極楽せきゅあブログ

ときどきセキュリティ

コロナで封じ込められて考えたこと

昔々、といっても昭和くらいの時代。わからないことは職場の先輩に聞いていた。ベテランが蓄積してきた知恵は頼りになった。今でも、技能五輪とかで見られるものやいわゆる職人芸的なものは、醸造された知恵や感覚の結晶みたいなものを見せつけてくれている。
しかしコンピューター、IT、ICTの世界は全く違う。知恵に昇華する前に陳腐化してしまう世界。ある意味恐ろしいし疲弊するが、好奇心や食欲のような知識欲が衰えないタイプにとってはとても都合が良い世界でもある。
そういう世界になると職場に知恵者が居ることは稀になり(居ても長続きしない(笑))、外に知恵を求めるしか無くなる。あるいは知恵者の居る職場に転職するか。インターネット以前は知恵者の居る世界が遠かったけど、インターネットはそれを手元に強烈に引き寄せた。そのうち知恵を自分の中に留めているだけでなく、シェアし始めて世間はそれを称揚するようになった。
しかしインターネットはノイズも多い。知恵者は質問者に合わせて回答してくれるが、検索サイトは相当賢くなったけれども質問者に合わせる、ということをしてくれない。自分に合った良質な知識を探り当てるのに最低限の知恵が必要なのだ。ネットには単純にノイズも多いけれども、書き方を教わらずに見よう見まねで書いたテキストや、○○やってみましたー以上!というような若書き(よくある学生の研究発表ぽい(笑))も多い。良質な情報に行き当たるのにも知恵が必要な世界。
今はそれを埋めるものが出てきている。はてなに始まる良質なQAを蓄積共有するサービスは、Quaraなどに進化して、一流の専門家の丁寧な説明に触れることができる。その説明もRTされてシェアされる。
本体は行く末が気になるけれどもQiitaのような技術情報をシェアするサイト、サービスもネット上の情報群の質的向上に一役買っている。
クックパッドのような情報共有の仕組みの進化も興味深い。かつて地雷が多いと言われていたが、レピュテーションを事実の蓄積で示すつくれぽなどで情報の説得力を増している。Qiitaも良く玉石混淆だと言われるが、クックパッドのような使ってみました!という仕組みを採り入れたらおもしろいと思う。
対極的に、食べログのようにレピュテーションの使い方を誤った例も興味深い。
本質的には情報を集まる仕組みを構築し、ともかく集めたら勝ち、というのはある。グーグルは早くにそれに気づいてどんどん集めているし、Twitterフェイスブックも情報を集めまくっている。集めた情報をどうやって活かすか、社会として活かす方法、トラフィックを増やす=ビジネスモデルに活かす方法はこれも進化し続けているけど、さらにその上で、その質を担保する仕組みをうまく作れると知識の(おかしな表現だけど)純度が高まり、外部脳としてのインターネットの価値は途方も無いものになってくる。途方も無くなるんだけど、カジュアルにもなる。われわれはその先でどういうところで自分の頭を使うのか、使い所を模索し続けていかなければならない。ビジョンとして持っている必要があるのは、知識経済のその先の世界かも知れない。
コロナ禍は職場のノンバーバルなコミュニケーションから人間を隔離してしまった。ノンバーバルな部分を埋める方法を模索する一方で、じゃあ知恵をどこからどうやって借りるのか。↑の知恵を借りる世界、知恵の純度を高める世界は世間的にはまだ閉じられていて、世界の変化を見ている人にしか見えていなかった世界。家に封じ込められて仕事をする世界は、そうしたネットの知恵をより一層借りる必要がある。見えていなかった人たちを、ネットに拡がる良質な知恵の世界に誘導できるか。大げさに言うとそういうのが日本というコミュニティの力を上げることに繋がるように思える。
一方で知識を追いかける世界は、その分、ものを生み出さず新しいものを追い続けるという、地に足を着けていない感じ、新しい知識・技術ジャンキーみたいになってしまう恐れはある。次から次におもしろそうな情報が目の前に出てくる感覚。これに飲み込まれず、良質な情報を適量咀嚼して自分の生産性を上げていく。情報そのものの良質さと、その情報が自分の生産活動に役立つかどうかはまた別だろう。知識欲に流されず、適量にとどめて効率良くコンテンツを生産する。質の良いコンテンツは当然ながらネットの情報の質を上げる。知識を借りるものとしての恩返し。みんなで外部脳の質を上げる、こういう感覚が重要なのだと思う。

小説が盗まれた、だから火をつけた

前置き:

記事タイトルの犯人の言葉に触発されてプロットを書いてみたけど、自分で小説にする気は無いのでこっそり公開してみようと思った。創作として後味が悪い小説(プロット)を書いてみたかっただけで、現実のあっしとしてはあの事件については犯人に憤りしかない。何てことしてくれたんだと思う。

