標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。マイナビニュースでは、"セキュリティ三銃士"のソフトバンク・テクノロジーの辻 伸弘氏によるコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。そこで、辻氏に"サイドライト(側光)を当てるべき人物"と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。第3回は、SCSKでセキュリティエンジニアとして働く亀田 勇歩氏です。社内で働くセキュリティエンジニアがどんな仕事をしているのか、「同じ会社で働いていてもわからない」という方が多いのではないでしょうか。亀田氏に、「企業内セキュリティエンジニアはどのような仕事をしているのか」「セキュリティエンジニアにとって大事なことは何か」をたずねます。○辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジーセキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji○仕事内容は多岐にわたる辻 伸弘氏(以下、辻氏) 亀田さんの仕事って、ずばり何なんですか?亀田 勇歩氏(以下、亀田氏) そう言われると、正直、答えに困るんです(笑)。辻氏 亀田さんには色々なイメージがあります。"SOCの人"というイメージがある一方で、Webのセキュリティ担当というイメージもある(笑)。亀田氏 実は、仕事内容が多岐に渡るんです。だから、そういうイメージになるのかもしれません。肩書きとしては、「セキュリティオペレーション担当」になりますが、この"セキュリティオペレーション"という仕事の中身が幅広いんです。そのため、コミュニティ活動などの社外に出た時は「脆弱性診断の仕事をしています」と説明させていただくケースが多いですね。辻氏 ZAP(編集部注:Zed Attack Proxyという脆弱性診断ツール)を使いこなして仕事をしているようなイメージでしょうか?亀田氏 社内でセキュリティ インシデントが起こった際に、「解決に導く役目」という感じですね。所属しているのがシステムインテグレーションの会社ですから、グループ会社を含めて、開発段階を含めてさまざまなインシデントが存在します。それに対処する仕事です。辻氏 亀田さんが動き出す"トリガー"になるインシデントには、どのようなものがあるのでしょうか?亀田氏 SOCでインシデントのログ情報から、というものが多いです。本当のインシデントなのか、そうでないのかを分析するところから始まります。辻氏 アラートが上がった時点で分析を行い、「本当のインシデントなのか」を分析し、本当のインシデントだった際には対処を行う。そういった一連のオペレーションが業務ということでしょうか?亀田氏 そうです。可能な限り、インシデントが起こってしまった本人の仕事に影響を及ぼすことなく、作業して問題を終息させる仕事と言うのが適当かもしれません。辻氏 あぁ、インシデントハンドラー?亀田氏 そうです。ただ、「本当にインシデントなのか」を分析して終了、というわけでなく、インシデントだった場合には解決まで一連の支援を行うことになるので、インシデントハンドラーだけの業務では終わらないんです。辻氏 最初の事故のキッカケからクロージングまでの作業は、分業して行っている会社が多いため、インシデントの判別から解決まですべて担当するというのは、確かに仕事の幅が広いですね。亀田氏 最初のアラートから、人が介入しなければならないラインまでの作業になりますから、説明しづらく……。辻氏 仕事の範囲が広いと、誤解されたり、説明しても理解してもらえないことも多いですよね。僕はセミナーで自分の仕事についてさまざまな話をした後で、「それで辻さんの仕事って何なんですか?」って聞かれることがあります(笑)。亀田氏 誤解されやすい仕事と思った方がいいのかもしれませんね(笑)。辻氏 セキュリティエンジニアにも色々な人がいますが、話をしてみると"趣味の延長"のような感覚で仕事をしている人が結構多いですよね。亀田氏 仕事の内容が幅広いため、個人でやっていることとリンクして対応することもあります。それが、悪いイメージで伝わってしまうこともあります。例えば、CTF(編集部注:デフコンなどで行われているセキュリティの模擬大会)への参加など、趣味でやっていることが公私混同のように受け止められることがあります……。辻氏 「本来は趣味でやっていることが仕事に応用できる」という前向きな話でも、理解されにくいことが多いですよね。僕なんかは、仕事としてやっていることがエヴァンジェリストっぽい内容になることもありますし……。亀田氏 私はテスターっぽい仕事をしているなと思うこともあれば、最終的な対策要員になっていることもあります。辻氏 セキュリティ対策の仕事は、きちんとした縦割りが難しいので、どうしても幅広い仕事になりがちですよね。亀田氏 技術的なスーパーアドバイザーのように、さまざまな立ち位置でアドバイスできる能力を持っていることが望まれているんでしょうね。○しんどい時にも、やりたいことは忘れない辻氏 亀田さんは何歳になるんですか?亀田氏 2015年に30歳になりました。辻氏 プログラマー35歳限界説や、エンジニア35歳限界説など、現場で働く限界の年齢についてさまざまな定説がありますけど、年齢はあまり重要ではありませんよね。セキュリティの現場でいえば、「診断」は"やること"が幅広い。「その年齢になるからしんどい」ということはなくて、むしろ、色々な引き出しを持つことで、以前よりもできることが増えているんじゃないかと思っています。亀田氏 私自身の経験で言えば、活動が広がったことで自由に勉強する時間がなくなり、「インプット時間が足りなくなった」と感じることはありますね。辻氏 セキュリティに携わると、日々、予期しないタイミングでインシデントが舞い込んできます。そんな大変な状況でも、モチベーションを維持するためにやっていることはありますか?亀田氏 やはり、自分自身がやりたいことを、常に頭の片隅に置いておくことですね。忙しい時ほど、やりたいことは忘れないようにしています。辻氏 しんどい、忙しいに流されてしまうと駄目ですよね。亀田氏 「必ずこの時間までにこれをやる」と決めたことはメモしています。落書き帳みたいなものに手書きでメモして、夜に見返すことが多いですね。疲れて寝てしまうよりも、そのメモを見直しておいた方が、仕事にもプラスかなと思います。辻氏 疲れているからこそ"やりたいこと"を見て、思い出して元気になることもありますからね。また、仕事と趣味、その双方でパソコンを使って、この二つが相互にバランスをとっているからこそ、うまくいくのもあるかもしれません。メモに話を戻すと、書いておいた"やりたいこと"は、実現していますか?(笑)亀田氏 全部実現することは難しいですが、一応……。○仕事を始めた経緯は?辻氏 僕自身は、元々セキュリティのテスターの仕事をやりたいと思って仕事を始めたんですが、スタートはセキュリティではなかったんです。亀田さんは最初からセキュリティの仕事をしていたんですか?亀田氏 いえ、初めはセキュリティの仕事ではありませんでした。学生時代はECサイト構築をしていましたし、卒業後の最初の仕事は、セキュリティではないエンジニアでした。辻氏 幅広いセキュリティをやっていく中で、最初の仕事がセキュリティ関連ではなかったことが、セキュリティの仕事の役に立っている、ということはありませんか?亀田氏 あります。エンジニアなど、実際に手を動かして作業している人が、「セキュリティトラブルです」と言われてどう思うか、という想像をしっかりできることですね。エンジニア目線で物事を考えることは、この仕事で重要だと考えています。辻氏 セキュリティの仕事がしたいのであれば、色々な業務を体験することがプラスになりますよね。