セキュリティもみじ第19回(2011/12/11)久しぶりの参加 - コッスーの日記　食とITとの融合をめざして

今回は、「ヒーロー島」※という、.NET勉強会との合同。（※「ヒロシマ」とかけているのか、今頃わかった）

- - - - -

ヒーロー島 & セキュリティもみじ合同企画
「Cloud & Security Day」 and Night
http://d.hatena.ne.jp/sec-momiji/20101211

■日時
12月11日(土) 10:00 〜 17:00(実際は17:30頃まで押し　)

■場所
県立広島大学広島キャンパス

以下抜粋。メモ魔の私が当日のメモから拾いました。でもあくまでメモ。

- - - - -

1. クラウドコンピューティング MS Azure　の紹介
MSの砂金（いさご）様
twitter:shin135

今回の資料、slideshareにアップするとのこと。

・試しにazureのアカウントを作ってみては。無償枠があるので。との勧め
　http://bit.ly/azurehowtobuy
　前提としてWindows Liveアカウント必要とのこと。

社内でクラウドを検討する場合のポイント三点
　・値段（初期投資）：ちなみにazureの最小構成では10\/h
　・スピード　：　例としてエコポイントシステムを二ヶ月で作ったsalesforceの話。
　・スケーラビリティ：クラウドだと、時間帯、時期によるキャパの増減を吸収してくれる。

開発者にとっては、azureって(インフラ系のことを考えなくてもいいので)楽しいものだが、
サーバ管理者にとっては、管理方法もよくわからない、気持ち悪い物。アップデートでそこらへんが改善？

各社のスタンスの違い
・azure,googleappは、OSまで面倒みてくれる(paas的)
・amazonは、OSより上位は自分で管理。パッチも再起動も(Iaas的)

azureではロードバランシングも、自分で考えなくてもうまいようにやってくれるらしい。。
内部的には、安い機器がたくさん並んでいる感じだが。

azureのapサーバの種類三つ。
　・WorkerRole
　・WebRole　(IISがデフォルトで入る)
　・VMRole
　上の二つは、運用を面倒見てくれる部分が多い、VMRoleはそうでないが自由度がある。
　例えば昔のASPも動かせる。コード書き換えるのが本筋ではあるが。
　個人的には、VMRoleはできるだけ使ってほしくない。paasのスタンスでないし、今までとあまりかわらないし。

Azureの魅力の一つとして、テンプレートがたくさん揃っていることを紹介。
・たとえばsilverlightのアプリをホストするばあい、wcfという便利なものがある。
　pivot view of netflix instant watch movies デモ　http://netflixpivot.cloudapp.net/
・VisualStudio上テンプレートのデモあり。クラウド系のものも、揃っている。

VS上でローカルで（エミュレーションで）デバッグ可能とのこと。一部不具合は残っているが。

値段の話
・amazonに追従せざる負えない設定。
・MSDNを持っていたら、無料枠が大きい。しかもそれはライブサイトに使ってもいい。
・企業の請求書払い扱いにするには、月\25,000以上が条件。しかしazureを\25,000以上使うのは結構大変。

ライセンスの話
・azureではcalという概念がない（！）ので、ユーザが多いと、(salesforce等と比較しても)費用の差大きくなる。
・価格体系はシンプル。ボリュームライセンスと比較しても。あれは私もよくわかっていないw。

サポートの話
・今は開発支援のサポートが無償。
・ログとかデバッグ機能が充実していない現状も踏まえて。
・プレミアサポートというのもある。重要システムではいいのでは。

導入企業の例
・MTIという会社。music.jpもやっている。「デコともDX」というサイトは一日一億PV(!)
・Kobojoというフランスのゲーム会社。一旦はamazon EC2を使っていたが

azureが(案外?)オープンなことについて
・実は、phpやruby、COBOLさえ、動かすことができる。
・EC2では、phytonしか使えない。
・Install Maniax 4 azure祭りを紹介。　http://maniax.jp/taxonomy/term/1

・新しく出たSDK1.3は、VS2010以上が条件。

Windows azure connectの紹介。
・IPV6のみ対応。
・クラウド環境とオンプレミスの環境間でIPSECで暗号化通信。

宝印刷様での例（ハイブリッドクラウド）
・アプリはクラウド側だがDBはクラウドでなく自社側にもっている。
・例えば開示前の決算データが漏れると、インサイダー取引の要件になっていうから。
・Service bus(?)経由で、SQLやバッチ命令等だけをクラウド側と転送。