プロット:
「死刑になっても良い」とうそぶく犯人。対して与えられた刑罰はユニークなものだった。自分が書いた小説のどこが盗まれたのか(盗まれてなかったのか)を専門家によって徹底的に分析し、それを犯人に解説し続けるというもの。犯人が書いた(書き終えていないものも含め)「小説」は正直駄作ばかり。どこがどう駄作だったのかと言うと、独りよがりな文章、いろいろ説明が不足しているなど技術的な欠陥もさることながら、最も致命的なのは展開が予想でき
すぎるのだ。簡単に言えば陳腐。どこかで見たようなものばかり。それを徹底的に突き付ける。最初は黙っていた犯人も、容赦のない指摘に半狂乱になったり、心を閉ざすような態度を採り、精神的には地獄のような責め苦であることがうかがえた。
しばらくして犯人は冷静になっていき、自分がしたことの重さを実感し始め、悔いを口にするようになる。ではこのあと君はどうするの?と問われると、罪を償いたいが、到底許されるものではないので、死刑になったとしても受け入れます、と、以前の「死刑になっても良い」とはかなり異なるニュアンスで言い始める。そして犯人は死刑になり、異例の早さで刑は執行される。
犯人の遺品から小説が見つかる。専門家の分析を延々聞かされていた犯人は、いつの間にかそれを自らの血肉とし、オリジナリティのある小説をものにしていたのだ。すいすい読める、ページを繰る手を止めない小説。この犯人が喪われることの文化としての意味はどうなのか?
さらに後味が悪いことに、疑問に感じた専門家が追跡調査をしてみたところ、犯人のプロットがアニメーションの原作者の目にとまっていた可能性があることがわかった。本当に盗まれていなかったのか?拙い技術や全体の出来の悪さ、そういうものに隠蔽されて、表に出てこなかっただけではないのか?あるいは、研究などではよくある同時多発的発想事象があっただけなのか?当事者のどちらも今はこの世に無く、これ以上の追跡は無理だ。

テレワーク、リモートワーク、在宅勤務で実践してること

テレワークやリモートワーク、在宅勤務が中心の生活をもう16年やってきましたが、そこで実践していることとかを書いておくと誰かの役に立つかな(笑)。
(1)外部ディスプレイ(液晶)はこまめに電源を切る
液晶テレビ、ディスプレイって何気に電気食うんだよね(笑)。あと心理的にペースを変える効果がある。
(2)ポモドーロタイマーやその類のもので目の前のタスクにかける時間をコントロールする
締め切り効果とかもあって集中しやすくなるし、見積もりの精度が上がる(=スケジュールをより正確に組めるようになる)ことも期待できる。ペースを意識すると効率化に意識が向いて生産性の向上を図ることに繋がる。25分+5分としてサイクリックにするポモドーロテクニックというのも応用が利く。
https://www.sensei.biz/pomodoro_app/
https://play.google.com/store/apps/details?id=com.superelement.pomodoro&hl=ja
(3)↑と共通する経験則ですが、意識して休み時間を作り、その時間はディスプレイ、パソコンの前を離れて散歩したり家事したりコーヒー淹れたりすると心理的にペースを変えることができる。
根詰めて同じ姿勢で効果的にやれるのって長くて1時間だと思う(体感)。ポモドーロテクニックはやっぱ良いよね。家事は体を動かす掃除や洗濯モノを干すとか、料理の仕込みとかがあっしの場合は良いっすね。
(4)空調重要。空気の流れが無く、それほど広い空間で無いときは、二酸化炭素が滞留するのでボーッとしやすくなる。二酸化炭素は基本重たくて下に沈むんだけど、机の上とかにも滞留するので、扇風機とかでも良いから空気を動かすことを意識した方が良い。
(5)音や音楽の効果を意識すると集中に良い効果が期待できる。
https://r25.jp/article/564374415183230643
によると「人間であれば静かな喫茶店くらい、50デシベル程度の雑音があるといいでしょうね。それくらいの雑音があったほうが、学習は進みます。」、あるいは「「ほどほどに音楽が好きな人は、音楽を流したほうが作業効率がいい」というデータがあります。ただし効果は単純作業に限ります。数学の難問を解く、論文を書くといったことには当てはまりません。
デスクワークの内容にもよりますが、企画書を書いたり、メールの文章を考えたりということには向いてないかもしれません。」だそうですが、あっしの経験的な体感にも合致してますね。好きとか、思わず一緒に歌ってしまうような音楽ではなく、ノイズと同等に感じることができる音楽であればノイズと同等の効果が期待できます。あっしの場合グレン・グールドというピアニストの「フランス組曲」は、音楽として楽しめて聴き込めるんだけど、ノイズと同等に意識することもできる希有な例です(笑)。大体において関心が薄いジャンルの音楽はノイズとみなすことが容易ですね。
https://president.jp/articles/-/27940
という記事にもあるように先人達、有名人はそれぞれ独自のBGMによる集中のノウハウを持っていますが、↑のようなノウハウを読んで覚えるだけでなく、自分でいろいろな組み合わせを試してみるというのが重要かもしれませんね。
(6)ペースを変える意識。↑のやってることに共通するテーマですが、同じ状態での集中は長続きしないので、ペースを変える意識が重要だと思います。例えば場所としても食卓机、別な机、外をローテすると良いと思いますし、ノートパソコンとスマホというのも変えてみると良いと思います。typetalkにいろいろ書き込むのは歩きながらでもできるので、あっしは散歩しながらやったりします。

2019年行ったところ(海外)を振り返ってみた

☆グランドサイバーセキュリティキャンプ@韓国・ソウル(2019年:https://www.security-camp.or.jp/event/gcc2018.html
韓国の人材発掘育成プログラムBest of Bestの拠点を借りて、キャンプ事業初の国際展開に前半だけだけどアテンドしてきた。各国の思惑とかが交錯する中、実現にこぎ着けたkanaさん始めとする各国の方々に感謝したい。それほど可能性を感じる、でも難しいプロジェクトだと思った。
ちなみに2020年の開催情報はこちら>https://www.security-camp.or.jp/event/gcc_tokyo.html

