amayihsak (@amayihsak)


参加する勉強会

11/5 (木)

376bc271e38880b47067684cc7291579 WEST-SEC
セキュリティを守るために身に着けるべき基本知識および実践技術を、CTFを通じて「楽しく」学びます。
2020/10/27(火)のWEST-SEC#2の追加枠です。11/5開催です。 申込み開始からすぐにたくさんのお申込み、ありがとうございます。好評につき11/5(木)に追加開催することにしました。内容は全く同じですので、どちらか一方にのみ参加願います。 https://west-sec.connpass.com/event/187261/ WEST-SEC CTFの内容 WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF(Capture The Flag)といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、みんなで学ぶ「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。 まずは、以下のプロモーション動画で概要をご確認ください。 なぜCTFの形式なのか セキュリティを学ぶには、テキストの学習や実務、資格取得など、いくつかの方法があります。 どの方法も大事な学習ですが、ゲームを使った学習方法であるゲーミフィケーションも高い評価を受けています。ゲーミフィケーションの魅力は、なんといっても「面白さ」「楽しさ」でしょう。 たとえば、単に聞くだけではなく答えるという双方向性、日常ではあまり触れることができない実機に触れる喜び、正解か不正解かというハラハラ感、スコアが出てライバルと競い合う高揚感、短期間で全体像を学習できる満足感などを味わうことができます。 WEST-SECでも、CTFというツール使うことで、皆さんが回答した答えに正解・不正解が表示されます。さらに、チームスコアも表示されます。スコアを競うことを第一にしたものではありませんが、モチベーションを高めて参加していただくためのアクセントにしてください。 出題テーマ  ★テーマは前回と同様ですが、問題は全問リニューアルします。 セキュリティを広く学べるようにしており、主な出題テーマは以下です。  -企業がセキュリティ対策として知っておくべき基本用語   -暗号、認証、ディジタル署名を含むPKIの基本技術  -SQLインジェクション、ディレクトリトラバーサル、ブルートフォースなどの攻撃手法  -DNSやメールサーバなどの、セキュアな設定  -ログ解析 ※実際のログを解析してもらいます。  -ITの基礎知識 ~パケットキャプチャ含む  -UTMの設定の確認 ※前回はFortiGateでしたが、今回はPaloAltoにログインしていただきます。  -クラウドセキュリティ  -インシデント対応の考え方  -脆弱性管理、ポートスキャン  -セキュリティに関する法律  など ※WEST-SECで準備した数ある問題の中から、制限時間とのバランスを見て出題する問題を選択します。1回目の出題としては、これら全てが出題されるわけではありません。 従来のCTFとの違い CTFdのツールを活用していますが、内容や難易度は従来のCTFとは異なります。 違い①難易度 SECCONなどのCTFは非常に難易度が高いです。一方、WEST-SECのCTFは、難易度がかなり低く、また、チームで相談したり、調べたりすることで、誰もが8割を正解できることを意識して作問しています。  短い時間ですが、問題の難易度を下げ、また、チームで相談できるため、問題をたくさん解いてもらうことができます。結果として、幅広いセキュリティの知識に触れることができます。 違い②内容 CTFはプログラミング技術やLinuxのコマンドを駆使したりして、フラグを見つけるものが中心です。WEST-SECのCTFでは、基本的なセキュリティ用語を学ぶため、単純な知識問題もたくさんあります。また、一部、コマンドを投入したりWiresharkを見たりすることもありますが、その場合でも高度な技術スキルが求められるわけではありません。 参加対象者 特に制限はありませんが、以下の方を意識しております。 ・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方 ・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方 (※学生さんもOK) ・セキュリティの仕事に携わっているが、実践的な経験が少ないので少しでも経験してみたい方 ・CTF(Capture The Flag)には興味があるけど、本家のCTFは敷居が高すぎて・・・という方 ・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方 必要なもの ・ブラウザ(Google Chromeなど。IEは非推奨)が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。 ・Web会議ツール(CiscoWebEXやZOOMなど)の環境。 ・TeraTermなどのSSHに接続するツール(無い場合は一部の問題を解くことができませんが、チーム戦なので画面共有等でお互いにフォローしていただくという手もあります。) ・ご自身のグローバルIPアドレスを主催者へ通知 お願い ・CTFのサーバそのものおよび、一部のサーバへのアクセスは、送信元IPアドレスを制限させていただきます。参加者のPCに割り当てられたグローバルIPアドレスをお聞きします。 ・Web会議ツール(CiscoWebEXやZOOMなど)で、開催の説明等や簡単な解説までを行いますが、主催者およびチーム内で、良好なコミュニケーションをとっていただけるよう、よろしくお願いいたします。 ・今後のカリキュラムや運営の向上のためにアンケートをお願いします。 当日の流れ (1)タイムスケジュール(予定) 項番 時刻 内容 Program0 18:40~  Web会議の部屋を空けます。 Program1 19:00 ~ 19:20 競技の簡単な説明  from t_tani PaloAlto社から、PaloAltoの基本操作の説明 Program2 19:20 ~ 20:45 ・ユーザおよびチーム作成 ※手順は(4)・送信元のグローバルIPアドレスを主催者に通知・CTF競技開始 Program3 20:45 ~ 21:15 簡単な解説および、質疑   from Fijiアンケート記入 ■PaloAltoの操作時間 PaloAltoに関しては、実際にポリシーを適用したり、ログを見ていただきます。全チームの環境を用意できればよかったのですが、主にコスト面から複数のチームで共同利用していただきます。切替時間になりましたら設定が初期化されますので、ご理解よろしくお願いします。また、時間終了後は別チームの方が操作されますので、操作しないようにお願いします。 チーム名:利用環境 利用可能時刻 チーム1:Palo1 チーム2:Palo2チーム3:Palo3チーム4:Palo4 19:30~19:50 (システムリセット中なので利用不可) 19:50~19:55 チーム5:Palo1 チーム6:Palo2チーム7:Palo3チーム8:Palo4 19:55~20:15 (システムリセット中なので利用不可) 20:15~20:20 チーム9:Palo1 チーム2:Palo10チーム3:Palo11チーム12:Palo4 20:20~20:40 (2)Program0について ・自分のグローバルIPアドレスの調査をお願いします。→競技開始後、チーム単位で報告をしてもらいます。 ・踏み台サーバへの接続テストをお願いします。 (3)Program1について 以下の点を説明します。 ①冒頭あいさつ、趣旨の説明 このconnpassのサイトに書いてあるような、競技の主旨を簡単に説明します。→「楽しく」やりましょう! ②競技の簡単な説明  ・競技用のサーバ群の接続先、アカウント情報を説明  →画面にて、競技用のサイト、FortiGate、踏み台サーバからAPサーバへのログインを実演します。  ※注意点:FortiGateや踏み台のWebサーバは、複数の人が同時に入るとキャパシティの関係で接続できない可能性があります。その場合、グループで1人のログインをお願いしたり、IPアドレスで制限させてもらう場合があります。 ・CTFのサイトをオープンします。  競技開始後、みなさんには、このあとの(4)の手順に従い、ユーザアカウントを作成し、チームを作ってください。 ・Flagの入れ方は、flag{abc} とはせずに、答をズバリ入れてください。(「フラグ入力のテスト」問題で実演します) ③競技開始後の説明 ・1チーム4名によるチーム戦ですので、ブレークアウト機能でチームの部屋に分かれてもらいます。 ・チーム内で軽く自己紹介などのコミュニケーションを取ってください。(チームで協力して進めていただくよう、お願いします。) ・チーム名を決め、CTFにログインしてください。チームを作るのは、代表者1人のみです。(手順はこのあとの(4)) ・ログインできた方から、CTFの競技を開始してください。 ・並行して、チーム内でグローバルIPアドレスをまとめ、チーム名とともに報告してください。(途中から送信元IPアドレス制限をかけます) ④スコアを競うことを第一義としていません! 冒頭にも記載しておりますが、WEST-SECの目的は、「相手と競う「競技」というよりは、みんなで学ぶ「学習」」です。チーム内の誰かが解いた問題であっても、皆さん全員が自分で考え、解いていただくことを期待しています。 チームで問題を解いた方は、解けていない方へのフォローやアドバイスをお願いします。 ⑤アンケートのお願い 提示するアンケートURLにて、アンケートのご協力をお願いします。 ⑥PaloAltoの基本操作説明 後援をいただいているPaloAltoのSEさんが、基本操作の説明をしていただけます。競技が始まった後も、少しの時間はサポートいただけますので、PaloAltoの操作に関する説明があれば、ご質問ください。 (4)ユーザおよびチームの登録 ①主催者から案内するCTFのURL(当日に案内します)にアクセスしてください。 ②右上のRegisterボタンでユーザ登録をしてください。  ※メールアドレスはダミーをお願いします。 ③Registerからユーザ登録します。 ④チームの代表者一人がCreate Teamからチームを作成してください。  このとき、作成したチーム名とパスワードをチーム内で共有してください。 ⑤チームメンバーは、ユーザ登録後、Join Team でチームに参加してください。 主催メンバー ・粕淵 卓(特技はUTMと情報処理技術者試験) ・谷口 貴之(OWASP 名古屋) ・藤田 政博(セキュアプログラミングの作問担当) ※セキュリティに長年携わるメンバーです。 後援 ・OWASP Nagoya Chapter   Webアプリケーションのセキュリティを学びたい方には、OWASP top 10をオススメします。   OWASP top 10 ・Palo Alto Networks ・エムオーテックス株式会社 (MOTEX Inc.) ※順不同


過去の勉強会

9/16 (水)

Fdc868d1b87695d3ad7fc42954ce2826 ラクス
【途中入室/退場OK!】持続可能なSaaSを展開するラクスの開発戦略を紹介します!
イベント概要 ラクスは「IT技術で中小企業を強くします!」をミッションに掲げ、 メール共有・管理システムのメールディーラーから始まり、経費精算システムの楽楽精算に至るまで、 延べ50,000社を超えるお客様に自社開発したクラウドサービスを提供してきました。 このイベントでは、現場最前線のエンジニア達から 普段の活動や開発・運用で得た知見などの技術情報を発信し、お届けします。 このイベントが新しい気づきや成長につながる機会を提供する場になるとともに ラクス社員と参加者の皆さま、また参加者の皆さま同士で新たなつながりが生まれるきっかけになれば幸いです! ※宜しければ、ラクス開発者ブログ/Twtterもご覧ください! ・開発者ブログ https://tech-blog.rakus.co.jp/ ・Twitter https://twitter.com/DevRakus   テーマ 今回のMeetupのテーマは『持続可能な大規模SaaSの開発戦略』です! ラクスでは長いもので約20年、そして今後も新たなサービスがリリース予定と、「中小企業を強くする」ための大規模なSaaSプロダクトを幅広く展開しています。 今回は多様なSaaSを長く開発し続けるラクスに根付く費用対効果を考え、やるべき最適な対策をとるための開発戦略を紹介します。 長く持続可能なSaaSの成長を支えるエンジニア達の発表にご期待ください! 