サイト開設からの軌跡(二年七ヶ月経過)


■サイト開設からの軌跡(二年七ヶ月経過)

サイト開設から三十一ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この三十一ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4
28 2019/09 12014 400 6203 2
29 2019/10 14369 464 7147 3
30 2019/11 12849 428 6122 3
31 2019/12 13842 446 6899 3

なんだか、月 3 記事、っていうのが

定着してしまっている。

なかなか忙しくて記事書けていない。

新しいことにも全然挑戦できていない。

まずいなぁ。

モチベーション上げていかないと。

PV 数は、一日平均でみると若干減。

休みが入ると大幅減になる

このサイトとしては、

そこそこ持った方か。

さて、今月はどうなることやら。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
metasploit の使い方

となり、

先々月と変わらず。

なんだか安定してきているなぁ。

PV 数もそんなに変わっていないので、

まぁ何か世の中的に注目されるようなことがなければ、

このままだらだらと落ちていくのかもしれない。

ただ、情報処理安全確保支援士関連の

Index page である

情報処理安全確保支援士への道

は、先月も先々月と変わらず、

五位をキープ。

PV 数も若干増。

試験の合格発表があったらかであろう。

なお、電子工作系の

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
ライブカメラ(監視カメラ)を作る!

も安定状態に入ってきた模様。

先月は PV 数自体も若干増。

冬休みに何かやろう、という人もいるのかもしれない。

ちなみに、先々月、突如としてランキング五位に現れた

WiFi アクセスポイント化

は、先月時点でランク外に。

まぁなんかあったんだろうが、

結局 Jessie での話だから、

今後伸びることもないだろう。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage と DetExploit。
試しては見たのだが記事化できてない。
もうちょっとちゃんと調べてやろうと思うが、
時間が…。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
もういいかな。これ。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
Python 使うどころか、構想で止まってる。
うーん、時間が…。