☆IHSI2019@アメリカ・サンディエゴ(2020年の開催情報しか見当たらないw>http://www.ihsint.org/
サンディエゴは久しぶりでしたが、散歩道がたくさんある気候の良いところなのでとてもリラックスできた。この学会は3回目くらいだったんだけど、数理モデル的なアプローチでやってる人たちは他に居なくてどうなの?とは思った。ただ、似たアプローチの萌芽はあり、今後に期待できるかな。

☆Offensive Security Conferece2019@ドイツ・ベルリン(https://www.offensivecon.org/agenda/2019/
初参加。昨年から始まったカンファレンス。こういうカンファレンスは本当に貴重。スポンサーもとても少なくて(https://www.offensivecon.org/sponsors/2019.html)こぢんまりとしているのも良かった。日本人は他に一人しか来ていなくて、帰国したら自慢したるって思った(笑)。ま、アンソニーにはみっかっちゃったけどw
ちな2020年情報>https://www.offensivecon.org/

RSAカンファレンス@アメリカ・サンフランシスコ(これも2020年の情報しか見当たらないw>https://www.rsaconference.com/
Japanエリアを作ってNICTのサイバーセキュリティ研究室の方々もNIRVANAとかひっさげて参戦してた。セキュリティに関わるビジネスの総見本市って感じで、ブースの数はとても多く、1日じゃ見切れないほどだった。ビジネス的視点が必要な方々は様子見に行くと良いと思うけど、あっしの趣味とはちょっと違うかなぁ(笑)。

☆SXSW@アメリカ・オースティン(これも2020年の情報しか見当たらないなw>https://www.sxsw.com/
2度目のSXSW。目的はSecHack365の若者達をハッカソンに送り込んだり、ベンチャービジネスってどんなもんなのか感触を掴んでもらったりすることだけど、2年連続してハッカソンでスポンサー賞をいただけたのは望外。日本企業が意外と躍進?しているのも興味深いけど(撤退する企業もある)、新しい何かが転がってるのがとにかくおもしろい。ゲームやe-Sportsのセッションとかもとても勉強になった。このイベントは若者にはとても良い刺激になると思う。

☆CanSecWest@カナダ・バンクーバー(2019年情報:https://cansecwest.com/agenda.html ただ、サイトポリシーが怪しくてすぐ内容とか今年のに変わりそうではある(笑))
PWN20WNでテスラをやってた(笑)。あのコンテストは可視性とか全く気にしていないけれど(笑)、それがまた楽しいところではある。カンファレンスの講演は玉石混淆だった。目利き勢がパワーダウンしたからかな?

☆Hack in the Box@オランダ・アムステルダム(2019年情報:https://conference.hitb.org/hitbsecconf2019ams/
過去マレーシアでやってたのは行ったことがあるけどもアムステルダムは初。アムステルダムはすごく観光地化していて人が多かった。行ってる時にちょうどアヤックストッテナムチャンピオンズリーグ準決勝セカンドレグ、しかも地元アレーナで戦う日だったりしたけれども、衝撃の敗退にもかかわらず暴れている人は見なかった(笑)。ただ、レストランで飲みながら観戦している人たちを横目に食事していたけど、衝撃の失点時「ざっけんなよ!」的に瞬間風速が吹いたくらいw。カンファレンスは楽しかった。春山さんのセッションを聞き損ねてしもうた(笑)。
2020年アムステルダム開催の情報>https://conference.hitb.org/hitbsecconf2020ams/

☆AHFE2019@アメリカ・ワシントン(2020年情報しか見当たらないw>http://ahfe2020.org/
畑田さんと飲んだ(笑)。ワシントンは2回目だけど、前回はトランジットだったので滞在時間はごくわずか。2回目の学会自体はけっこう大規模で、細分化されたさまざまなセッションが行われるもの。ポスターとかにちらほら日本の大学とかが来ていた。ここの学会は発表後なにがしかのフィードバックはあるんだけど、それほど活発なわけではない。数理モデルアプローチは学会では同志が少ないんだよなw。

☆BlackHat&DEF CON@アメリカ・ラスベガス(2019年情報:https://www.blackhat.com/us-19/https://www.defcon.org/html/defcon-27/dc-27-index.html
アメリカのブラックハットは実は初参加。日本人がとても多かった。講演は新井さんも書いてたけど、なんか潮目が変わってきた感。AIAIしてなくなり、ハードウエア寄りのものが増えている。DEF CONは何気にキャンプ初日との絡みで2日くらいしか見られなかったけど、あいかわらずヴィレッジの勢いが凄くて、どんどん増えてる。来年はカンファレンスセンターが新設されてそこに移るようだし、さらに規模がでかくなるのかなぁ。世界中から2万とか人が来るから会費?的なものでもまかなえてるってことなのか。日本で同様な規模感でやろうとするなら幕張メッセとかビッグサイトとかになるんだろうけども、CCCもそうだけどどういう収支になってるんだろう?規模感はほんとうらやましい限り。
2020年情報>https://www.blackhat.com/upcoming.html#usa