Q&A
・データのバックアップについては？
　→考えなくてもいい、というスタンス。データ保全という面ではシステムでミラーされているので大丈夫。ただ、バッチ実行前データを残しておきたいといった用途では、サードパーティのツールがある。
・プライベートクラウドについてはどう考えているか？
　→大企業がグループ企業内に広く適用させるのであればいいのでは。
・Azureのドライブ経由でNTFSバックアップソフトは使える？
　→使えないことはないが、原理的にパフォーマンスは期待しない方が良い。

- - - - -

2. クラウドのこれから BOF
.NET 勉強会 / ヒーロー島

Windows Intuneの紹介

松浦正樹様
わんくま同盟にも。-
MVP virtual machine
Twitrter : matsu71

・クラウドの、PCの運用管理ツール。ターゲットは法人、中堅25-500台程度。
・ソフト/ハードの資産管理。ソフトはmsiパッケージやappv(アプリ仮想化）のまで取得可能。
・稼働監視も可能。各PCのディスクの断片化状態も監視可能。
・パッチ適用の管理も可能、WSUSのクラウド版。
・MS Forefrontと同様のマルウェア対策も、集中管理可能。
・リモートメンテナンスも可能。ユーザからシステム的にメールで依頼を受けることもできる。
・SA(ソフトウェアアシュアランス）も付いているので、WindowsがVUPされても最新のを使い続けることができる。
・Intuneでできないことは、サーバ管理。（できないことになっている、という含みあり）

・ライセンス管理も可能。ボリュームライセンス系だと契約番号と購入ライセンス数が紐付く形で
　管理可能とのこと。
・各PCのWindowsFirewall設定も、よく使われる定義の雛形から選択し集中管理可能。

Windows Intuneのメリット
・サーバ不要（クラウドだし）
・簡単
・ワークグループの管理もできる（ドメイン参加必須ではない）
・SAが付いてくる。

利用要件
・管理コンソールに、SilverLight3.0
・管理できる端末、Windows7 pro以上、Vista Business以上、XP SP3以上
・インターネット接続
　（通常の他製品のようにイントラネット必須ではない。持ち出すことの多いPCも管理可能。

これも、Windows LIve IDでログインしての登録が必要？詳しくはブログでとのこと。
価格は、11$/台・月の予定。Win7のSAの価格よりちょっと高いくらい。

- - - - -

#お昼ごはん。臨時で希望者にお好み焼きの出前を取ってくれて、
#（肉玉そば＋イカ天で650円だったっけ)食する人多数。
#自分は、セブンの山賊にぎりと煮物を食す。ちょっとだけヘルシー。

お昼の雑談(上本さん、濱本さん等)
・オンプレミス運用が本当に必要かという考慮が必要かと。
・まずSaasありきで、それがダメな場合Iaas、Paasを検討し、どうしても駄目な場合はオンプレミスといった段階的な検討が必要なのでは？
・宝印刷さんは、たぶんシステムが統一されている。普通の会社だと、システム構築の基準が標準化されていない、バラバラだと、難しいのでは？
・10年前のISMSブーム?の時を思い出しデジャブを感じる。最初はこれ何？といった感じから始まる。
・何にしても、標準化、リスク分析がまずは必要か。
・途中経過として、プライベートクラウドが、はやる事情は、分かる。標準化の過程で時間を必要とするから。
・MSの場合オンプレミスのシステムと、ID連携が簡単にできるところが魅力。googleの場合はOpenIDにあたる。

#あとで思ったが、同じクラウド化でも、新規のシステム導入と既存のシステムを移行する場合では、
#敷居の高さが全然違うと思った。後者では、現在のコスト(サーバのコスト/運用コスト)との比較が
#必ず出てくるし、根拠のある数字を作るのが大変で、トップダウンでない限り、稟議を通すのが大変そう。

- - - - -

3. セキュリティ教育講演
　セキュアブレイン先端技術研究所: 星澤祐二氏

12/20に発売される、「アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing)」の概要紹介。
ここでは、発売前の書籍の紹介のため、Ustream画像休止。
正直ここはついていけませんでした.....
昼ごはん直後で、眠たかったのもあるが。
一応、秩序なくメモした単語だけ羅列しておく。多分どれも初めて聞いた単語。

