「脆弱性」 を/が 見つけた/見つかった ときは？

2010.10.30

永尾幸夫 (ynagao)

システムの健全性を維持するために 自らが「加害者」とされないために

まずは自己紹介

こんな人です m(_ _)m

永尾幸夫 (ながお ゆきお : ynagao)

SIer 関西会社に勤務

でも、東京勤務 (島流し。。。/_;)

某お客様システム保守・運用・監視～新規開発の基盤構築へ

得意分野はプラットフォーム系

– いまは、Linux ベースがほとんどです

– XenとかHeartbeat (2.x) や DRBDとか触ってます

– 上物は Oracle やら Tomcat やら WebLogic やら Apache やら

– 昔は Windows インフラ系、Exchange Server, ISA Server など

勉強会スタッフ、スピーカなどなど。。。

次回の神戸 (#13) は 12/11 予定。11月に募集開始かな。

– https://sites.google.com/site/kobesecurity/kobe-sec13

IPv6 とか、クラウド系とか、単発ネタも画策中。。。

まだ、全然練られていないですが・・・

10/2 園田さんのセキュうどん LT から

Shibuya.pm 「IPA特別企画対談」に触発されたそうで

http://togetter.com/li/55216

セキュメロ常連さんの声から、神戸ネタにしようと画策

タイトル未定ですが、神戸次回ネタは一つ確定？

園田さん招聘に成功！

次回会場を提供いただける、森井先生のゼミでも類似の研究を http://scis2010.z.nitech.ac.jp/program.html

旬なネタ、かつ、いろいろな視点で話ができそうです

ただ、「ディスカッションが発散しそうだ」との懸念も

こんなケースで議題分けすれば良いかな？

もし「脆弱性が発見され」たら？

想定：発見対象システム・ソフトウェアの関係者

某 ooo サポート担当の声「僕ソースいじれないし」

そもそも対応できるのか？回避方法はあるのか？

建設的に進むとして調査～改修～リリースはどうする？

もし「脆弱性を発見」したら？

基本「IPAさまに報告」ですが、障壁 (PGPとか) 多し

報告した相手によっては逆切れされる悲劇の危険性も

発見しなくても「脆弱性を叩いて」しまったら？

そんなの予測不可能。。。ひたすら自己防衛あるのみ

IT勉強会における「リモート参加」 「サテライト開催」の考察

2010.10.30

永尾幸夫 (ynagao)

「使える」インフラサービスを求めて 悩める勉強会開催者の助けとなるか？

リモート参加の需要～簡単なまとめ

その 1. 参加者サイド

全国津々浦々の勉強会を、気兼ねなく訪ねられる

「ちょっと雰囲気掴みたい」な要望には最適？

「参加するにはハードル高くて」という声もよく聞きますし

神戸セキュメロ #12 では、ustream 中継の是非を議論

「ディスカッションメイン」な勉強会に限らず、「オフレコ」話をクロースドにする工夫が必要。スピーカ講演なら OK?

その 2. 運営・講師サイド

スピーカー確保で、調整の幅が広がる

特に、地方開催者にとってみれば「交通費不要」は効果大

もちろん、「当地にお越しいただく」のが大事なのですが。。。

勉強会自体の宣伝に使えますね

セキュうどん (香川) などでも試験的に中継していたり

想定されるシチュエーション～ケース分け

その 1. 勉強会の中継をリモートで視聴

ustream ベースでの中継が多数

わんくま、電設部、古くは「もじら組」などから、さまざま

だいたい検討・実施・考察されているのは、こちらですね

その 2. スピーカ講演をリモート中継

たりきさんが検討していましたｗ

「@random な勉強会」へのリモート参戦へむけて

現状は「無理じゃね？」な結論 (‘・ω・`)

「予備校のサテライト講義」と発想は同じ

オーディエンス->スピーカのフィードバックはどーします？

「悩める勉強会運営者」へ向けた一つの解となりうるか？

ただし、「知恵」は求められます。

実行にあたって～インフラ・サービス編

「インターネットベース」は確定的

「音声」「動画」を載せられる回線環境がベース

2Mbps を切る回線の場合は、別の伝送路で模索。。。

「“サービス“ として何を選べるか」がポイント

公開可能であれば「ustream 一択」な状況

多少インタラクティブ性に欠けるが、大丈夫

感覚的に遅延は1～2秒くらいで、運営の工夫で何とかなる。

音声、動画、チャットともに、使えるレベル

問題は「クローズドで遠隔地をつなぎたい」場合

Skype などが選択肢に上がるが。。。模索中

ooVoo (http://www.oovoo.com/) を勧める声も

実行にあたって～開催・運営者編

インフラ・サービス面の障壁をクリアしたとして

リアルなインタラクティブ性は「ない」ことが前提

「音声」「チャット」どちらをベースにしても

「バーチャルな会話」も工夫が必要

「リモート」「現地」それぞれ発言機会が必要

放置プレイにしない！

講師プレゼン中「現地は無言」とか、おいしくないです

運営・開催者 (現地) サイドが、ある程度プレゼン内容を把握・理解していないと、司会が難しいのかな？

「オーディエンスのターン」「現地組ターン」を作る？

司会者のウデが問われるので、結構大変ｗ > 運営者

「現地側」のフィードバックを、きちんと届ける！