☆r2con@スペイン・バルセロナ(2019年情報:https://rada.re/con/2019/
これだけサッカー好きなのにバルセロナは初。いやー良い街だったw。r2conもOffensive Conと同じく小規模でスポンサーほぼ無し。ワークショップとかも開催されず、ハコひとつだけ。でもすごく楽しかった。開発者たちの集まりはやっぱ興味深いね。あとパンケーキさんはあり得ないほどパワフル。

☆ICEEL@スペイン・バルセロナ(2019年情報:http://www.iceel.org/ ただし、いずれ内容は2020年のものに置き換わるはず)
まさかのバルセロナ2連発(笑)。ここではすごい出逢いがあって大収穫だったけれど、e-Learning系列の学会は初参加だったんですが、正直なところ質問とかゼロで出会い以外の収穫は無かったわー。残念。しかしほんとうにバルセロナは良いところだったなー。すごく古い歴史のあるバルセロナ大学にも行けたけれども、その横に日本料理屋というかラーメン屋がオープンしてて笑った。までもr2conで出会ったエンジニアたちも日本語ちらほら知ってたんだよな。嬉しい限りだけど何かブームとかあるんだろうか。アニメは好きと言ってたけどねー。アニメが偉大ってことかw。

☆CCC@ドイツ・ライプツィヒ(2019年情報:https://events.ccc.de/congress/2019/wiki/index.php/Main_Page
毎年行ってるけどやはりCCCはおもしろい。ワークショップがすごく充実してるし、講演もときどきだけどエポックなのが出てきたりする。今年はやっぱプレイステーションだったかなー。SecHack365の成果イルミパケットをデモれていろいろ感触を得たので、来年は出展やワークショップとかもっと大々的にやりたい。

陸の孤島に閉じ込められて

記録的な被害をもたらした台風15号の影響をモロに受けてしまった顛末を書いておこう。思考と試行、やれたことやれなかったことの備忘として。
バルセロナからヘルシンキ経由で日本に戻る予定にしていたけど、15号がちょうど関東地方を直撃する時間帯に着陸じゃね?と気を揉んでいた。ただ、ヘルシンキから成田まで飛ぶ機材は台風直撃よりもかなり前に出発するので問題なく到着できるだろうと思っていたので、現地延泊の準備は特にはしていなかった。するにしてもヘルシンキよりはバルセロナで延泊というのが望ましいけど、バルセロナヘルシンキは台風と全く関係無いわけだし、まぁ難しかろうと。延泊ヘルシンキもおもしろそうだけど寒そうだし(実際雨模様で日中気温15度くらいだった)、飛んでくれるとありがたかった。
とはいえ飛ぶ時間は2時間ズレ、成田空港着も当初予定が9日(月)の9時05分だったけど結局着陸は11時25分。出てきたのは45分くらいだったけど、そのときすでにバス待ちの長蛇の列が出来上がっていた。現状把握すると鉄道はすべてダメ、バスも運休。その時点でわずかに空きが出ていた近隣のホテルを押さえるにしても、そこまで行く路線バスも来ない。タクシーはバス同様長蛇の列。しかも10分くらい観察してても1台も来ない。運転免許証を持っていたのでレンタカーという手を考えたけど、すでに予約で一杯らしい。もっとも、タクシーが来ない状況なのでレンタカー借りても動けるかどうか微妙な気がした。道路の状況をアプリで確認すると東関東自動車道が通行止めになっとる(笑)。そりゃバスも来ないはずだわ。この時点でもう、まっとうな陸路移動はタクシー待ち以外無かった。
んで飛行機経由をいろいろ調べてみる。成田なので国内線の行き先は限定的。台風影響無い地域で行けそうなのは名古屋(中部)、伊丹、福岡あたり。ぶっちゃけタクシーに乗って50kmとか行くよりも飛行機経由のが安かったりするだろうし。福岡の17時台のが空きあったけどそこでふと考えたのは、福岡行っても着替えの予備あるし、現地で調達もできちゃう。てことは泊まってゆったりするから安いかというと高くなるわけで(笑)。しかも時間が1日溶ける。それでもまぁ良いかって思ったりもしたけど、逆にどこまで行くのか楽しくなってきたこともあってもうしばらくウロウロしてみようと思った。
なお、この時点までいろいろ調査検討をしながらも空港のターミナル内をウロウロしていて、飯屋はどこも長蛇の列でコンビニのブツも払底気味であることは確認済みだった。
鉄道の復旧がどのくらい行くのか、成田よりもっと東京い近い側の鉄道は8時~10時くらいまでに順次回復していたけど、総武線はけっこう手こずってた感。あと東千葉駅の屋根が吹っ飛んだとか(笑)、そんな話も聞こえてきたので、成田線はもうちょいかかるかなと。実際、もらった情報を見たりすると倒木が驚くほどたくさんだし、千葉県民の感覚では成田線て倒木とか架線がヤバいとかってリスクがけっこう高い田舎の森の中とか抜けていく路線だし、メンテナンスに人を派遣するにしてもいろいろ難易度高い路線だからなーとか思っていたら、午後になってしばらくすると本日中全面運休という決定に。この時点でもうタクシー以外の選択肢は無くなった。
夕方になってスカイアクセス線のみ開通したんだけど、入場規制で入れやしない。何度か様子見しにいったけど、解禁される感じは全然無かった。そのことからももうクルマしかない、ってなった。
で、そんな話をフェイスブックとかでちょいちょいしてたら林さんが「娘を送っていくことになったんだけど、遅くなるけどその帰り乗せていってあげますよ」とスーパー有難い申し出が。その時点で林さんは空港に17時くらいに着けば良いかなぁという感覚だったけど、結局のところ到着したのは19時半とかになってしまって、娘さん軍団はハワイ旅行をあきらめ振り替えもあきらめてそのままとんぼ返りになってしまいました。それに同乗させていただけたのも20時半くらいに。ランデブーに時間かかったのはちょっと待ち合わせ場所の擦り合わせがうまくいかなかったからなんだけど、それにしても周辺の道はかなり渋滞していて、動きが鈍かった。