・PHP 学習(未)
これも同上。



所感

記事もかけずメンテもできず、は

相変わらず継続。

折角書籍も購入して、

新たなことにチャレンジしようと思っていたのに、

なかなか時間が取れていない。

趣味ではなく仕事の補佐用勉強が重い。

なかなか身につかないし、

結構精神力を使っている。

まぁ頑張るしかないのだけれども。

とはいえ、今年こそやっぱり何かを再開したい。

AI だ。

もう AI しかないだろう。

AI で自動認識して動く、というのを

raspberry pi で実現したい。

何を?のところはもうちょっと練りたいが、

今一度技術の習得という所に戻っていきたい。

頑張ろう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: 未分類 | コメントする

令和元年度情報処理安全確保支援士支援合格発表


■令和元年度情報処理安全確保支援士支援合格発表

この時期恒例ではあるが、

令和となって初めての

情報処理安全確保支援士試験

の合格発表が行われた。

プレス発表 令和元年度 秋期情報処理安全確保支援士試験および情報処理技術者試験(応用情報技術者試験、高度試験)の合格者を発表

応募者数 21,237 名、
受験者数 13,964 名、
合格者数 2,703 名

となっており、

合格率 19.4%

という状況であった。

これだけ見てもしょうがないので、

例のごとく、過去問道場の統計情報を見てみる。

情報処理安全確保支援士過去問道場 – 統計情報 –

応募者数、受験者数とも過去最低。

一方、合格者数は例年から大きな変動なし。

結果、合格率は過去最高の

19.4%

となっている。

結構高くなったものだ。



合格率の高さよりも気になるのは、

応募者数、受験者数とも過去最低、

という事実。

ようやく発生!?情報処理安全確保支援士になるメリット

でも書いたように、

最近になってようやく、

情報処理安全確保支援士になるメリット

というのが出てきた。

しかしながら、

この応募者数と受験者数の少なさを見る限り、

まだまだ浸透していないということだろう。

また、メリットとはいっても、

ようやく一つ二つ出てきた、

というぐらいであって、

多くの人にとって魅力的、

という所まではいっていないと思われる。

セキュリティ人材が不足していると

言われて久しい昨今、

是非とも明確なメリットをもっと増やし、

どんどん人気が上がるような、

そんな資格になってほしいものである。

ひとまず合格した方には、

心からお祝い申し上げたい。

また、残念ながら不合格だった方にも、

あきらめることなくチャレンジを継続してほしい。

少なくとも、

試験合格者、

というだけでも、十分に自分の中で

メリットが発生するから。

勉強して受かった、というだけでも、

十分に意味があると思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | コメントする

いよいよ国内販売開始! – Raspberry Pi 4 –


■いよいよ国内販売開始! – Raspberry Pi 4 –

以前より発表され、

既に海外版の販売は始まっていた、

Raspberry Pi 4 Model B+。

海外版をそのまま国内で使うのは、

無線関連の法律等で

もろもろ制約があるのだが、

先日、国内の技適マークに対応した

バージョンが発売開始されたらしい。

アールエスコンポーネンツ、技適対応版「Raspberry Pi 4」を発売

正規代理店では、

税込みで 6,600 円程度のようだが、

送料等はどうなっているんだろう…。

あと、当然のことながら、

本体のみでは動かない。

また、Raspberry Pi 3 Model B+ を

もっていたとしても、

電源が microUSB から USB Type-C に、

HDMI が通常サイズから microHDMI に、

などと変更がある。

このため、初めて購入する場合には、

のような、スターターキット的なものを

購入したほうが便利だろうと思われる。



raspberry pi 3 とは違い、

CPU 性能も向上しているし、

RAM サイズも 1 GB から

1, 2, 4 GB を選択できるように

なっている。

個人的には、RAM サイズの増加が

非常に興味深い所である。

私が所有している、

Raspberry Pi 3 Model B+

も、費用対効果という意味では

非常に優秀だと思っている。

個人的な趣味レベルで

サーバーとして動かす分には、

全く何の問題もない。

ただ、パソコンの代わりとして使おうとして、

ディスプレイ表示等をさせると、

メモリの関係からか、スワップが起きまくり、

ちょっと作業するとすぐに

パフォーマンスが落ちる、

という状況であった。

このため、かなり我慢しながら使っていた。

が、今回は RAM サイズ 4 GB が選択できる。

そうなった場合、パソコンとしても

使える可能性がでてきたか、と思っている。

既にラズパイを 3 台持っている身としては、

今回の新作を購入するかどうか、

非常に悩みどころではあるが、

仮に購入することになれば、

一度試してみたいと考えている。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

サイト開設からの軌跡(二年六ヶ月経過)


■サイト開設からの軌跡(二年六ヶ月経過)

サイト開設から三十ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この三十ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4
28 2019/09 12014 400 6203 2
29 2019/10 14369 464 7147 3
30 2019/11 12849 428 6122 3

先月もたった 3 記事。

いかん、いかんなぁ。

そしてどんどん自分の

趣味に使える時間が減っている。

まずい。

何とかして時間を確保しないと。

PV 数は、先々月の

情報処理安全確保支援士試験

の影響がなくなったこともあり、

予想通り減。

さて、今月はどうなることやら。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
metasploit の使い方

となり、

最近の傾向に戻ってきた。

やはり、情報処理安全確保支援士試験が

終わってしまえば、

関連記事は見られなくなっていく。

完全に季節要因だな。

ただ、情報処理安全確保支援士関連の

Index page である

情報処理安全確保支援士への道

は、五位をキープ。

PV 数は落ちたものの、

結構頑張ってくれたのがうれしい。

なお、電子工作系の

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
ライブカメラ(監視カメラ)を作る!

は、PV 数自体が若干減も、

まぁ安定的な状態を継続。

もう激増は難しいかな。

そして、今月の異変は、

WiFi アクセスポイント化

が、なぜか五位にランクイン。

最近増えているなー、と思っていたが、

こちらも 2 年以上前の記事だが、

先月過去最高 PV を達成。

不思議なものが起こるものだ。

さて、今月はどうなることやら。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage と DetExploit。
試しては見たのだが記事化できてない。
もうちょっとちゃんと調べてやろうと思うが、
時間が…。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
もういいかな。これ。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
Python 使うどころか、構想で止まってる。
うーん、時間が…。