アンパック
PEファイルフォーマット
stolen bytes
sizeofimageの改変
import redirection
コードインジェクション。
setwindowshookex
createremotethread
windbg
SSDT Hooking

星澤さんコメント
・日本語でここまで詳しく書かれている書籍はなかなかない。
・来週には東京でイベントがあるが、今回が日本で初めての紹介。
・解析だけではなく、実際のアプリケーションのデバッグにも役立つのではないか？

Q&A
Q:クラウド側に感染するようなウイルスはでてくるか？
→ある特定のシステム、サービスを狙った攻撃というのは出てくるかもしれない。効果の程はわからないが。あと検体の入手が難しいし、そのサービスを知ってないと、対策が難しい点はある。

Q:この本の知識はこの後どれくらい通用する？
→もちろんずっと通用するわけではないが、知っておくべき基礎的な知識は、必ず身につくとおもう。　

Q:最近の新しい動向はあるか？
→新しい技術だけではなく、古い技術に戻る場合もあり。パックを使わないとか。早く作って早く出す事が優先される場合もあるので。

Q:最近の某社のワクチン、誤検知が多くて困っている（単なるグチですが）
→どうしてもゼロにはならないのは事実。

Q:誤検知でも、ベンダによって、公表する場合としない場合があるが。
→どうしても件数/影響度によって公表するしないの差が出てきてしまう。

- - - - -

4. いきなり襲ってきた「mstmp」ウィルスに大わらわ
　セキュリティもみじ: 濱本常義氏
　twitter : connect24

※UstreamをONにしたところとOFFにしたところが、曖昧なので、ちょっと載せません。あしからず。
以前ITproに載った、濱本さんの記事をご参考に。
http://itpro.nikkeibp.co.jp/article/COLUMN/20101027/353496/

Q&A

Q:ウイルス対策ソフトのスマートフォン対応は今後どうなっていくか。
A:各社から今後必ず出てくると思う。
しかし常駐するような形では、電池がすぐになくなってしまうし。
デファクトではないが、ファイルをダウンロードするときだけチェックするようなそういう形ではないか。
ウイルス対策ソフトは絶対必要。スマートフォンだって絶対穴はあるので。

ちなみに、スマートフォンの企業での使われ方としては、機能を限定の上で適用になるであろう。
webストレージのアプライアンスのsandbox内で、またはクラウドサービスのみとか
リモートデスクトップのみとか、ファイルをダウンロードせずに使わせる運用。

会場から、マカフィーが、ソフトバンク向けのサービスを始めると発表が最近あった、との情報あり。
これのことかな？Android、ソフトバンクユーザ限定かよ。
http://plusd.itmedia.co.jp/mobile/articles/1012/10/news050.html

#たりきさん、機器設定の関係で以下順番前後。

- - - - -

5. Wikipedia とセキュリティ -信頼度を維持・向上するために-
関西ウィキメディアユーザー会: まっきい@村上氏
twitter:Mucky999
今回の資料は、Wikipedia commons CC-BY-SA3.0　で公開予定とのこと。(追記：公開されました) http://commons.wikimedia.org/wiki/File:Secmomiji_20101211Wikimedia.pdf
まっきいさんは、Wikipedia日本語版管理者の一人。
最初に、会場に質問あり。
Wikipediaを編集したことある人？→会場の半分位。
ユーザ登録して編集したことある人？→数人。

ウィキメディアとはWikipediaを含めた以下のようなプロジェクトの総称。
・Wikimedia commons
・wiktionary
・Wikibooks
・Wikinews
・Wikimedia movement：オンラインオフライン問わず行う活動。
・Wikimania：年一回カンファレンスあり。

世界の上位５サイトユーザ数（閲覧数？）
・google 9億
・MS 7.4億
・yahoo 6億
・Facebook 4.7億
・Wikipedia 3.5億

・Wikipediaは、圧倒的に少ない人数、少ないサーバ台数で運営されている。
（詳細は別途資料参照）

Wikipediaのセキュリティについて。
・システムへの攻撃は難しい。
・コンテンツに対する攻撃は容易。　虚偽とか、個人情報暴露とか、著作権侵害とか、荒らしとか