林さんご一行の視点で、もうちょっと到着を早くできたかもしれない点は、湾岸経由で来たってことかもしれない。圏央道はかなりの遠回りではあるけど、距離的には成田空港にかなり近いところまで通行止めになっていなかったし、常磐道あたりからそちらに流れて南下する、というのがもしかしたら一番早かったんじゃないか。たらればではあるけども。
で、乗せてもらって帰り始めたんだけど、これがまた高難易度の道中になった。千葉県は南部中心に大規模停電になっていて、成田空港周辺はその影響が出ていなかったんだけど、佐倉のあたりに行くと様相が変わってきて、道路の路側帯あたりまで落ちた木の枝だらけで道幅が狭くなってたり、倒木があったり、果ては停電で信号機や街灯が消えていた。コンビニ寄りたいって思っててもコンビニに到達しても停電で閉まってる。そんな中恐る恐る進んで行くわけだけど、対向車?のトラックが止まって動かない状態で「なんだろなんなのあれー」的に近寄って行くと、高い運転席のちょい上の方に倒木が当たりそうになっていて、トラック的には方々通行になっていた。他にも、セダンに当たるほど倒れてるところとかもあって、映画かよ!って思ったくらいのこれでもか障害物だった。で、佐倉から宮野木を目指していた(最初は宮野木も含む東関東自動車道ほぼ全域が通行止めだったけど、そのときそこまでは回復していた)んだけど道路情報を確認すると東関東自動車道の通行止めが全面的に解除された。架線のチェックまで必要な鉄道に比べて道路の方が復旧は早いと思っていたけど、予想通りだった。急遽南下して高速を目指して無事にIN。灯りは消えていたけど車量はけっこう多めで明るかったので不安は無かった。そこまで通って来た暗闇の道に比べたら天国みたいなもんだった。
その後動いている鉄道の駅で降ろしてもらい帰宅。23時半。着陸から12時間かかったことになった。長旅だった(笑)。
ちなみに、ここまでいろいろ考えた奇抜なものも含めたアイディア(レンタカー、国内線国際線利用とか)は、うろつき回ってるときに同じようなことを考えて電話や会話で話している人も居た。自慢じゃないがあっしの方が着想したのは早かったと思う。でも結局実行には移さなかったので思いついてないも同然だった。
また、林さんから申し出をいただいたときに、実は「これはもうタクシーしか可能性ない」と思って腹をくくってタクシー待ちに並んでたんだけど、5時間強並んで進んだ距離はおそらく100mも無かったのではないか。それほどタクシーの供給量は少なかった。
少なかったんだが、実はこの話には続きがあって、タクシーが一番供給されていたのは実はタクシー乗り場ではなく(笑)、出発ロビーフロアのタクシーを降りることができる場だったのだ。それに気づいたのは19時くらいで、林さんのご厚意がなかったらそちらに賭けていたかも。もちろん乗り場があるわけじゃないから直接交渉。ちなみに上手いことやる人は予約車とそこでランデブーしていた。しかしこれもやる人が増えると明示的に禁止されそうだし、もしかしてこれはバッドノウハウなのかな。

もうちょっと大きめの教訓?について追記しておく。
来年のオリンピックパラリンピックのときに台風来たらどうするんだ?という話だけど、↑にも書いた通りで千葉県民感覚で言えば成田線は脆弱で、周囲に木が多すぎると思う。東関東自動車道も同様。千葉北から先は木が多く、酒々井あたりからは森の中を縫って行く感じになるしね。これも↑に書いたけど、道路の方が架線を心配しなくて良い分復旧が早い。他に考慮する要素がありそうではあるけど、専門ではないからそれは知らないこととして考慮せずに検討するなら、こうした災害のときは道路による運搬の復旧を最優先にしたら良いんじゃないか。圏央道は一番早く15時くらい?には復旧したしね。圏央道経由と東関東自動車道の2ルートがあるのも強い。こちらのパワーを振り向ける前提で復旧計画を作って居たら良いのではないか。とはいえまぁ、その場合その場合の被害状況を見て、ってことになるんだろうけどね。

SECCON2018開催レポート(増補版)

一度このブログでも書いたけど、その大幅増補版。JNSAのメルマガよりさらに加筆してるヽ(´ー`)ノ

 

