Kam42518679 (@Kam42518679)


参加する勉強会

10/27 (火)

376bc271e38880b47067684cc7291579 WEST-SEC
セキュリティを守るために身に着けるべき基本知識および実践技術を、CTFを通じて「楽しく」学びます。
2020/11/05(木)に追加枠を設けました。 申込み開始からすぐにたくさんのお申込み、ありがとうございます。追加枠を設けました。内容は全く同じですので、どちらか一方にのみ参加願います。 https://west-sec.connpass.com/event/190015/ 前回(第1回)が好評だったので、第2回目を開催します。 第1回目のWEST-SEC CTFのアンケート結果ですが、85.6%の方が「役に立った」、91.3%の方が「満足している」とお答えいただきました。参加いただいた皆さん、ありがとうございます。また、前回は定員オーバー(当日の直前に繰り上げなど)で参加できなかった方は、別枠でも申し込みいただけるようにしました。 →1週間ほど待って申込み者がいなかったのと、追加枠を設けたことにより、廃止しました。 WEST-SEC CTFの内容 WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF(Capture The Flag)といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、みんなで学ぶ「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。 まずは、以下のプロモーション動画で概要をご確認ください。 なぜCTFの形式なのか セキュリティを学ぶには、テキストの学習や実務、資格取得など、いくつかの方法があります。 どの方法も大事な学習ですが、ゲームを使った学習方法であるゲーミフィケーションも高い評価を受けています。ゲーミフィケーションの魅力は、なんといっても「面白さ」「楽しさ」でしょう。 たとえば、単に聞くだけではなく答えるという双方向性、日常ではあまり触れることができない実機に触れる喜び、正解か不正解かというハラハラ感、スコアが出てライバルと競い合う高揚感、短期間で全体像を学習できる満足感などを味わうことができます。 WEST-SECでも、CTFというツール使うことで、皆さんが回答した答えに正解・不正解が表示されます。さらに、チームスコアも表示されます。スコアを競うことを第一にしたものではありませんが、モチベーションを高めて参加していただくためのアクセントにしてください。 出題テーマ  ★テーマは前回と同様ですが、問題は全問リニューアルします。 セキュリティを広く学べるようにしており、主な出題テーマは以下です。  -企業がセキュリティ対策として知っておくべき基本用語   -暗号、認証、ディジタル署名を含むPKIの基本技術  -SQLインジェクション、ディレクトリトラバーサル、ブルートフォースなどの攻撃手法  -DNSやメールサーバなどの、セキュアな設定  -ログ解析 ※実際のログを解析してもらいます。  -ITの基礎知識 ~パケットキャプチャ含む  -UTMの設定の確認 ※前回はFortiGateでしたが、今回はPaloAltoにログインしていただきます。  -クラウドセキュリティ  -インシデント対応の考え方  -脆弱性管理、ポートスキャン  -セキュリティに関する法律  など ※WEST-SECで準備した数ある問題の中から、制限時間とのバランスを見て出題する問題を選択します。1回目の出題としては、これら全てが出題されるわけではありません。 従来のCTFとの違い CTFdのツールを活用していますが、内容や難易度は従来のCTFとは異なります。 違い①難易度 SECCONなどのCTFは非常に難易度が高いです。一方、WEST-SECのCTFは、難易度がかなり低く、また、チームで相談したり、調べたりすることで、誰もが8割を正解できることを意識して作問しています。  短い時間ですが、問題の難易度を下げ、また、チームで相談できるため、問題をたくさん解いてもらうことができます。結果として、幅広いセキュリティの知識に触れることができます。 違い②内容 CTFはプログラミング技術やLinuxのコマンドを駆使したりして、フラグを見つけるものが中心です。WEST-SECのCTFでは、基本的なセキュリティ用語を学ぶため、単純な知識問題もたくさんあります。また、一部、コマンドを投入したりWiresharkを見たりすることもありますが、その場合でも高度な技術スキルが求められるわけではありません。 