実際にインシデントが起こってハンドリングする中で、エンジニアとのやり取りで気をつけていることはありますか?亀田氏 現場の調査依頼者から「調べてくれたことで、どう動いたらいいのかがわかった。知らないことを調べて、答えを出して導いてくれたのが嬉しい」と言っていただいたことがあります。こういう時は、仕事の苦労だけでなく、「やっていてよかった!」と心の底から感じますね。そういう反応をもらえる時は、機械的に指示を出すのではなく、しっかりとコミュニケーションを取り、目的を明確に示していることが大きく影響しているように感じます。「一緒に解決していきましょう」という姿勢でコミュニケーションを取れば、「セキュリティ対策の人、何しに来たんだ?」と思われることは少なくなると思います。辻氏 寄り添って一緒に悩み、現場メンバーの一員として問題解決に取り組むことで、反応が違ってきますよね。亀田氏 上からではなく、一緒に悩んで問題解決するということは、意識してやっています。辻氏 僕は、セキュリティの仕事を始めて1、2年目の頃に、冷や汗をかくような失敗経験がありました。丁寧に1時間、1時間半かけて説明したあと、相手方に言われた言葉が「で、危ないの?危なくないの?」だったんです。当時は「技術的な背景を正確に、細かく説明すれば良い」と思い込んでいたんです。その経験から、「最初に相手の知りたい結論を話す」「その後、質問があればそれに答えていく」という対応に変えました。亀田氏 ええ、まさに今の辻さんの話がインシデントが起こったあとの対応ですよね。何かが起こったことで、かかわった人は「早く直して欲しい」と思っている。「できることなら、今すぐに解決してくれ!」と相手は思っているんだけれど、解決する側は全容を調べた段階にいたって初めて解決になるので、同じ「解決」であっても、お互いに考える「解決」が、まったく違うものだったりしますよね。辻氏 そうなんですよ。結構、ズレがありますよね。亀田氏 ただ、提案自体がズレてしまったこともあります。パソコンがマルウェアに感染してしまったケースで、問題を100%解決するためには、パソコンを取り替えることが一番でした。でも、現場からすれば、その100%では業務に支障をきたすため「今、求めているのは100%問題解決してもらうことじゃないんだ」と"ズレ"が起きてしまったんです。辻氏 こっちとしては、問題が100%解決する方策を提案しがちですが、100%ではない、仕事を続けられる提案を望むケースがありますね。ただ、こちらとしては「100%安全ではないけれど、こういう使い方をしないのであれば大丈夫です」という提案を行うには、かなりの勇気がいる。100%解決すべきなのか、表面的な問題が抑えられる提案をすべきなのか、判断が難しいですね。亀田氏 こちらとしては、可能な限り納得してもらえるギリギリの提案になります。例えば、コスト優先のケースや、脅威の影響を一時的に抑えるケースなど、多面的に状況を考えねばなりません。辻氏 一緒に悩んでみないと、答えが出てこないということですね。亀田氏 一般論の解答では役に立たないということですね。辻氏 改めて考えてみると、セキュリティの仕事は一筋縄ではいかないことを再認識しました。○悩んだ時にはやってみろ!と言いたい辻氏 普段はどのように勉強していますか?亀田氏 誰かに教えてもらうことがあれば、自分でどんどん調べていくことでようやく理解できることもあります。辻氏 Wikipediaで調べて、体系的に理解した上で学べることがある一方で、実践で学んでいくこともありますよね。体系だてて学んだことではない、普通とは違う学び方ではあるけれど、実践したからこそ学べることは多いように感じます。亀田氏 必ず意識するようにしているのは、脱線したとしても自分がやるべき課題に必ず戻って実践することです。自分がやるべき課題だけは、明確にしています。辻氏 30歳というのは仕事をしていく上で一つの節目だと思います。部下を持つ年齢になり、仕事としても色々な経験を積んで周りが見えてくる年齢でもある。セキュリティとは違う仕事に手を出して、将来はどうすべきか、悩む年齢でもあると思うんですが。亀田氏 個人的に気になっていることは、デフコンのCTFですね。数年前から携わるようになって、テクニカルな知識を学べる場としてとても参考にはなっているものの、それだけやっていても「今の仕事に役立つか?」と考えて悩んでいるフシがあります。現状認識でいえば、もっとコミュニケーション能力を磨くことが必要かなとも思います。最前線の知識を追いかけながら、自分がその知識を役立てるだけでなく、若いエンジニアに伝えたり、といった人材育成にも興味がありますね。辻氏 学んだ技術を自分だけでなく、人にふるまう、人の口にあったものにしていく、ということも確かに必要ですね。亀田氏 これまで「技術を伸ばす」ことは個人の課題でしたが、それだけに収まらなくなってきました。CTFでも、数年前は最前線に近いところにいましたが、今は学生がリーダー役で、それを援護する立場に変わってきたなと感じています。辻氏 最後になりましたが、今、学生でセキュリティエンジニアになりたいと考えている人や、エンジニアとして仕事を始めて1年目、2年目という人に向けて、何かメッセージをいただけますか?亀田氏 「やりたいことはどんどんやって」でしょうか(笑)。やるべきかどうか悩むことがあったら、まずやってみる。成功しようが、失敗しようが、それが次の機会に生きてくると思います。辻氏 「突っ走ることができるぞ!」と思っているうちは、突っ走ってみることが必要ですね。亀田氏 そうです。突っ走ることができる期間はそう長くないですから。辻氏 良い言葉を頂きました。走ることができる時には走る。それが大事です!!
2016年03月11日標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。マイナビニュースでは、"セキュリティ三銃士"のソフトバンク・テクノロジーの辻 伸弘氏にコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。そこで、辻氏に"サイドライト(側光)を当てるべき人物"と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。初回は、ソフトバンク セキュリティ本部 マネージドセキュリティ統括部 セキュリティリスクマネジメント部 セキュリティコンサルティング課の洲崎 俊氏との対談です。○辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジーセキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji○洲崎 俊(すざき しゅん)ソフトバンク セキュリティ本部 マネージドセキュリティ統括部 セキュリティリスクマネジメント部 セキュリティコンサルティング課ソフトバンクに所属している「とある診断員」。2006年よりセキュリティベンダに入社し、NW及びWebアプリケーションの脆弱性診断を中心としたセキュリティソリューションサービスの提供に従事。現在はソフトバンク内のセキュリティチームに所属し、企業内におけるセキュリティ対策業務を担当。対外活動として、ISOG-J やOWASPなどのワーキンググループに参画するほか、IT関連イベントへの参加や日々の脆弱性検証をライフワークとしている。ゆるゆるIT勉強会「#ssmjp」運営メンバー。Twitter: @tigerszk○セキュリティ素人なのに、セキュリティベンダーに就職洲崎 俊氏社会人歴で言うと、2006年から社会人で、最初は某セキュリティベンダーに入社しました。始めからセキュリティ診断、ネットワークのセキュリティ診断の仕事をしていました。辻 伸弘氏学部はどこでしたか?洲崎氏情報系で、主にマルチメディアですね。PhotoshopやIllustratorをやっており、LightWaveなどの3D CGソフトウェアとかも学生の時に触っていたりしました。