例年SECCONは大きなイベントを1月末、あるいは2月の上旬あたりに北千住の東京電機大学さんをお借りして開催してたんですが、SECCON2018は2018年12月22日~23日に場所を変えて秋葉原UDXのAkiba Squareとダイビルのホールで開催しました。場所を変えた理由はいくつかありますが、ひとつは例年開催する1月も2月も「年度末」というシビアな時期に近いので運営の中の人的に苦しかったから変えてみたかった、ということです。わたし自身は役所に絡む仕事が多いので、一般企業とはちょっと違いますがそれでもやはり年度末は大変です。とはいえまぁ年度末ではなく年末というのも慌ただしいのですが、それでも今回年末にやってみたら年度を通しての大変さは少し軽減されたと感じています。
イベント集客力の強化も理由のひとつです。SECCONには現在多くのスポンサーがついていてそのご支援のもと活動していますが、現在は持ち出しオンリーになっています。そのあたり少しやり方を変えたいとも思ってはいますがなかなか。従って、ご支援が多ければ多いほどやれることが増えるのです。そしてまだまだやりたいことは多いのです。
そういう意味ではクリスマス直前という時期自体微妙だったかも知れませんが、少なくとも場所を秋葉原にしたのは効果があったと感じています。電気街口に近く、通り道として利用する人も多い開かれたエリアで、中が見える会場で開催したのですが、ふらっと入ってくる方々も予想以上に多かったようですし。その点子供連れを意識したワークショップを開催したことも大きかったかもしれません。
ワークショップはおかげさまでどれも立ち見まで出るほど大人気となりました。どんなものだったのかご紹介しましょう。

  • SECCON実行委員の白神一久さんによる「SECCON 2017 国際大会決勝戦問題Brainhackで遊んでみよう」
  • SECCON実行委員の竹迫良範さん、SECCON beginnersの前田優人さんによる「USBファームウェア改造ワークショップ」
  • SECCON実行委員でありCTF for GIRLSの中島明日香さんによる「出張版! CTF for GIRLS ワークショップ(バイナリ解析編)」
  • NTTデータの末吉亜樹子さんによる「出張版! CTF for GIRLS ワークショップ(Web問題編)」
  • スポンサーであるLACのアドリアン・ヘンドリック (unixfreaxjp)さんによる「Tsurugi LinuxでCTF入門」
  • 同じくスポンサーであるLACのアドリアン・ヘンドリック (unixfreaxjp)さんによる「radare2でソフトウエア解析入門」
  • SECCON実行委員の小出洋先生による「初心者向けハンダ付けワークショップ」と「BadUSBで遊ぼう」
  • SECCON実行委員の白木光達さんによる「初心者向けゲームセキュリティワークショップ」
  • スポンサーであるNEC園田健太郎さんによる「【学生限定】あなたのセキュリティ技術力を試そう!CTFワークショップ」
  • SECCON実行委員の坂井弘亮さんによる「ITかるたを作ってみよう!」(親子参加歓迎)
  • セキュリティ・キャンプ講師/今岡工学事務所の今岡通博さんによる「通信の基礎~LANケーブルを自作して通信をモニタリングしてみよう~」
  • スポンサーである富士通でセキュリティマイスターの称号を持つ坂井弘亮さん(SECCON実行委員でもあります)による「セキュリティマイスター道場(SecDojo) ~SECCON場所~「第6回バイナリかるた世界大会!? in Akihabara」」
  • SecHack365トレーナーの川合秀実さんによる「初心者向けプログラミング体験ワークショップ」(親子参加歓迎)

複数回開催したものもあるのでTOTALで18個の開催となりました。
これだけたくさんの企画ができるのもSECCONならではと言えるのではないでしょうか(自慢)。SECCON祭りと言えばワークショップ、という風にイメージしてもらえたらと思います。

また今回は講演のプログラムを企画するプログラム委員として新たにさまざまな方を巻き込んでしまいました(笑)。そのコンテンツ力のおかげで、どの講演も多くのお客さんに来て頂けました。
こちらもご紹介しておきましょう。

  • 株式会社サイントの岩井博樹さんによる「脅威インテリジェンスから垣間みえる海外の諸事情と僕らの未来」
  • 湯淺墾道先生(情報セキュリティ大学院大学)、北條孝佳先生(西村あさひ法律事務所)、小屋 晋吾 さん(株式会社豆蔵ホールディングス)による「行列のできるSECCON模擬法廷」
  • ssmjpの方々(@nekoruri, @number3to4, @YuhoKameda, @ym405nm, @_keihino, @Typhon666_death, @ken5scal, @GreenShallot)による「ssmjpは何しにSECCONへ? (Why did ssmjp come to SECCON?)」
  • SECCON実行委員の忠鉢洋輔さん、マクニカネットワークスの凌翔太さん、そしてYOROZUプレゼンターによる「よろずトーク」。

おっと実は忠鉢さんは諸事情で登壇できませんでしたので、代わりをわたし園田が務めました(笑)。なおこのセッションはYOROZUとして展開したセキュリティツール自慢展示の方々にプレゼンターとして御登壇いただきました。

  • 小池倫太郎さんによる「日本からExploit Kitはどのように見えるのか?」

これらの講演にもたくさんの人に来て頂けました。
https://2018.seccon.jp/seccon/2018akihabara/

ところでいきなりYOROZUというのが出てきましたが、昨年度に続いて2回目の実施となるYOROZUは簡単に言えば自作ツール自慢のイベント内イベントです。BlackHatのArsenalやDEF CONのDemo Labなどと同様のもので、常設コーナー(ブース)で自慢したり、LT大会などで自慢したりします。実際海外のカンファレンスでArsenalなどに出た経験のあるSECCON実行委員の忠鉢さん、凌さんが中心になって企画したものです。
前々からの業界的な課題だと思いますが、日本のセキュリティ業界はもの作りとちょっと離れた関係にあり、独自のツールやプロダクトというのは非常に少ないのが現状です。そうした問題意識から例えばセキュリティ・キャンプではもの作りそのものに挑戦するゼミなどがあったり、NICTでSecHack365というロングハッカソンを開催したりしているのですが、そもそもみんなで自慢しようぜ、という企画はセキュリティに関わるもの作りを盛り上げる意味でとても重要だと思います。今回はロケーションのこともあって意欲的な観客以外はなかなか来て頂けなかったのですが、はもっと導線等を検討して、ブースに人が絶えないような形にしていきたいと思っています。
YOROZUの詳しいレポートはこちらで記事になっています> https://ascii.jp/elem/000/001/796/1796073/