発表内容 長期的に考える技術的負債マネジメント戦略 登壇:やなせたかし[担当サービス:メールディーラー] 2015年に社会人となり、プログラミングの沼にはまる。その中でさまざまなプロジェクトを経験し、プログラミング言語や設計に興味を持つ。 2019年から現職。メールディーラーの新規機能開発を主に担当。 レガシーシステムとはなぜか縁が深く、新人のころから可愛がられている。現在はレガシーシステムとの上手い付き合い方を模索中。 <内容> 長期間運用されているシステムでは、往々にして技術的負債の蓄積が問題視されています。 蓄積された技術的負債は少しずつ返済するにしても大きなコストがかかり、辛いプロジェクトになることも・・・ このような状況下では、技術的負債をいきなり返済しないという選択をするのも1つの手です。 蓄積された技術的負債は、互いに影響しあい返済が困難となっていることが多いためです。 このような状況では、普段の開発から技術的負債の返済を見据えた戦略をとり、下地を整えることが重要です。 このセッションでは、多くの技術的負債を抱えたプロジェクトで負債とどのように付き合っていくかを考察します。 そして、実際のシステムを事例に、技術的負債と向き合い、コントロールしていく戦略をお話します。 DB容量肥大化への取り組み 登壇:山内覚 [担当サービス:楽楽販売] 前職ではメールとウェブからの情報漏洩対策用パッケージを開発。 2019年07月にラクスの楽楽販売開発チームに入社。 チームでは運用作業を以下を中心に担当中。 バージョンアップ後のリリース作業 ネットワーク、ストレージ不足など運用に関わる問題の対応(運用担当のメインはインフラチームだがアプリに関わる開発側の作業を担当) <内容> 長く続くSaaSでは、保持するデータ量の肥大化問題に遭遇する事が多くなります。 データ量の肥大化はメンテナンス時間の長期化やパフォーマンス劣化など多くの問題を発生させ、お客様に今後も長く利用いただく上で大きな課題に発展します。 本発表では成長していくサービスに合わせ肥大化したデータベースに対して行ったアーキテクチャ見直しプロジェクトで検討した事、実施した事、得られた事をご紹介します。 4年間のレガシーシステム運用から学んだトラブル対策の取り組み方 登壇:西尾敬太 [担当サービス:配配メール] 前職では客先常駐でのシステム開発~保守運用を経験。 2016年3月からラクスにJOIN。配配メールの開発チームで以下を担当。 開発業務 新機能開発/機能改修 オフショア開発物の受入 運用サポート業務 リリース作業/トラブル対応等の運用業務全般 顧客問合せ対応 <内容> 長年に渡りサービスを運用していると、様々な課題やトラブルが発生します。 トラブルを起こさないに越したことはありませんが、全てを制御できないのがSaaSサービスの運用です。 これまでに経験したトラブル事例をもとに、実施してきた試行錯誤をご紹介いたします。 Infrastructure as Codeによるインフラ構築の自動化により、オペレーションミスを防ぐ仕組みづくり 登壇:山村祐太 [担当サービス:ChatDealer] 2014年に株式会社ラクスパートナーズに入社。 常駐先の運用業務で、主にサーバ構築やネットワーク周りの構成変更作業などを担当。 2018年4月から株式会社ラクスのMaildealer/ChatDealerのNW構築・運用チームへ異動。 主にChatDealer運用で以下を担当。 担当商材のChatdealerバージョンアップ及び、負荷試験の実施。 ChatDealerのサーバ構築。 ネットワーク、ストレージ不足など運用に関わる問題の対応。 <内容> 私自身の経験を元にインフラエンジニアとしての技術的負債を考え、 Infrastructure as Code(IaC)によるインフラ環境の自動化に辿り着き、解決に至るまでの工程をご紹介致します。 開催概要 日時: 2020/9/16(水) 19:00-20:30 会場: オンライン(Zoom) ※Connpassのメッセージ機能、およびイベントページ中の「参加者への情報」欄にて開催前にURLを通知いたします。 参加費: 無料 ハッシュタグ: #RAKUSMeetup 主催: ラクス 当日のタイムテーブル 内容 登壇者/備考 18:50 (入室開始)途中参加OK! 