ただ、プログラミングの授業が好きで、C言語をやって、Javaもやってました(笑)。でも、サーバー系やネットワークはわからなかった。なんせ、IP調べるためのコマンドプロンプトもわからなかったですし。辻氏どうしてセキュリティベンダーに就職したんですか?洲崎氏学校推薦ってあるじゃないですか。募集があって、『行きたい奴集まって』と言われて面接したら、たまたま残って。これからセキュリティ必要になるよなと軽い気持ちで行ったんです。プログラミングかじってたし、セキュリティに強ければ面白いんじゃないかと思って入りました。辻氏運良く、かどうかはともかくとして、セキュリティ業界に入ったってことですけど、いきなりセキュリティ診断の部署ですか?洲崎氏いきなりでしたよ。何もわからず入ったもんだから、先輩が「Apacheが~」って言ってたことを軍用機のことだと勘違いしていました(笑)。辻氏ある意味セキュリティ関連の言葉ですね(笑)。洲崎氏「Kerberos」は、何故かカーバーOSと呼んでました(笑)。辻氏Windows、Mac OS、カーバーOSみたいな感じですね(笑)。○初心者の苦労洲崎氏セキュリティ会社に入って、最初大変だったことは、(セキュリティに関して)覚えていることが"ゼロ"。システム作ってない人間が、脆弱性を見つけ、システム開発者の方に指摘する大変さって今考えると凄いなと思います。辻氏セキュリティ診断は、「お客さんの弱点を見つけて修正するための助言をする」という仕事ですけど、自分の中で「できた!」と思えたのはいつ頃ですか?洲崎氏ある程度できるようになったのは3年目ですかね。それなりに自信持って報告できるようになりました。自分で判断できるようになったけど、遅い方じゃないかなと思います。Webアプリの診断を始めた辺りから、自信を持って、行けるようになった。辻氏「石の上にも三年」と言うように、3年でそこそこ一人前になるというのはあると思います。そういう段階に入ると、お客さんとの折衝もできるようになったと思いますが、心が折れそうになったことはありますか? 自分にも経験ありますが、そういう場面を乗り越えると、辛いことは学びになりますよね。洲崎氏駆け出しの時は報告会とかでお客様から色々厳しいツッコミをいただくことが多かったですね。セキュリティ診断に利用するツールなどでは、脆弱性を誤検出(脆弱性がないにも関わらず、あるとツールが報告してくること)する場合があります。もちろん、きちんと確認をして、あらかた潰したりするわけですが、中には、報告する結果の中にそのまま残っていたりするものもあります。ある時、顧客に診断結果を説明した際に、「こんなのうちのシステムで使ってないよー。一体何で検出しているの?」って言われてその時は、ただツールの結果から報告書を作成していただけだったので、理由がわからなくて思わず固まってしまいましたね。ほかにも「この脆弱性を実際に悪用して攻撃してみたら具体的にどうなるの?」とか質問された時に、自分ではやったことが無かったので質問に対して上手く答えられなかったこととかもありました。まあ、そういうことを繰り返していくうちに、それらに対応するには「自分で手を動かして、検証しなければならない」ってことを強く感じて、色々検証をするようになりました。脆弱性の検証ももちろん大切なのですが、それ以外にも、診断対象となるようなシステムを自分の手で構築してみるってこともすごく重要だと思います。もちろん診断で出会うようなシステム全部を作れるわけじゃないですが、メジャーなOSS(オープンソース・ソフトウェア)などで構築されたものなんかは「とりあえず自分で作ってみないと」と思って、色々試してみましたね。後は、辻さんや徳丸さんなどの先駆者の方々のブログ・記事を読みまくって色々試したりもしました(笑)。辻氏ありがとうございます(笑)。洲崎氏先駆者の方々のブログ・記事については昔だけじゃなくて、今でもよく復習がてら読んだりしています。ちなみに最近はWeb診断の方をメインでやっていたりするので、久々にネットワーク診断をやる時なんかは辻さんの記事を参考にさせていただいていますよ(笑)皆さんの記事は素晴らしいクオリティのものが多いので、大変参考になります。それらの記事を読んでいて思いますが、皆さん必ず「自分の手で検証」されていらっしゃいますよね。そういうことからも、やはり自分で試すことの大切さを再認識しました。結局、自分で試してわかったことって自信を持って説明できるんですよね。やっぱり手を動かすことは大事だなあと思っています。○脆弱性診断とはどんな仕事?辻氏今の仕事についてお聞かせください。洲崎氏NW診断を3年ほど経験した後は、6年くらい主にWebアプリの診断をやっていたりします。辻氏僕はずっとネットワーク診断に関わってきました。僕たちは診断をする側ですから、ネットワーク、Web診断の違いが分かりますよね。診断の範疇とか。ただ、色んな経験をしてきて、そういうマネジメントの立場になると、「Web診断って何?」と言われることもあると思うのですが、どのように答えていますか?洲崎氏僕が説明するとすれば「セキュリティ的に、よろしくない造りをしているWebアプリかどうかを調査すること」ですかね。一般的な「Web診断」の診断対象となるものは、OSやサーバーソフト上で動作する、お客さま独自で作成しているWebアプリケーションだと思います。脆弱性は簡単に言ってしまえばバグの一種ですね。プログラムの組み方など、アプリケーションの作り方が悪いとそういうバグが存在し、攻撃をされてしまう余地があります。Web診断自体でやっていることは、いわゆる"異常系テスト"に近いものかなと思います。色々なパターンのパラメータ値をアプリに受け渡してみたり、本来開発側が意図しているであろう操作と違うことを色々やってみたりします。それらの試行に対するアプリの挙動をみて、脆弱性が存在するか判断していくって感じですね。辻氏メールフォームやアンケートフォームの説明をしても伝わらないこともありますよね。ブラウザの中で動作するプログラムが診断対象って言い回しですか?洲崎氏正確には、ユーザの入力結果に応じて、ブラウザに応答結果を返すプログラムが診断対象ですかね。Web診断でやることのあくまでイメージについての説明となりますが、メールフォームで例えて言うと、入力欄の名前に「洲崎」、メアドに「abc@pentest.jp」みたいな文字列を入れるのが一般的ですよね。じゃあ、そうした入力欄に、例えば全然関係ない記号を入力してみたり、記号じゃなくても"本来は入れる必要がない値"とかを入力して送信すると、システムがどう動くのかな?っていうように色々見ていく感じですかね。あとは先ほど言った通り、本来の使い方とは全然違うことなんかもやってみたりします。例えば、ログイン画面があったとして「ID・パスワードなどのアカウント情報を入力→ログイン処理→ログイン後の画面が表示される」というように遷移するのが一般的に正しい流れですよね?そこを「いきなりログイン後の画面にアクセスみたら一体どうなるんだろう?」「もしかしたら認証しないでアクセスできたりしないかな?」というような感じで、色々試したりします。もちろん実際の診断作業では、検査する脆弱性項目に応じてある程度やることも定まっていて、作業内容もパターン化されています。あくまでイメージとして捉えていただければと思います。辻氏異常系のパターンを試すことで出てくるものや、脅威って何でしょう? 受ける側には「それの何が危ないの?」と言われるもあるかと思いますが。自分が経験した例だと、1時間半に渡って診断結果を説明しても「で? 危ないの?」と言われたこともありましたね。洲崎氏検出した脆弱性を説明するのってすごく難しいですよね。脆弱性の種類によって、どういうことが起きてしまうのかは分かれますが、簡単に言ってしまえば、「本来できちゃいけないことができてしまう」ということなのかなと思っています。プログラムが存在すれば、開発者が想定している仕様が当然あるわけで、その仕様となっていること以外は本来"出来てはいけない"んだと思います。