CTF(Capture The Flag)は国際大会の方が素晴らしいデッドヒートとなり、盛り上がりました。CTFは見ている人にその楽しさや難しさを感じてもらうのがとても難しいのですが、年々改良されるNICTの井上大介さん部隊によるNIRVANAのインタフェースの良さに加えて、会場のレイアウトに余裕が出た今年は実況セッションや問題解説セッションなども加えてわかりやすさを向上することができたと思います。近年急速に勢いを増しているeSportsなどの先例を参考に、次回開催時ももっともっとわかりやすいビジュアルや解説にチャレンジしていきたいと考えています。
ちなみにどんな問題が出されたのかご紹介しておきましょう。
CTFの出題形態はクイズ形式と攻防戦形式、そしてKing of the hill形式というものがあります。今や世界では年間170もの国際大会が開催されているほど盛んになっていますが、実はそのほとんどがクイズ形式です。その理由は小規模な問題を数多く用意すれば良いので作問側も作りやすいからです。それに対し攻防戦は運営のコントロールが難しいためこの形式はあまり見ません。King of the hillは攻防戦よりコントロールしやすいと言えますが、こちらも数は少ないです。SECCONは毎年のファイナルでこの数少ないKing of the hillを選んでいますが、すべては比較的コントロールしやすく難易度の高い問題を出しやすいからです。
今年の国際問題は以下のようなものでした。

  • 壱:「攻撃」検知力を競う問題で、謎文字列を当てる問題が4つあり、それぞれを解くと攻撃点を得る。次に、その謎文字列の入力を検知するルールを作成し、最も攻撃検知力が高い(≒網羅性が高い)検知ルール(シグネチャ)を書いたチームが防御点を総取りする。防御ポイントに対する判定は5分に1回行われる。
  • 弐:イメージデータを入れて反応を見ながらオリジナルのイメージデータと、その識別装置の特性を探る問題。RGBごとにデータを入れると何%くらい近いという反応があるので、反応を見て探ることができる。2時間ごとに難易度などが変わる。
  • 参:アセンブラ力等を問う問題で、一定時間ごとに異なる動作が出題され、その動作をするプログラムを書いて難読化し、それを他チームに公開する。公開したプログラムを解析して難読化されたものを復元できたら他チームはそれを撃墜できたことになる。撃墜されるまでは君臨し(つまり防御点が入り)続ける
  • 肆(四):CPUに独自命令を追加した疑似環境で実行したらパスワードをGETできるプログラムが配布される。プログラムは実行上の制限がある上に徐々に中身が変化するため、段々推測が困難になっていくので、プレイヤーは同様疑似環境を自分で作成できるようになる必要がある。なおマルチアーキテクチャ(鬼)。

ちなみにこの四番の出題者は坂井さんなのですが、2月のオープンソースカンファレンスhttps://www.ospn.jp/osc2019-spring/modules/article/article.php?articleid=4)で詳しく解説するセッションをされていました。

  • 伍:制限されたシェルにログインし、プログラミング関連のクイズ(技術とトライアルと知識が必要)を解くとじゃんけんへの参加権を得る。クイズは7問あり、すべて解くと攻略点を得られる。防御点は他のチームとじゃんけんして勝てばGETできる
  • 陸(六):Code-golf問題。MD5とSHA256のハッシュを計算するプログラムで最小のものを作ったら防御点の総取り状態を獲得できる。

ちなみにこういう問題を作りたい!という方がいらっしゃったら、info@seccon.jpの方までご連絡ください(笑)。

終結果は日本勢が驚きの1-2-3フィニッシュ。国際大会となって今回で5回目で、これまで韓国勢の4連覇を許していましたが、東京大学のチームTSGが5連覇を阻止しました。優勝したTSGには経済産業大臣賞が贈られました。

今年は場所を広くしたおかげで、国内大会も同時に開催することができました。これはなかなか運営的にはチャレンジでしたが、二つの競技用ネットワークを安定的にハンドルするという難題をクリアしてくれたSECCON NOCのおかげでトラブル無く乗り切れました。大規模イベントの場合は有線・無線LAN等のサービス提供を安定して行うことはけっこう大変なのですが、機材のスポンサーになってくださったYAMAHAさんの多大なる技術的サポートのおかげもあり、競技用ネットワークに加えて会場のどの場所も安定供給を実現できたと思います。
国内大会の問題もご紹介しておきましょう。

  • 松島:乱数発生器を使ったビデオポーカー。乱数発生器の性質を解析し、良い役を狙う。フルハウス以上を出すと攻撃フラグ1の100点が手に入る。4カード以上を出すと攻撃フラグ2の300点が手に入り、防御フラグの入力ページに飛ぶ。
  • 宮島:アセンブラ力等を問う問題で一定時間ごとに異なる動作が出題され、その動作をするプログラムを書いて投稿する。誰も解いていない問題で、指定の通りに動作したら防御点を獲得できる。より短くて同じ動作をするプログラムが投稿されるまで防御点を獲得し続ける。攻撃点付きの問題を解いた場合には攻撃点を獲得出来る