・PHP 学習(未)
これも同上。



所感

記事もかけずメンテもできず、は

相変わらず継続。

当サイトの神ページである

専用カメラモジュールを使う

の PV 数減も継続。

やっぱり、まずは raspberry pi で

AI に取り組んでいく、という所をやりたい。

AI ってどんなもの、を実感として知りたいし、

raspberry pi で遊ぶ、に戻ってみたい。

あー、なんとかしないと。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

セキュリティ人材の悩み


■セキュリティ人材の悩み

日経 xTECH Active によれば、

情報処理安全確保支援士や

高度 IT 人材でも、

セキュリティに関する知識不足が

最も悩ましい問題となっているらしい。

セキュリティー対策の難度、「知識不足」要因が上位

みんな、おんなじような悩みを

抱えているものだ。

しかし、情報処理安全確保支援士とか、

出題範囲も広く、難易度もそれなりに高い

試験に合格している人にもかかわらず、

なぜ、

知識・スキル・体験不足

と感じるのだろうか?

体験不足はまぁ理解できるとして、

知識やスキルなどは

ある程度試験勉強でカバーできるはず。

が、私自身も、知識、スキルは

まだまだ不足していると感じている。

これはいったいどういうことなのか。

自分自身の振り返りとして、

少し考えてみたところと、

その対策方法について、書いてみる。



想定される要因:求められる範囲が広すぎる

まず第一に思いつくのは、

「セキュリティ」に要求される範囲が広すぎる

ということではないだろうか。

例えば、会社で使っているパソコンを

電車に忘れてしまった、などというのは

立派なセキュリティ事故である。

一方で、開発している web アプリに脆弱性が

あり、これを利用して攻撃されてしまった、

というのもセキュリティ事故だ。

社員が社内情報を持ち出してしまった!

もセキュリティ事故だし、

IoT 機器の脆弱性を突かれて

社内ネットワークに侵入されてしまった!

もそう。

パスワードリスト攻撃で不正ログインが発生した!