例えばECサイトとかで商品の購入履歴検索機能があったとします。本来は自分の今まで購入した商品情報を検索するための機能なのに、もしなんらかの操作で、他人の購入情報まで検索できてしまったら問題ですよね?もし購入情報以外にも、他の情報、例えば、登録されているアカウント情報やシステム内部情報とかも検索できてしまったらすごくまずいですよね?アプリケーションの造りが悪く、脆弱性が存在すると、そういうことが可能だったりします。後は、出来てしまうことの内容やそのことがビジネスに与える影響とかで、どのくらい「危ないか?」が変わってくるのではないかと思います。辻氏攻撃される前に、Webサイトが公開される前に、危ないものを見つけ、直す方法を伝える"アドバイザー"という位置づけですね。洲崎氏そうですね。辻氏業界外の人から見た、ご自身の仕事に対する、よくある勘違いってありますか? 「ハッカーなんですか?」みたいな。ITに詳しくない女性や業界外の人たちに言われがちかと思うのですが。洲崎氏それで言えば、完全に余談なんですけど、僕の奥さんは1社目で同じ会社でしたから、勘違いどころか仕事について理解してくれています。奥さんは自分の隣でポートスキャンしてました(笑)。辻氏診断夫妻ですね(笑)。それなら勘違いされなくていい。洲崎氏ええ(笑)。○診断に必要なのは技術力と"コミュニケーション力"辻氏診断の仕事って、診断そのものの技術はもちろんのこと、その結果を報告するフェーズがとても大切だと思っています。その辺りは、一朝一夕に出来ることではないと思っているのですが。洲崎氏そうですね。分かり易く説明するのは非常に難しくて今でも苦労しています。クライアントへの診断結果の報告会とかでは、個人的には"場の空気を読む"ことが重要かなと思っています。もちろん、発見した問題の事象とリスクを正確に伝えることはやらなければなりませんが、いくらこっちが一生懸命説明しても全く聞いてくれなかったら意味がないので、伝え方を色々工夫しています。辻氏確かに、寝てしまわれる方もいらっしゃいますよね。洲崎氏報告する相手によってはあまり技術的なことは聞きたくないって人もいらっしゃるので、そういう時はホントに必要最低限の大枠だけ報告して、あまり細かい技術的な内容には触れないように気を配っています。辻氏結局、(クライアントが求めていることは)細かいところじゃないんですよね。洲崎氏最初は馬鹿正直に、タウンページみたいな分厚い報告書を真面目に最初からそのまま読んでいました。そうすると案の上、全然聞いてもらえなかったりするわけで(笑)その時、結果を聞いてもらえないとやっぱり凹みますし、自分のやった仕事に意味がないんじゃないかと思いました。人によって、求めてることは違うので、それに合わせて報告をすることが重要だと思います。中には当然詳しい人もいらっしゃるので、いきなり最初からマニアックな話を振ってきたりしますけどね。そういう時は僕も嬉々としてマニアックなお話をします(笑)辻氏診断の仕事って、自分の経験も加味すると"関わらなきゃいけない人"は増えてくると思うし、やってみたいという人はたくさんいるはずで、そういう人は"技術力が必要"と思ってることが多い印象があります。だけど、その後がお客さまから見ると重要であることを考えると、技術だけでは絶対に成り立たないですよね。洲崎氏その通りだと思います。確かに技術力は重要だと思います。ただ、技術だけじゃなくコミュニケーション能力も大事で、「いかにわかりやすく、正確に問題を報告できるか」が大切なのかと思います。セキュリティ診断って、場合によっては対象システムに影響を及ぼす場合もあったりするので、事前の説明などは、きっちりやったりします。それ以外にも、システム担当者と密接にやりとりしなきゃならない場面が沢山あります。だから、コミュニケーション能力はすごく大事ですね。後は報告の場で、こっちが「こう直してください」という提案をしても、その通りに直してくれないことなんてことも"ざら"にあります。「諸事情で出来ない」と言われるんですよね。まあただ、蓋を開けてみると諸事情の中身は割と単純なものが多いですね。「アップデートしたらアプリが動かなくなる」とか「改修にかけるお金や時間がない」とか。こういう根本的な改修が出来ない場合とかに、暫定対策やリスク軽減策などをどれだけ提示できるかってこともすごく大切だと思います。それには当然、経験や知識が必要だと思うので、やはり自分で手を動かして調べたり、色々検証などをしてみることが重要ですね。後はやはり、ある程度の言い切りも必要じゃないでしょうか。本当にヤバいものについては「しょうがないけど、やらないとダメです」と言い切って、そのままにした場合のリスクを淡々と伝えます。本当に対処しなければならないヤバいものと、まあちょっと時間が経ってから対処しても大丈夫なものを区別して、提示してあげる"さじ加減"っていうのも重要ですね。辻氏「放置はダメだけど、これだけは」というところを伝えることですね。ものには優先度がありますし。技術や知見だけじゃなく、診断は、その優先度を適切に伝えるところにポイントがあると思っています。相手がいる話なわけだし、知識量があり、技術力を持っていたとしても、訴求力がないとこの仕事は成立しないですよね。洲崎氏そうですね。辻氏知識や技術は、時間をかけることで身につくけど、訴求力は時間じゃ解決しないと思うけど、やっぱり場数でしょうか?洲崎氏自分の経験からすると、場数ですかね。ひたすら報告会に行きました。診断って難しいじゃないですか。"診断サービス"と、ひとことで言っても、営業の方だけでは、なかなか事象を詳しく説明できませんし。だから、営業の場にエンジニアが引っぱり出されるケースが多いのではないかと思います。プリセールスエンジニアがいる会社もあるけど、最初の会社ではそういうエンジニアじゃないのに週5とかで、お客さんのところへ行ってましたね。辻氏そこだけ見れば、もはや営業職ですね(笑)。洲崎氏ホント、その時は通常作業ができなくて困りました……。説明だけでなく、提案しなきゃいけないわけですからね。お題が出ていて「これだけやってくれ」という案件なら楽だけど、「ノープランで金額はこれくらい。とにかくやって」と言われると、いくつもの要件の中から、ベストなものを提案しなくちゃいけない。色々しんどかったですが、今思えばあの経験で、そうしたコミニケーション系のスキルを得られたのかなと思っています。あと、よくあるケースだと、「開発ベンダーを連れてくるから説明してほしい」って展開ですね。これは問題点や修正内容が開発に伝わり易かったりするので、良いことでもあるのですが、脆弱性を報告する側としては、正直色々と大変なんですよね。辻さんももちろんご存知だと思いますが、状況によっては修羅場になったりしますよね(笑)。辻氏もちろん、何度も経験しています(笑)。開発ベンダーからすれば、あら探しや、お客さんの前で恥をかかされているというように考える方も以前は多かったように思います。○"診断"という仕事の大変さ辻氏やはり日々忙しいですか?洲崎氏今の仕事は、社内及びグループ会社で開発・構築したアプリやシステムに対するセキュリティ診断を実施しています。実業務としては、グループ会社に対して提供するセキュリティ診断の取りまとめを担当しています。社数が多く、診断案件の引き合いも多いので、そこそこ忙しいですね。辻氏普段は何時頃帰ってるんですか?洲崎氏過度な残業はしてません。実作業については、基本的に他のセキュリティエンジニアの方々が担当していて、厄介なケースや判断が難しいものとかが、自分の所に回ってくる感じですかね。辻氏仕事をやっていて、「もう嫌だな」と思ったことはありますか?洲崎氏最初の会社で2年目くらいに診断が嫌になって、転職しようと思ったんですよ。「ビジネスでアプリケーションの開発・構築をやったことがない中で、それらの診断をやることが、ちゃんとしたキャリアパスじゃないな」と思ったんです。