こちらは国内では老舗のチームdodododoが優勝しました。学生で最終週だったチームm1z0r3と個人ではHarekazeのst98さんに文部科学大臣賞が贈られました。その他の順位などの結果はWebに掲載しています。
https://2018.seccon.jp/2019/01/final-result-of-seccon-ctf-2018.html

今回もSECCONらしいユニークな(笑)問題を揃えることができたと思っていますが、2012年からこのイベントを開催している中の人としては、問題作成で協力してくれる方をもっともっと増やしていきたいですね。そのための企画もいろいろと検討中ですのでご期待ください。
SECCONも8年目に入るわけですが、今年もおそらく冬に「お祭り」を開催することになりそうです。そのためにはもちろん、スポンサーさんが集まってくれることが重要なのです(絶賛募集中)。われわれにできることは中身の質の向上と充実ということになりますが、同時に今年は発信力も増強していきたいと考えています。これからもSECCONにご期待ください。

SECCON2018関連記事一覧:

日本の科学技術・教育関連予算の話

 パスワードを間違えてログインできなかったせいで更新間があいてしまったw>はてな

 

教育関連の予算って防衛関係と丸められて「その他」扱いになってるんだけど(笑)こちらに資料があるね>https://www5.cao.go.jp/keizai-shimon/kaigi/special/reform/wg2/270828/shiryou2-2.pdf
実は予算額ってあんまり変わってないんだよね(スライド3)。現場からすると大きすぎる額かも知れないけど、微減という範囲ではある。さらに大学生の数ってのを見ると、(間接的なデータなんだけど>https://education-career.jp/magazine/data-report/2019/college-student-transition/)これも変わってない。なのでざっくり言うと教育関連の予算って確保されて底堅さはある。
ただ、↑の内閣の資料スライド2によると社会保障費が恐ろしい勢いで増えているから、税収を増やして支出を削ろうとするのはある意味自然な思考の流れなのよね。社会保障費を削ろうとすると、投票状況からして票減るしね。サンプリングした部分的な数字だけど投票数の調査がある>http://www.soumu.go.jp/main_content/000341053.pdf。これによると49才以下は78565人、50才以上は150541人。倍じゃん(笑)。そりゃ社会保障偏重になるよね。投票率には年代差があることが知られているけど、数の差をこれだけ見せつけられるとねえ。そういう中で教育関連予算がほぼ横ばいというのはむしろ健闘している方と言えるかもしれない。
しかし一方でそもそも絶対額が少ない問題があって(笑)、科学技術関連予算はhttp://www.nistep.go.jp/sti_indicator/2018/RM274_12.htmlによれば

国の経済規模による違いを考慮して比較するために、科学技術予算の対GDP比率を最新年で見ると、日本が0.66%、米国が0.78%、ドイツが0.89%、フランスが0.63%、英国が0.52%、中国は1.05%である。韓国は1.17%と主要国中トップである。

下にフランス、英国が居るのでまぁ悪くは無いけど良いとは言えない。↑の報告によると

2018年の日本の科学技術予算総額は3.8兆円である。科学技術予算は、2000年代に入ると、横ばいに推移していたが、2018年は過去最高値となった。中国は2000年代に入ると大きく増加し、2016年では22.4兆円となった。2012年から米国を抜いて世界トップの規模である。米国は2017年で14.9兆円となっている。ドイツについては2000年代後半から増加し、2017年では3.7兆円となっている。

とある。現状ドイツとほぼ同額だけど、ドイツくらいの対GDP比があったらもうちょいいろいろできそうなんだけどもね。
ってかもっと何とかならねーのと思うのは公的教育費ですかね。GDP比で見る公的教育費は115位>https://www.globalnote.jp/post-1479.htmlhttps://www.globalnote.jp/p-cotime/?dno=1000&c_code=392&post_no=1479を見ると98年からずっと100位付近でずるずる下がってきてる。さらに記事を引くと>https://www.nikkei.com/article/DGXMZO35255610S8A910C1000000/によると、

2015年の加盟各国の国内総生産GDP)に占める支出割合を見ると、日本は2.9%となり、比較可能な34カ国中で前年に続き最も低かった。OECD平均は4.2%。
一方で、日本の子どもにかかる学校関連の費用の総額は、小学校から大学までで1人当たり1万2120ドルとなり、各国平均の1万391ドルを上回った。教育費が比較的高いのに公的支出の割合は少ないことで、家庭負担に頼っている現状が浮かんだ。

とある。家庭負担。まじかよ。また、

調査は、日本の国公立大学などの授業料は海外に比べて高く、奨学金の利用者が卒業時に抱える負債を返済するのに最長で15年かかっていることも指摘し「加盟国の中で最も重い」とした。

とあるように結局ここに投下する予算が少ないことが響いていて、もともと額を増やさないとどうしようもないんだよね。無償化でどこまで良くなるか。大学院生は無償化対象としない云々ってのがバズってたけども、実際あっしのところで見てるもっと研究すれば良いのになー的な優秀な大学生が院に進まずに就職しているのを見ると、研究を地道に支えるそういう人たちの予算もちゃんと確保して欲しいんだけどねえ。