参加対象者 特に制限はありませんが、以下の方を意識しております。 ・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方 ・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方 (※学生さんもOK) ・セキュリティの仕事に携わっているが、実践的な経験が少ないので少しでも経験してみたい方 ・CTF(Capture The Flag)には興味があるけど、本家のCTFは敷居が高すぎて・・・という方 ・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方 必要なもの ・ブラウザ(Google Chromeなど。IEは非推奨)が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。 ・Web会議ツール(CiscoWebEXやZOOMなど)の環境。 ・TeraTermなどのSSHに接続するツール(無い場合は一部の問題を解くことができませんが、チーム戦なので画面共有等でお互いにフォローしていただくという手もあります。) ・ご自身のグローバルIPアドレスを主催者へ通知 お願い ・CTFのサーバそのものおよび、一部のサーバへのアクセスは、送信元IPアドレスを制限させていただきます。参加者のPCに割り当てられたグローバルIPアドレスをお聞きします。 ・Web会議ツール(CiscoWebEXやZOOMなど)で、開催の説明等や簡単な解説までを行いますが、主催者およびチーム内で、良好なコミュニケーションをとっていただけるよう、よろしくお願いいたします。 ・今後のカリキュラムや運営の向上のためにアンケートをお願いします。 当日の流れ (1)タイムスケジュール(予定) 項番 時刻 内容 Program0 18:40~  Web会議の部屋を空けます。 Program1 19:00 ~ 19:20 競技の簡単な説明  from t_tani PaloAlto社から、PaloAltoの基本操作の説明 Program2 19:20 ~ 20:45 ・ユーザおよびチーム作成 ※手順は(4)・送信元のグローバルIPアドレスを主催者に通知・CTF競技開始 Program3 20:45 ~ 21:15 簡単な解説および、質疑   from Fijiアンケート記入 ■PaloAltoの操作時間 PaloAltoに関しては、実際にポリシーを適用したり、ログを見ていただきます。全チームの環境を用意できればよかったのですが、主にコスト面から複数のチームで共同利用していただきます。切替時間になりましたら設定が初期化されますので、ご理解よろしくお願いします。また、時間終了後は別チームの方が操作されますので、操作しないようにお願いします。 チーム名:利用環境 利用可能時刻 チーム1:Palo1 チーム2:Palo2チーム3:Palo3チーム4:Palo4 19:30~19:50 (システムリセット中なので利用不可) 19:50~19:55 チーム5:Palo1 チーム6:Palo2チーム7:Palo3チーム8:Palo4 19:55~20:15 (システムリセット中なので利用不可) 20:15~20:20 チーム9:Palo1 チーム2:Palo10チーム3:Palo11チーム12:Palo4 20:20~20:40 ※後援をいただいているPaloAltoのSEさんが、冒頭に基本操作の説明をしていただけます。 競技が始まった後も、少しの時間はサポートいただけますので、PaloAltoの操作に関する説明があれば、ご質問ください。 (2)Program0について ・自分のグローバルIPアドレスの調査をお願いします。→競技開始後、チーム単位で報告をしてもらいます。 ・踏み台サーバへの接続テストをお願いします。 (3)Program1について 以下の点を説明します。 ①冒頭あいさつ、趣旨の説明 このconnpassのサイトに書いてあるような、競技の主旨を簡単に説明します。→「楽しく」やりましょう! ②競技の簡単な説明  ・競技用のサーバ群の接続先、アカウント情報を説明  →画面にて、競技用のサイト、FortiGate、踏み台サーバからAPサーバへのログインを実演します。  ※注意点:FortiGateや踏み台のWebサーバは、複数の人が同時に入るとキャパシティの関係で接続できない可能性があります。その場合、グループで1人のログインをお願いしたり、IPアドレスで制限させてもらう場合があります。 ・CTFのサイトをオープンします。  競技開始後、みなさんには、このあとの(4)の手順に従い、ユーザアカウントを作成し、チームを作ってください。 ・Flagの入れ方は、flag{abc} とはせずに、答をズバリ入れてください。(「フラグ入力のテスト」問題で実演します) ③競技開始後の説明 ・1チーム4名によるチーム戦ですので、ブレークアウト機能でチームの部屋に分かれてもらいます。 ・チーム内で軽く自己紹介などのコミュニケーションを取ってください。(チームで協力して進めていただくよう、お願いします。) ・チーム名を決め、CTFにログインしてください。チームを作るのは、代表者1人のみです。(手順はこのあとの(4)) ・ログインできた方から、CTFの競技を開始してください。 ・並行して、チーム内でグローバルIPアドレスをまとめ、チーム名とともに報告してください。(途中から送信元IPアドレス制限をかけます) ④スコアを競うことを第一義としていません! 冒頭にも記載しておりますが、WEST-SECの目的は、「相手と競う「競技」というよりは、みんなで学ぶ「学習」」です。チーム内の誰かが解いた問題であっても、皆さん全員が自分で考え、解いていただくことを期待しています。 チームで問題を解いた方は、解けていない方へのフォローやアドバイスをお願いします。 ⑤アンケートのお願い 提示するアンケートURLにて、アンケートのご協力をお願いします。 (4)ユーザおよびチームの登録 ①主催者から案内するCTFのURL(当日に案内します)にアクセスしてください。 ②右上のRegisterボタンでユーザ登録をしてください。  ※メールアドレスはダミーをお願いします。 ③Registerからユーザ登録します。 ④チームの代表者一人がCreate Teamからチームを作成してください。  このとき、作成したチーム名とパスワードをチーム内で共有してください。 ⑤チームメンバーは、ユーザ登録後、Join Team でチームに参加してください。 主催メンバー ・粕淵 卓(特技はUTMと情報処理技術者試験) ・谷口 貴之(OWASP 名古屋) ・藤田 政博(セキュアプログラミングの作問担当) ※セキュリティに長年携わるメンバーです。 後援 ・OWASP Nagoya Chapter   Webアプリケーションのセキュリティを学びたい方には、OWASP top 10をオススメします。   OWASP top 10 ・Palo Alto Networks ・エムオーテックス株式会社 (MOTEX Inc.) ※順不同


過去の勉強会

8/13 (木)

A2b5dc7392ea67a2360ddfc868bf2c04 Fin-JAWS
Fin-JAWS 第14回 Fin人類育成計画 今回のテーマは、金融において「クラウド人材が不足している」、「何から始めればいいかわからない」、「社内の人材育成に困っている」と言った声をよく聞きます。そんな皆様のために、育成計画を始動いたします。。。 AWSに関する技術書の著者から、思いの丈をお話しいただきます! COVID-19 による Fin-JAWS 運営の対応 4月7日に内閣総理大臣より、新型コロナウイルスの感染が急速に拡大している事態を受けて、法律に基づく「緊急事態宣言」が行われました。 新型コロナウイルス感染症緊急事態宣言に関する公示 AWSユーザー会の支部である Fin-JAWS(金融とFinTechに関するJAWS支部)では「こういう事態だからこそ、ビジネスや学びの時間を止めないように、みんなで出来ることをしよう!」という思いから、継続的にオンラインにて勉強会を開催致します。 Fin-JAWSの概要 Fin-JAWSは、金融事業者の方、金融事業に関わる方、金融事業者向けの業務に関わる方など向けのAWSユーザーグループです。AWSに関連する各種事例、業界動向、技術的な実装方式まで幅広く一緒に学び、共有するコミュニティを目指しています。 アジェンダ ※各セッションの時間は変更される可能性がございますので、予めご容赦願います。 時間 内容 登壇者 20:00~20:10 オープニング Fin-JAWS 運営メンバー 20:10~20:30 怒涛のAWS入門!クラウドプラクティショナー! 知ってました?あなた、クラウドプラクティショナーなんですよ。 