だから、「ちゃんと診断と向き合うなら開発を経験した方が良いな」と思ったんです。辻氏診断スキル伸ばすためには基礎部分やらなきゃと思った感じでしょうか?洲崎氏そうですね。だけど、最初の方でも話しましたけど、「とりあえず自分だけでシステムを作ってみるところから始めよう」と思ったんです。それからずっとこの職種をやっていますが、「自分でこの道を選択した」という気持ちが芽生えたし、今は楽しくやっています。結局、なんだかんだで「診断」が好きだったんだなと。辻氏色々紆余曲折あったと思うけど、モチベーションは何でしょうか?洲崎氏「クライアントが直してくれて良かった」とか、「脆弱性見つけて楽しいな」とかですかね。辻氏スカッとする感じですか?洲崎氏何なんですかね?(笑)辻氏適性ですかね?洲崎氏自分で推測して、脆弱性があるかなと突いてみたら見つかった時に、感じるものですかね。なんだろう(笑)。辻氏そこは(いわゆる"ハッカー"と)勘違いされやすいかもしれませんね。ただ、こちらも診断という仕事をずっとやってきた自負がある。セキュリティ事故が起きた時に、会社が出くわしてしまう難儀なことに、遭う人をできる限り減らしたいですね。僕は「仕事をする」ということは、何かしらの社会貢献だと思っていて、それを通して「一つでも悲しみを減らしたい」んですよね。脆弱性を見つけた時の楽しさは、ある面から見れば不謹慎に映るけど、自分たちには上手くマッチしてるから仕事を続けているし、嬉しいと感じることと、人のために役立てることが両立している、そういう感じですよね。洲崎氏その通りですね。見つけて面白いし、褒められることもある。「いいコトしてるよな」ということなんですよ。脆弱性を見つけると、担当者によっては「余計なものを……」という反応をされる方もいらっしゃいますが、間違ったことをやっているわけではない。「見つけてくれてありがとう」と言うお客さんに出会うと、「やってて良かった」と思いますね。さっきは、コストとかの問題で根本的に直さないといけないもので対応してくれないケースがあると言いましたが、「これは難しいかな……」と思っていたら、根底から直してくれるケースもありましたね。例えば、認証の実装、根本的な仕組み自体に欠陥があったというような感じで、客観的に見て、完全に作り直さなきゃいけないような状態のアプリを過去診断したことがありました。ちょっとした改修とかだと、一部のコードを変更するだけで済むようなものですが、あの場合は根本がダメだから、ほぼイチからの作り直しだったのではないかと思います。それを、自分が問題点を指摘した後にすぐにちゃんと改修してくれた時は、本当に嬉しかったですね。辻氏たまにごっそりやってくれるところありますよね。洲崎氏全部やってくれると嬉しいですね。○若手に伝えたい想い辻氏この先に"野望"はありますか?洲崎氏まだ明確なビジョンが見えてないってのが正直なところですね。色々悩んでます。ただ、新卒の若い子とか、自分より若い世代を盛り立てたいってのはありますね。自分がわかっていることはどんどん伝えて、どんどん自分を超える人材に育ってほしいですね。まあ、人材自体が少ないって問題があるとは思いますが……。それ以外だと、同じくらいの年次の方とかとセキュリティ業界を盛り上げたいなっていうのもあったりします(笑)。あと、最近はセキュリティ業界内のことだけではなくて、例えば開発とか他の業界の動向を知らなくてはいけないのかなと強く思ったりしています。だから、個人的にですけど、外部の業界の勉強会やイベントへ足を運ぶってことを、最近積極的にやっているつもりです。セキュリティ業界内だけで固まってしまっていると、古い知識だけになってしまうのかなと思ってしまうので、流行の技術などを知るためにアプリ開発者やインフラ構築者の方ともっと交流したいですね。他の業界の方がどういう風にセキュリティに対して考えているのかも知りたいです。あと、僕らも情報を知りたかったりしますが、他業界の方もセキュリティに関する情報について知りたがっている方がきっといらっしゃると思うんですよね。だから、そういう方とも交流するために足を運ぶようにしています。辻氏セキュリティ業界にはある種の閉鎖的なものを感じることもあります。Webアプリのプログラム作ってる人はWebサーバーとDBに触れているのに、セキュリティは本来、広い分野を知らないといけないのに、セキュリティだけで集まっている。そうい点は不健全かもしれないと考えています。結果的に、ほかを見ないでセキュリティのみを優先させるよう「安全の押し売り」というか「セキュリティファースト」みたいになってはダメですよね。「健康の為なら死ねる」みたいな。洲崎氏そうですね。だから他を知りたいし、自分で出せる情報はどんどん出していきたいですね。それが最近やりたいことですかね。イベントや勉強会へ行った時に、座って人の話を聞くだけじゃなくて、懇親会に行って友達作りすることとか、どうせなら思い切ってライトニングトーク(短いプレゼン)しちゃうなんて勢いも重要だと思います。僕は30歳になるまではあんまりそういうことをやらなかったので、最近もっと早くやれば良かったなと思っていたり……。若い世代の人で、そういう場に参加されたことがないのであれば、是非一度飛び込んでみてはいかがでしょうか?とアドバイスしたいですね。辻氏行きやすいところだけじゃなく、普段接することができない人たちに、という感じですかね。洲崎氏そうだと思います。辻氏運用・構築の方からすれば、当たり前じゃない考え方を伝えているかもしれないし、もちろん逆もある。「こういう脆弱性があるから、直してほしいのでアップデートして」と言っても、そのパッチでシステムが動かなくなることもある。適用する修正プログラムだけで見れば個数は1つでも、当てるべきサーバーが100台あるなら、すぐに当てることはできない。修正プログラムを適用すると一言で言ってもその後にはシステムを再起動して、正常に稼働しているかというチェックもあるわけです。だから、「やられたらダメだからとにかくやれよ」という態度ではいけないですよね。敵は外にいるわけで、仲間同士で理解し合わず、揉めてしまうような形はダメですよね。洲崎氏そうですね。伝える相手の気持ちを理解したいっていうのがあるので、気軽に質問できたり、色々ご意見いただけるような他業種の知り合いの方の存在とかは非常にありがたいです。例えば、脆弱性が発見された時に「このソフトウェアとかモジュールとかって、実際に現場とかで広く使われているんだろうか?」って疑問に思うことがたまにあります。そんな時に、「これって運用・開発の現場でよく使われてたりするの?」と気軽に聞けたりするのは大きいですね。(改めて次の人材へのアドバイスとして)自分からできるアドバイスとしては、当たり前かもしれませんが、やっぱり「興味を持って手を動かす」ことが一番重要じゃないかなと思います。遠回りなようでそれがレベルアップしていくための、一番の近道なんじゃないですかね。「情報を収集して、はい終わり」だけじゃなくて、やっぱり自分で実際にやってみることが大切なのかなと思います。(セキュリティ人材の確保については)IPA(情報処理推進機構)がやってるセキュリティ・キャンプとかありますよね。人材育成という観点でみれば、こうした試みは非常に良いのではないかなと思っています。実際自分の知り合いにも、何人かキャンプに参加された学生の方がいますが、みんな技術的に超優秀な子ばっかりですね。ただまあ、セキュリティに興味を持つキッカケは何でも良いと思うんですよね。自分も全く予期してなかった流れでセキュリティ業界に入って今にいたっているので。まずは「いかにセキュリティに興味をもってもらえるような機会を作るか」が重要なんじゃないかなと思います。若い世代の方でも、技術力がとんがっている方は沢山いらっしゃいます。その一方で非常に残念なのが、「脆弱性を見つける」こととかにフォーカスしすぎていて、たまに"やりすぎ"ている人が見受けられることですかね。診断に限らず、セキュリティエンジニアの仕事って単に技術力だけじゃなくて、コミュニケーション力や倫理観など他にも色々なことが必要なんじゃないかなと思います。なかなか難しいと思いますが、そういうことも含めて教育していくことが重要なんじゃないかなと。やっぱりそこが、"攻撃者"との一番の違いなんじゃないでしょうか。私たちは攻撃者じゃないですし。やってることは紙一重ですが、最終的には"人"を相手にしている職業なので、そういった観点が重要なんじゃないかと思います。