19:00 オープニング 主催者 19:10 長期的に考える技術的負債マネジメント戦略 やなせたかし 19:35 DB容量肥大化への取り組み 山内覚 19:55 4年間のレガシーシステム運用から学んだトラブル対策の取り組み方 西尾敬太 20:15 Infrastructure as Codeによるインフラ構築の自動化により、オペレーションミスを防ぐ仕組みづくり 山村祐太 20:20 クロージング 主催者 ※発表内容、タイムテーブルなどは変更となる場合がございますのでご了承ください 注意とお願い 個人情報の取り扱いについて 個人情報は関係法令に従って管理いたします。 なお、当日アンケートなどでご回答頂いた情報につきましては、ラクスの個人情報保護方針に基づき適切に管理いたします。 注意事項 内容は予告なく変更される場合がございます。 本イベントはオンライン開催のため、通信状況によって音声や映像の乱れがある場合がございます。 配信トラブル時のアナウンスはこのアカウントから行います https://twitter.com/DevRakus 当日のイベント風景(写真)や内容は後日レポート記事やSNSにて掲載される場合がありますのでご了承ください。

8/4 (火)

内製化におけるSIerとの向き合い方
イベント概要 昨今のビジネス環境変化の激しさが増す中、情報システム/IT部門には、事業部門のニーズを正しく把握し、高品質な対応が求められるだけでなく、競争力を高める為、ビジネススピードに追随するべく迅速な開発や対応力が求められております。 このような背景からも社内システムやIT部門に対する期待もより高まっており、ユーザー企業が主体となってシステム構築の「内製化」を進める必要に迫られています。   しかしながら、いざ取り組むとなると通常の業務やタスクを抱えながら、どこから手を付けて、どのように内製化をリードしていけば良いか見えないといった課題を抱える企業も少なくありません。 そこで本セミナーでは、「内製化」を無理なく実現する為のノウハウを共有させていただきます。 開催形式 オンライン(YouTubeLive) タイムテーブル ※予定/予告なく順番の入れ替えやタイトルの変更が発生する場合がございます Time What Who(敬称略) 15:00-15:10 全体挨拶 ARアドバンストテクノロジ株式会社 山岡択哉 15:10-15:50 【ゲスト講演】これだけは押さえたい内製化の勘所と陰に潜む落とし穴 株式会社レクター取締役 一般社団法人日本CTO協会理事 広木大地 15:55-16:25 内製化におけるSIerとの付き合い方 ARアドバンストテクノロジ株式会社 中野康雄 16:25-16:30 最後に ARアドバンストテクノロジ株式会社 山岡択哉 ゲスト講演スピーカー紹介 広木大地(ひろき・だいち)氏 株式会社レクター取締役/一般社団法人日本CTO協会 理事 1983年生まれ。筑波大学大学院を卒業後、2008年に新卒第1期として株式会社ミクシィに入社。同社のアーキテクトとして、技術戦略から組織構築などに携わる。同社メディア開発部長、開発部部長、サービス本部長執行役員を務めた後、2015年退社。現在は、株式会社レクターを創業し、技術と経営をつなぐ技術組織のアドバイザリーとして、多数の会社の経営支援を行っている。著書『エンジニアリング組織論への招待~不確実性に向き合う思考と組織のリファクタリング』が第6回ブクログ大賞・ビジネス書部門大賞、翔泳社ITエンジニアに読んでほしい技術書大賞2019・技術書大賞受賞。一般社団法人日本CTO協会理事。 Twitter:https://twitter.com/hiroki_daichi 主催 ARアドバンストテクノロジ株式会社 Biz&Tech&Creative 三位一体型でサービス企画、UIデザイン、アプリ開発からクラウド基盤や音声基盤の構築、BIやAI-OCR、RPAなどのソリューション導入、自然言語AI技術を活用した社会実装、各種保守運用までをワンストップで提供するITコンサルティングとクラウドインテグレーションを行っています。渋谷、大阪、名古屋の国内3拠点体制で、AIチャットボットなど自社サービスも展開しています。 DX対応度診断サービス 一般社団法人日本CTO協会が策定したDX Criteriaを活用しDX対応状況を診断いたします。 