トレノケート株式会社 山下 光洋さん 20:30~20:40 Q&A and break time 20:40~21:00 SA Pro Essentials プロフェッショナルを目指すあなたに・・・ 株式会社野村総合研究所 早川 愛さん 21:00~21:10 Q&A and break time 21:10~21:30 AWS認定セキュリティ - 専門知識 AWSのサービスを使って楽してセキュリティ向上!! NRIネットコム株式会社 佐々木 拓郎さん 21:30 中締め 21:30~22:00 座談会 22:00 クロージング Fin-JAWS運営メンバー リモート参加 について ビデオ会議形式 もしくは YouTube Liveなどでの配信を考えています。 参加 URL については、準備が整い次第、当該イベントページの "参加者への情報" へ追記いたします。 ※"参加者への情報" は申し込んだ方だけが確認可能です。 ご注意 写真、ソーシャル拡散はWelcomeです。但しNGの箇所については発表者に従ってください。 JAWS-UGイベントへの参加者は必ず以下のルール、マナーをご確認ください。 JAWS-UGに参加するルールとマナー その他、お気付きの点がございましたら、Fin-JAWS 運営メンバーへお知らせください。 ご登壇者紹介 山下 光洋さん (トレノケート株式会社) 著者紹介 Twitter @yamamanx 2015年JAWS-UGに出会い、同時期にAWSを事業で本格的に使い始める。 2018年より、AWS認定インストラクター(AAI Champion)として、トレノケート株式会社にてAWS認定クラスルームトレーニングを実施。 年間1,000名さん以上の受講者さんにAWSがいかに素敵なのかを伝え、2018年、2019年 ATP アワードベストインストラクター2年連続受賞。 現在のAWS認定は9つ。 以前は事業会社の情報システム部門に所属し、当時の対談やAWS Summit登壇の様子がWebに公開されている。 デジタルビジネス時代、「情シス不要論」の真意とは?:「不要な情シス」と「頼られる情シス」 - @IT 、 ログミー 山下 光洋 。 主に参加している勉強会は、ヤマムギ、JAWS-UGなど。 個人ブログは主催している勉強会と同じ名前の ヤマムギ 。 著書 AWS認定資格試験テキスト AWS認定 クラウドプラクティショナー (SBクリエイティブ) AWSではじめるLinux入門ガイド (マイナビ出版) 他 早川 愛さん (株式会社野村総合研究所) プロフィール 金融系システムのインフラエンジニアとしてシステム基盤の設計・構築・エンハンス業務を担当。 2016年より金融を中心としたエンタープライズ企業向けにパブリッククラウド導入の技術支援に従事。 2018年、AWS Summit Tokyoで開催されるAWSに関する深い知識を問うクイズ大会「ウルトラクイズ」で優勝。 その後も、Fin-JAWS運営など、社内外のコミュニティを通してAWSに関する情報発信やエンジニア育成に貢献。 その活動が評価され、 2020年にAPN Ambassadorに認定。 著書 AWS認定ソリューションアーキテクト-プロフェッショナル ~試験特性から導き出した演習問題と詳細解説 佐々木 拓郎さん (NRIネットコム株式会社) プロフィール NRIネットコム株式会社所属 クラウドを活用してサービスやシステムを作ることのお手伝いをしている。 プライベートの時間を使って趣味として技術書の執筆を始めるも、最近は第二の仕事と化して年中仕事に追われる羽目となっている 著書 要点整理から攻略する『AWS認定 セキュリティ-専門知識』 AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト Amazon Web Services パターン別構築・運用ガイド Amazon Web Services クラウドネイティブ・アプリケーション開発技法 Amazon Web Services 業務システム設計・移行ガイド AWSの薄い本 IAMのマニアックな話 AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー イラスト図解式 この一冊で全部わかるWeb技術の基本 Rubyによるクローラー開発技法 巡回・解析機能の実装と21の運用例 データを集める技術 クラウドエンジニア養成読本 スペシャルサンクス (配信担当) 沼口 繁さん (Amazon Web Service Japan K.K) プロフィール アマゾンウェブサービスジャパン株式会社で2017年よりコミュニティプログラムを担当。 Fin-JAWS 運営メンバー (50音順) 渥美俊英、あべんべん、大久保光伸、岡崎賢吉、釜山公徳、小出淳二、早川愛、南達也、山口正徳