2015年09月28日片岡物産は6月より順次、京都・宇治の老舗「辻利」より、お中元期間限定のプレミアムギフト「<辻利>宇治茶 アイスクリーム『翠峰』詰め合わせ」を、全国主要百貨店、スーパーにて発売している。○宇治一番茶・石臼挽き抹茶100%を使用した、抹茶アイスクリームのギフト「翠峰(すいほう)」は、150余年の歴史がある「辻利」がこだわり抜いた宇治茶を使用し、丁寧に作られたプレミアムアイスクリーム。一番茶100%の石臼挽き抹茶の風味を優雅に楽しめる「濃い抹茶」と、宇治茶をリッチに焙じた「焙じ茶」、また「濃い抹茶」に北海道産小豆を合わせ、最中で包んだ「あずき抹茶もなか」の3種を詰め合わせた。なめらかで軽やかな舌触りと口中に広がる深みのあるお茶の香りで、ぜいたくなひとときを味わえるという。また、パッケージにはプレミアムアイスクリームにふさわしくゴールドをベースにした和モダンなデザインを効果的にあしらい、高級感を演出した。価格(税/送料込)は、7個入り(濃い抹茶2個、焙じ茶2個、あずき抹茶もなか3個)が4,320円。9個入り(濃い抹茶3個、焙じ茶3個、あずき抹茶もなか3個)は5,400円。
2015年06月16日ばっちりメイクがトレードマークママタレントとして人気の辻希美が、4月25日付けのブログで「完全なるすっぴん」姿を公開している。辻といえば、「モーニング娘。」時代から変わらないような若いファッションと、ばっちり決めたメイクが印象的。特に最近は、少し太めで茶色の眉毛と明るい色味のカラコンがお気に入りのようで、目元のインパクトが更に強まっている。アイラインもカラコンも無し!これまでも何度かすっぴん風の姿をブログで公開してきた彼女だが、カラコンやつけまつげをつけているように見える写真が多かった。しかし今回のブログでは就寝直前の姿を撮影したようで、「メイクもコンタクトも無し」と断言している。確かに瞳の色も自然な黒だし、アイラインもひかれていない。まつげも自前のようだ。ノーファンででも肌にくすみやトラブルは見られないし、アイドル時代と違わぬかわいらしさがある。ようやく公開された「完全なすっぴん」を見ると、普段のギャルママメイクは少し過剰なのでは?と思わずにはいられない。翌朝には元通りのギャルメイクしかし辻本人は今後もメイクに「お世話になります!」ときっぱり。次に更新したブログでは、宣言通りしっかりとメイクをほどこした写真をアップしている。3児の母として忙しい生活の中でも、高い美意識を持ち続けているのは確かなようだ。(画像は辻希美オフィシャルブログより)【参考】・辻希美オフィシャルブログ「のんピース」
2015年04月29日辻利の店舗「辻利 京都店(きょうとみせ)」は4月30日まで、2015年春限定のパフェ・ドリンクメニューや粉末タイプの「さくら抹茶ラテ」などを発売している。○辻利の抹茶をリッチに使った春らしいメニューを提供同店は、京都宇治の老舗である辻利が"抹茶の新感覚体験"をテーマに運営する店舗。現在、4月30日までの春限定でドリンク新メニュー「京ラテスムージー さくらプリン」と「京ラテさくら」、ソフトクリーム「辻利ソフト さくらパルフェ」、お土産にもおすすめだという粉末タイプの「さくら抹茶ラテ(5杯入)」を販売している。京都の春をイメージした「辻利ソフト さくらパルフェ」 は、桜あん、桜メレンゲ、桜味八つ橋をのせたリッチなソフトクリーム。価格は562円(税込)。「京ラテスムージー さくらプリン」は桜味のミルクプリンが入った、食感も楽しい抹茶スムージー。桜のメレンゲをのせて仕上げた。価格は、Sサイズ572円(税込)、Lサイズ626円(税込)。ほんのり桜が香る春色の抹茶ラテ「京ラテさくら」は、濃厚な抹茶にふんわり甘い練乳を合わせた。価格は、Sサイズ454円(税込)、Lサイズ508円(税込)。お土産商品の「さくら抹茶ラテ(5杯入)」は、粉末タイプのラテが、お湯を注ぐだけで手軽に楽しめる。宇治抹茶とミルクの濃厚な味わいに、ほのかな桜の香りが春の訪れを感じさせる仕上がりとした。数量限定で、価格は540円(税込)。同店の所在地は、京都府京都市東山区四条通大和大路西入中之町215。
2015年04月02日辻利が運営する茶の販売店「辻利 京都店(きょうとみせ)」(京都府京都市)は4月30日まで、春限定のメニューと新商品を販売している。辻利は1860年に創業し、高級茶の代名詞と言われる宇治茶の名声の礎を築いたという。同社が運営する「辻利 京都店」は、"抹茶の新感覚体験"をテーマとしている茶製品の販売店舗となる。同店で現在販売中の春限定新メニューは、ドリンク「京ラテスムージー さくらプリン」(572円~)と「京ラテさくら」(454円~)、ソフトクリーム「辻利ソフト さくらパルフェ」(562円)の3品。また、土産にも最適という新商品「さくら抹茶ラテ(5杯入)」(540円)も数量限定で販売している。「京ラテスムージー さくらプリン」は、"桜味"のミルクプリンが入った抹茶スムージーに、桜のメレンゲをのせて仕上げた一品。「京ラテさくら」は桜の香りがする抹茶ラテで、濃厚な抹茶に練乳をあわせたという。「辻利ソフト さくらパルフェ」は、桜あん、桜メレンゲ、桜味八つ橋をのせて"京都の春"をイメージしたソフトクリーム。「さくら抹茶ラテ(5杯入)」 は、ほのかに桜の香りがする、お湯を入れて楽しむ粉末タイプの抹茶ラテとなる。なお、同店の営業時間は11:00~20:00。年中無休となる。※価格は全て税込
2015年03月30日「アノニマスとは何か?」について解説する集中連載の3回目。今回は、過去に日本がターゲットになった作戦の誤認について説明します。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji○過去の事件振り返り筆者はアノニマスなどの特定の組織や団体、集団を擁護しているわけではありません。この集中連載では、事実を事実として皆さんに知っていただければと考えています。アノニマスのトビラ(1)アノニマスのトビラ(2)2012年6月20日、参議院本会議で違法ダウンロードの罰則化を含む改正著作権法が成立したことに対し、それに抗議すべく「OpJapan」という作戦が25日に立ち上がりました。しかし、ややこしいことに国内のアノニマスが、同じ名前の作戦を16日に立ち上げていたのです。こちらは違法ダウンロードの刑罰化に対する抗議ではなく、ACTA(Anti-Counterfeiting Trade Agreement)という偽造品の取引の防止に関する協定に対する抗議でした。これは、個人のプライバシーやインターネット、言論、そして表現の自由が脅かされる可能性があるがゆえの抗議でした。16日の抗議は、「合法的に抗議しよう」としていたのですが、25日の抗議は非合法なハッキング行為を行うということもあり、大きくメディアで取り上げられ、「OpJapan」は後者の作戦を指すものとなってしまいました。この作戦では以下のような被害がありました。財務省国有財産情報公開システムWebサイト - サイト改ざん裁判所Webサイト - (D)DoSによりアクセス不可国土交通省 関東地方整備局 霞ヶ浦事務所 Webサイト - サイト改ざん自民党Webサイト - (D)DoSによりアクセス不可民主党Webサイト - (D)DoSによりアクセス不可JASRACWebサイト - (D)DoSによりアクセス不可経団連Webサイト - (D)DoSによりアクセス不可筆者も当時、動向調査のためにアノニマスが集まるチャットを閲覧しており(誰でもアクセス可能なものです)、昼夜逆転しながら、寝られるときに寝るというような生活を強いられたことで、今でも強く印象に残っています。