉぉとか思ったのですが、何分アルコールが入っていたので細かいとこまでは覚えておらず......orz
グレープフルーツジュースにも厳密に言えばアルコール成分が含まれるとかそんな話は覚えているんですが(ダメジャン
とまぁ、かなりてきとーに書いちゃってるとこもあるので、間違ってるとこあったら教えてくださいm(__)m
Tämän kirjoituksen kommentit ovat suljetut.
Kommentit