個人情報の取扱い同意について 弊社はお客様の個人情報をお預かりすることになりますが、そのお預かりした個人情報の取扱について、下記のように定め、保護に努めております。 1.利用目的 弊社から情報提供を行うため 2.第三者への提供 弊社は法律で定められている場合を除いて、お客様の個人情報を当該本人の同意を得ず第三者に提供することはありません。 3.個人情報の取扱い業務の委託 弊社は事業運営上、お客様により良いサービスを提供するために業務の一部を外部に委託しており、業務委託先に対してお客様の個人情報を預けることがあります。この場合、個人情報を適切に取り扱っていると認められる委託先を選定し、契約等において個人情報の適正管理・機密保持などによりお客様の個人情報の漏洩防止に必要な事項を取決め、適切な管理を実施させます。 4.個人情報提供の任意性 お客様が弊社に対して個人情報を提供することは任意です。ただし、個人情報を提供されない場合には、弊社からの返信やサービスの提供ができない場合がありますので、あらかじめご了承ください。 5.個人情報の開示請求について お客様には、貴殿の個人情報の利用目的の通知、開示、訂正、追加、削除および利用又は提供の拒否権を要求する権利があります。詳細につきましては弊社窓口までご連絡いただくか「個人情報の取り扱いについて」をご確認ください。 本セミナーにお申し込み頂いた方は、上記にご同意いただけたとみなします。 個人情報の取扱いに関するお問い合わせ先 ARアドバンストテクノロジ株式会社 情報セキュリティ委員会 TEL:03-6450-6080 E-mail:ari-security@ari-jp.com

6/27 (木)

B4cca8ebb1dfc6bc92b38512f97b20f4 Repro
What's Sake Bash? お酒は美味しい。そしてReproのメンバーにお酒好きも多い。だったらReproで飲めば良いんじゃない? そんなヘリウムのような軽い気持ちのイベント。 酒好きたちによるスペシャルセレクトされた旬のお酒、それを引き立てるツマと話を肴に楽しみましょう。 Today's SAKE Qurator 北川 徹 元ストアカCTO兼CSO、現 株式会社大黒屋CTO兼CSO SSI認定 唎酒師 ・ 国際唎酒師 日本酒とテクノロジーを愛する唎酒師エンジニア。 趣味はイベントと場所づくり。 橋立 知宏 Repro CTO兼非公式CSO(Chief SAKE Officer) (WIP) Nice Sake Selection 萩の鶴 夏の猫ラベル 純吟別仕込宮城、ピチピチガス感。飲みやすめ。 山和 中取原酒Rock 宮城、氷入れて飲むタイプ。ガチの日本酒の中では比較的ワイン寄りの綺麗な作りの蔵。 味濃いけど氷入れて飲むにはよし。 竹雀 純米おりがらみ生 岐阜、夏酒でも無いけど、澱(おり)が舞ってて、竹雀自体のやらかさも相まってちょいなめらかな印象。 バリエーションとしては良さげ。常温〜お燗も。 るみ子の酒 ブルーボトル純米無濾過生 三重、夏酒。 無濾過生(つまり濃いめ) の荒ばしり(ドライ目)に加水して14度までアルコール落としている。 バランスとれたスイスイ系。あまり冷やさず常温で。 長珍 純吟うすにごり生 愛知。これもピチピチ系。バランス良い。繊細だがしっかりした酒質。 まだ若いし冷〜常温かなぁ。 Time-Table 19:40 開場 19:50 イントロ 20:30 (任意) LT 22:00 ゆるゆると解散 会場 Repro株式会社 4階イベントスペース JR線「新宿駅」南口から徒歩10分 JR線・都営地下鉄大江戸線「代々木駅」北口から徒歩1分 Sponsor Repro 6000以上のWeb・アプリに利用されるマーケティングオートメーションサービス。 月間数千億のイベントデータを処理し、AIでユーザーの自動セグメントを行い、毎日数億のプッシュなどの施策を配信しています。 Attention 本イベントは、アンチハラスメントポリシーを守ります。なにか問題が有りましたら気軽に運営へお問い合わせください。 参加が難しくなった場合は、お早めにキャンセルのご連絡をいただけますようよろしくお願い致します。 イベントは、止むを得ず中止させて頂く場合がございます。その場合はconnpassのメッセージにてご連絡させていただきます。 どなたでもイベントの様子を撮影し、ブログやSNSなどで公開可能としています点、ご了承ください。