この事件の中で、未だに世の中で誤認されていると思われる事象があります。それは、上でも記した国土交通省 関東地方整備局 霞ヶ浦事務所のWebサイト改ざんで、「アノニマスが霞ヶ関と霞ヶ浦を間違えた」という説です。この説は多くのメディアで報じられ、国家公安委員長がテレビで発言したことも手伝ってか、定説となってしまっています。ここで、国土交通省 関東地方整備局 霞ヶ浦事務所のWebサイトが改ざんされた時のチャットログを紹介します(一部を抜粋、チャットID部分に関しては変更)。【国土交通省関東地方整備局霞ヶ浦事務所Webサイトの改ざんを報告】20:57 (J) (J) Defaced.20:57 (A) japan20:57 (A) we have a news for you20:57 (A) your awesome defacee has come up20:57 (A) (A) defaced20:57 (A) :D20:57 (A) by J :D【霞ヶ浦と霞ヶ関を間違えた可能性についての会話】21:57 (h) my friend has a question that is anon was mistaken about Kasumi-gaura and Kasumi-gaseki21:58 (J) ?21:58 (J) What do you mean Anon was mistaken?22:00 (h) So, he think anon attacks Kasumi-gaseki is the correct, but defaced target was Kasumi-gaura22:01 (J) Idk what site it was, So I defaced.22:01 (h) in other words, his question is that Kasumi-gaura is the correct target? not Kasumi-gaseki?22:02 (J) I don’t know...上記のログから、「J」がWebサイトを改ざんした実行犯であると考えられます。その実行犯に対して「h」が霞ヶ関と霞ヶ浦を間違えたのではないかという質問しているのですが、「J」は意味がよく分からず、知らないと回答しています。また上記ログとは別の日に、「J」は同じようなやりとりの中で以下の発言をしています。16:44 (J) I don’t know what the difference is...So don’t ask me..lol23:46 (J) What is Kasumigaseki?(16:44の発言のwhat the difference isというのは霞ヶ関と霞ヶ浦の違いについてのことだと思われます)このチャットのログから、実行犯の「J」は日本人ではないと考えられます。そのように考えることで、「霞ヶ関と霞ヶ浦について間違えたわけではない」ということが上記のログから納得できるのではないでしょうか。多くの外国人にとって、「霞ヶ関」という言葉が日本の政治の中枢を指す言葉であるとは理解できないでしょう。また、霞ヶ関と名前の入ったgo.jpの政府系サイトは存在しません。この改ざんは、おそらくgo.jpを含むアドレスを持ち、かつ脆弱性があるサイトを検索していてたまたまヒットし、攻撃を行ったのではないかと筆者は考えています。筆者が尊敬するエンジニアの北河 拓士さんも、当時から筆者と同じく「霞ヶ関と霞ヶ浦を間違えたわけではない」という主張をされており、事の顛末をまとめてくださっているのでそちらも合わせてお読みいただけければ幸いです。次回は、アノニマスがISILへの攻撃を宣言したことについて解説します。
2015年02月19日「アノニマスとは何か?」について解説する集中連載の2回目。今回は、アノニマスの抗議方法について説明します。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji○アノニマスの抗議方法筆者はアノニマスなどの特定の組織や団体、集団を擁護しているわけではありません。この集中連載では、事実を事実として皆さんに知っていただければと考えています。アノニマスのトビラ(1)どうしてもメディアで「国際的ハッカー集団」とされてしまうアノニマスですが、その抗議手段は様々です。以下に、過去に用いられた抗議手段をいくつか紹介します。まずはハッキングとも言える手段から見てみましょう。情報漏洩(Leak)抗議対象となった組織などから情報を盗み出し、その情報をネット上に公開する抗議手段。多くの場合は抗議対象となるWebサイトの脆弱性(SQLインジェクション)を利用し、データベースの内容を盗み出すというもの。盗み出した情報をネット上に公開したとTwitterなどで喧伝するケースもあります。(D)DoSサーバの脆弱性や設定不備を悪用するほか、大量のアクセスを行い、負荷をかけることでサーバへの通常のアクセスをさせないようにする抗議手段です。多くのケースでWebサイトをダウンさせており、それが攻撃によるものとTwitterなどで喧伝することがあります。その際には「#TANGODOWN」というハッシュタグが用いられる場合があります。Webサイト改ざん(Deface)Webサイトやその関連ソフトウェアの脆弱性を利用してページを改ざん、追加するものです。自分たちの主義主張を掲示するという抗議に出るわけですが、こちらも前述した抗議手段と同様にTwitterなどで広めることもあるようです。その際によく用いられる言葉として、"改ざん"の意味を持つ「Deface」「Defaced」があります。次は、「ハッキング」と異なる抗議手段について紹介します。デモ決められた場所と時間に集まり、オフラインで行う抗議デモ。過去には世界の複数の都市で同じ目的で行われたものもあります。参加者はアノニマスの象徴ともいうべきマスク(映画:Vフォー・ヴェンデッタの主人公が被っているマスク)を被ってプラカードなどを持ち抗議を行います。日本ではデモという形ではないものの、違法ダウンロードの刑罰化への抗議として2012年7月7日に渋谷でオフ会と称した清掃活動が行われました。特定(Dox)抗議の対象となっている組織の人物や個人を調査し、その情報を暴露する抗議手段。暴露される情報としては、その個人のハンドルネーム(ソーシャルメディアのID)や本名、住所など。過去にはヘイトグループとされている団体のメンバー情報を多数公開したこともあります。TweetStorm日時を決め、"特定のキーワードを賛同する者たちでTweetする"という、いわゆるTwitter上のデモ。特定のアカウントに対してメッセージ(メンション)する場合もあります。ツイートする内容を事前にネット上で共有。自分たちの主義主張を伝えるという目的がありますが、特定のキーワードやハッシュタグをトレンドキーワードに押し上げて、多くの人の目に触れるようにするという目的もあります。○アノニマスは単一のグループではないからこそ、抗議の手段が多様に存在するいくつかの抗議手段を紹介しましたが、紹介した中には多くの国で違法とされるもの、そうでないものがあります。メディアで取り上げる内容の殆どがハッキングで、「アノニマス=ハッキング」という印象をお持ちの方が多いのだと思います。しかし、アノニマスの作戦の中には違法なことを行わず、合法的な手段で抗議を行うというポリシーの行動も存在します。日本で行われた掃除もその1つといえるでしょう。ハッキングという手段を用いず、抗議も行わない変わり種の作戦としては「OpSafeWinter」というものがあります。この作戦は、世界中のホームレスに対して食糧や金銭など、生活に必要なものを提供して「安全に冬を越してもらおう」という意図があるようです。