・他の掲示板とかと違い、荒らしはスルーできない。書き直さなければいけない。
・「版指定削除」という機能が最近新たに。日本語版の管理者は60人以上(英語版では1000人以上)いるので、管理者でも見られないようにする機能。日本では運用が決まっていないので未導入。

・管理者には、Wikimedia財団がホストしているIRCチャンネル※に、新着更新のログが流れるので、そこをチェック。
※　irc://irc.wikimedia.org/ja.wikipedia

#いちいち荒らしを検知して書きなおすなんて面倒くさ！なんで管理人さんなんかやっているんだろう。
#きっかけとか、モチベーションって何なんだろう！
#→あとでまっきいさんに直接聞いたけど、Wipipediaに関わる最初のきっかけは単純に、間違った記述を直したい！だったとのこと。
#あとは使命感だけ、みたいらしい。しかし、それで消耗してやめていく人もいるらしい。

・open proxyからの投稿は禁止。
・検知ツールの仕組みは、投稿元のIPをプロキシとして使ってみて、使えたらopen proxyと判断
・たまに誤検知もあるのは事実。
・ネットカフェからの書き込みに大しては、Whois情報を調べて人力対処でブロック。
・ブロックされても、荒らし者が別のユーザを作成して再度荒らし、ってのの対応に、ユーザIDだけではなく投稿元IPも相関チェック。チェックユーザー権限という特殊な権限が必要。ウィキメディア財団にも身元照会を。

Q&A
Q:引用(パクリ)の検知方法は？
・引用(パクリ)を検知するのは、感覚によるものも多い。
　感覚の一例では、基本Wikipediaの記事の文章は「だ・である」調なので、そこにいきなり「です・ます」調の文章が投稿されたらまず転載を疑ってかかったりする。
・変更バイト数が多い編集履歴にパクリが多い(コピペのため)傾向も。
・引用であることを明確に記述するための、あるべき論はかなり難しい。（会場でも議論になった）

その他、まっきいさんのたまたま目についてしまった、
項目「Gumblar」の内容について、特定記事からのコピペ疑惑、内容についてのツッコミ等、ひとしきり議論。

6. 岡崎市立中央図書館事件 #librahack ネタ
　杉谷智宏氏
　たりきさん。
　twitter : Vipper_The_NEET

※ここも、UstのONOFFが多かったため、基本的には書きません。

印象的だったワード
「逮捕された以外全員がダメだった稀有な例」
「念力デバッグ」「コピペ図書館」
「死ねばいいのに」「真っ赤なウソ(1時間かけジングル作成)」
あと、発表時の、怒りの指し棒音「バン、バン、バン」

・クローラでのlibrahackさん逮捕の件も問題だが、
情報漏洩では、クラウドへの信頼性の低下も引き起こしている。
(あとで冷静に考えると、やっぱり図書館システム自体は、クラウドというのは無理があるがww)

・みんながベターであるように努めよう。とまとめ。（それぞれの役割の人がやるべき事をやるということか）

あとQ&Aで一悶着あったような気がするけど、もう疲れてメモしてませんでした。。
いずれにしてもあの後、濱本さんは大変だったような...

7.最後に上本さん、kinect をPCでコントロールするデモ。
youtubeに載っているデモも紹介。「kinect controls windows 7」で検索。

・ウェアラブルディスプレイとの組み合わせが面白そう。
・ARとの組み合わせで色んなことができそう。

翌日、NHK特集、世界のゲーム最前線的な番組でも出ていたな。

8.プレゼント抽選
MSのノベルティの他に大物あり。
・MSDNなんたら、のサブスクリプション×２。買ったらxx万円！くれぐれもオークションで売るな、というお達しあり。
・星澤さんの今回の新刊に、執筆者全員のサインの上送付してもらえる権利×１

■個人的な感想
・長丁場でおじさんには疲れました。
・主催者の皆さんはもっと大変だったと思う、お疲れ様です、ありがとうございました。
・しかし午前中のAzure話は、それまで全く無関心(汗)だったため、逆に新鮮に聞けた。
・岡崎図書館の件は、岡崎市が被害届を取り下げない限り、収束しなさそうだし、他力さんたちも燃えそう。
・とりあえずtwitterフォローとつぶやき、明日から始めよう。

以上、短くしたかったんだけど、逆に削るのが大変でしたのでダラダラ書きました、あしからず。