紹介してきた多くの作戦では、行動する宣言として抗議文やグラフィック(フライヤーなど)、ビデオを作成し、公開します。それらの中にはクオリティが高いものも多いことから、客観的に見ていて人の心を惹きつけることもあるのかなと感じます。そして、彼らの抗議行動の目的には、色々なアクションによって人の注目を集め、自分たちの主義主張や問題意識を多くの人に届け、広めるという要素が含まれています。前回、アノニマスは「世界的な抗議共同体」ということを書きました。抗議するということだけであれば、そこには違法も合法もありません。その抗議に用いる手段によって違法、合法が判断されるわけです。○の人は××が嫌い。(あえて何かと明示しません。○と××には皆さんが思い浮かべる言葉を入れてみてください)こういった言葉はよく見聞きしますが、必ずしもそうではないと思います。中には好きな人もいるでしょう。それはアノニマスも同じなのだと思います。色々な人が集まっては離れ、それぞれのルールや方法で抗議を行い、消えていくという存在なのだと思います。筆者は別段アノニマスを擁護しているわけではありません。「事実は事実」として、皆さんに知っていただければと考えています。次回は、過去に日本がターゲットになった作戦から起きた誤認について解説します。
2015年02月18日辻調理師専門学校などを経営する辻調グループ(大阪府大阪市)はこのほど、2015年春で運行を終了する寝台特急「トワイライトエクスプレス」のラストラン特別メニューをプロデュースすると発表した。今回の発表によれば、「トワイライトエクスプレス」のメニュー開発に長年携わってきたJR西日本フードサービスネットの担当者が、辻調理師専門学校の卒業生である縁から実現したとのこと。実際にプロデュースを担当するのは同グループの教員2名で、うち1名は2000年の九州・沖縄サミット首脳晩餐会で料理長を務めた西川清博氏。もう1名の中田淑一氏も、同晩餐会で料理制作を担当したほか、「第1回エスコフィエ・フランス料理コンクール」で3位を獲得した実力派だ。現在、この2名により、古典的フランス料理をベースとしたメニューを考案しているという。辻調グループプロデュースによる特別メニューは2015年2月1日から、「トワイライトエクスプレス」車内にて提供。あわせて辻調グループの実習店舗「パティスリー・ラボ・ツジ(P.L.T.)」(大阪市)による焼き菓子セットの提供も行う予定としている。
2014年10月22日「モンサンクレール」の辻口博啓シェフといえば、日本でも指折りの有名・スーパー・カリスマパティシエ。今回ご紹介する手みやげは、そんな辻口さんが新たに手掛けた「Feve(フェーヴ)の豆スイーツ」です。「栄養豊富で保存に優れ、天然サプリメントとして重宝されてきた豆。繊細なスイーツのように美味しく、サプリメント感覚で手軽に」がコンセプト。店名の「フェーヴ」には「ソラマメ」や「しあわせ」という意味があり、豆とスイーツを掛け合わせることで多くの人を幸せにしたいという願いが込められているそうです。豆スイーツとだけ聞くと、甘納豆?みたいな想像をしがちですが、そこはさすが辻口さん、独特の発想で全く新しいジャンルのスイーツを完成させています。今回購入したのは、フェーヴ・ミックス 5個入(2,000円/税込)。5種の豆スイーツが詰め合わせになった人気のギフトセットです。まず手に取って女子的にアガるのがパッケージ!鮮やかな黄緑色のBOXを開けると、それぞれ異なる包装の豆スイーツがあらわれます。そのセンス、色づかいの美しさにうっとり。きっと手みやげを渡したお相手も喜んでくれると思いますよ!この時のお味は以下の5種。・アーモンド × あまおう苺・ソラマメ × ジェノベーゼ・ソラマメ × 紫いも・大豆 × オニオンキャロット・おかき×じゃがバターどれも斬新な組み合わせですよね? カリッ、サクッとした軽やかな食感に、豆の味がしっかりと凝縮されていて、これまでにない食感・美味しさに驚かされます。また、「おかし系」「おつまみ系」の2系統の味が楽しめるのも魅力です。思わず「これが豆?」と言いたくなるような、まるで高級チョコのような上品な甘さと、ぴりっとした刺激と旨み。お酒の席やお茶の席など、シーンによって味をセレクトできる優秀手みやげ。もちろん、軽くて保存がきくところも嬉しいですね。商品は随時入れ替えがあるそうなので、今旬なお味をぜひ楽しんでみてください!お問い合わせ:Feve(フェーヴ) 自由が丘店 公式サイト(オンラインショップあり) tel. 03-6421-4825
2013年10月10日※画像は、辻希美オフィシャルブログ「のんピース」より子育てをしながら、あのサラサラヘアを保つには?元モーニング娘。の辻希美さんが、オフィシャルブログでヘアケアのアイテムを紹介している。辻さんと言えば、髪の毛を巻いている事もあるが、基本的にはサラサラヘア。利用をしているヘアケアアイテムは、気になるところだ。辻さんは、20歳で結婚・出産をして以降、タレントとしてだけではなく、育児関連の仕事も行っている。現在でも3人の子持ちとは思うことが出来ない、デビュー当時から変わらない外見で、ギャルたちからも支持を受けている。今ならセットの美髪プログラムセットがお得今回紹介をしているのは、ラサーナの洗い流さないタイプのトリートメント。寝る前にしっかりと髪の毛にエッセンスを染み込ませると、朝のスタイリングも楽になるとか。つるつるサラサラの髪の秘訣はここにあるようだ。さらに、ラサーナのシャンプーとトリートメントも利用をしているようで、髪の毛と地肌に優しいアミノ酸系洗浄成分を紹介している。現在、この洗い流さないタイプのトリートメントやシャンプー、リンスなどが入った「美髪プログラムセット」がWEB限定でお得なセットで販売されている。マイナスイオンドライヤーまでついて、7130円という金額。辻さんのようなサラサラヘアになるべく、美髪プログラムをしてみるなら、今がチャンスだ。【参考】▼辻希美オフィシャルブログ「のんピース」▼ラサーナ「美髪プログラムセット」月中なら「月額2,980円」であなたも今日からスベスベ芸能人ボディになれます!(9月16日)30代女性に向けたブログメディア、「ANGIE」が登場。仕事や恋愛で悩みが多いこの世代に、楽しく生きるためのヒントを提案。(7月29日)元の記事を読む
2013年09月24日(この画像は辻希美オフィシャルブログ「のんピース」より引用)芸能人に占いブーム?!ゲッターズ飯田占いのんちゃんといえば、元モーニング娘の元気印、辻希美さんですよね。現在は、夫の杉浦太陽さんと仲がむつまじく、ママさんタレントとして活躍中です。2009年に彼女が立ち上げたベビー服ブランドも好調で、常に流行を取り入れるその目利きは大したもの。そんな彼女が今注目しているものは…、なんと占い!彼女のオフィシャルブログ「のんピース」では、8月21日のブログにて、占いを楽しむ彼女の様子がアップされています。ゲッターズ飯田さんの占いやってみたよ。いろんな芸能人の方が占ってもらってるし、テレビにも出てるからすごい有名な占い師さんなんですよ。(辻希美オフィシャルブログ「のんピース」より引用)ゲッターズ飯田さんは、今テレビでも話題の占い師。そんな彼のWEBサイト「ゲッターズ飯田の占い」で、辻ちゃんは大興奮!その結果にも頷き顔のご様子。開運メイクで、あなたも運気をアップ!さらに、彼女は「性格でわかる!開運メイク」にも挑戦。ブログにアップされている「ナチュラルメイクでアイラインを強調」した彼女の写真からは、どこか生き生きしたパワーが感じられます。やはり開運メイクの力なのでしょうか?!たかが、メイク。されどメイク。メイクは女性の印象を左右するものです。「最近、ちょっと運がないのよね」というあなた。開運メイクで自分印象を、さらには運勢を、変えてみてはいかがでしょうか。【参考】▼辻希美オフィシャルブログ「のんピース」“脱・クレンジグ”&“脱・ファンデ”で美肌に導く!紫外線対策もできるとっておきのアイテムとは?(8月25日)元の記事を読む
2013年08月27日