やっぱりセキュリティ事故なのだ。

このように、対策が必要なセキュリティ事故と

いうのは非常に多岐にわたり、その要因も異なる。

技術的な対応内容も異なるし、

意識向上とか、管理的な施策も異なる。

さらにその上、

やれ IoT だのやれ自動車セキュリティだの、

5G だの AI だのと、技術はどんどん進歩していく。

これらに対応していくことも必要となる。

一方、セキュリティ事故で困った人からすれば、

「セキュリティの専門家なんだからよろしく!」

「あなた、セキュリティの専門家ですよね!」

となる。

よって、自分が知らない分野に関しても、

色々問い合わせや相談、依頼が寄せられたりする。

このため、特に自分の専門分野外のことに関して、

「自分には知識、スキルが足りない」

となってしまうことが多い。

実際、私の場合はそうである。

専門家として頼られることはありがたいし、

できる限り対応したいと思う一方で、

その願いをかなえきれない自分に

忸怩たる思いを抱えることも多々あるのだ。



求められる範囲が広すぎることへの対策案

まずは自分の強みと弱みを知り、次に学ぶべき対象を決める

普通に考えれば、自分の専門知識を

拡張していくのが常套手段だろう。

情報処理安全確保支援士にでも

なろうかという人たちは、

さらなる知識向上などの意欲は高いと思うし、

これ常にやるべきだと思う。

私自身もそう思ってやってきたし、

今でも可能な限り継続している。

しかしながら、最近は限界を感じているのも事実。

何から手を付ければよいのか、も悩みどころで、

結局どれにも手を付けられずに日々を過ごす、

なんてことにもなっている。

ということで、まずは今一度自分の持っている

技術や専門性について、棚卸しをするのが

よいと思われる。

棚卸しといっても、いきなり整理するのは

難しいと思うので、世の中にある

スキルマップ的なものを使うのもありだと思う。

簡単なところで言えば、

IPA 発行の

IPA情報セキュリティスキルマップ

などを使うとよさそう。

多少ラフではあるものの、

技術分野はある程度カバーされており、

かつそのそれぞれについて

自分がどれぐらいか、というのを

分析する基準も示されている。

あくまで主幹評価ではあろうが、

「次はどこをめざそうか?」

というのを決めるには非常に参考になると思われる。

まぁ、難点としては、

クラウドセキュリティや IoT、

ペネトレーションテスト

といった、実際によく出くわす所が

あまりカバーされていない所。

とはいえ、これらのセキュリティは

基礎的なところを抑えた上での応用

でもあったりするので、まずは

このスキルマップが使えるのではないかと思う。

これをやっておくと、対外的にも、

「自分はどこに強みがあって、どこが弱いか」

という所を示せると思う。

そうすれば、頼ってくれる人も、

「あぁ、この人には難しいことを頼んでる」

ということがわかってもらえる「かも」知れない。

いずれにせよ、

まずは自分の強み、弱みを把握し、

次はどこに向かうべきか、を決めるのが

よいと思われる。



それでも足りない所は、他力本願!

上述のように自分の強みと弱みがわかれば、

次に伸ばすべき所、はある程度判断しやすい。

が、そもそもセキュリティ人材に求められる

専門性は広く深い。

すべてを自分一人でカバーするのは、

正直不可能だ。

じゃぁどうすればいいか。

まずは直近必要な領域に絞り込む、

というのが大事だろうが、

それでも間に合わないのが世の常だ。

よって、自分の知識拡張以外の方法としては、

「自分と違う専門性を持つ人に頼る」

ということだと思う。

ま、いれば、の話だけれども。

簡単に言ったものの、なかなかそうそう

適切な人がいない、というか、いたら困ってないと思う。

が、やっぱり一人ですべてをカバーしきれる

なんてことはあり得ないので、こういったことは重要。

即効性は薄いものの、

普段からセキュリティ人材同士で交流しておく、

とか、

自分の弱いところを埋めてくれる人を育てる、

などは、意識しておくのが大事だと思われる。



あとは最新情報のチェック!

上述の対策を頑張れば、

相当自分にとっても有益だと思う。

が、それで解消されるかというと、

すべてではないと思う。

世の中の技術はどんどん進歩しているし、

状況も日々変化する。

これに伴って、

攻撃の動向や対象もどんどん変わってくる。

一昔前は、ランサムウェアなんて

存在しなかった。

仮想通貨もなかったから、

マイニングするマルウェアなんてのもの

想像できなかっただろう。

が、現在は非常に大きな脅威となっている。

このように、新たな技術が出てくれば

それに伴って新たな攻撃も出てくるし、

状況が変わればこれまでは脅威でなかったものが、

現実的な脅威になってくるのである。

ということで、日々世の中の動向に注目し、

新たな技術に関する知識を取り入れていく、

というのは必須だろう。

じゃぁ、情報収集はどうすればいいのだろうか?

こればっかりは、如何にアンテナを

立てられるか、という所だとは思うが、

例えば、

IPA 情報処理推進機構

JPCERT コーディネーションセンター

などのサイトを常時 watch し、

ある程度信頼性の高い情報を

常に確保しておく、というのは

一つの手だと思う。

そのほか、

Security NEXT

のような情報サイトを除く、

というのもよいと思う。

いずれにせよ、最新情報に常に目を向けておく、

というのは重要なことだと思う。



体験はどうすればよい?

と、ここまで、知識を得たり

補ったりする方法について、

私なりの考えを述べてきたが、

知識だけではなかなか太刀打ちできないのが実情。

やっぱり、実際に体験するか否かは

非常に大きな差となってくる。

とはいえ、セキュリティ事故や攻撃は、

こちらの思い通りに体験できるものではないし、

体験せずに済むならそれに越したことはない。

ではどうすればいいのか?

これに関しては、

『疑似体験をする』

というのが非常に有益だと思う。

実際問題、私自身、

ラズパイでセキュリティ

で書いたように、

疑似的な攻撃環境を作って、

簡単な攻撃をやってみることで、

「本当にできるんだ!」

とか、

「実際にはこういう障壁があるんだな」

とか、

かなり自分の体験としてとらえることができた。

単に字面で理解する以上の

印象があったし、記憶にも残りやすい。

また、実体験同様の体験にもなるため、

人に対する説得力も出てくる。

ということで、宣伝というわけではないが、

ラズパイでセキュリティ

にあるような、攻撃を疑似体験できる環境を

作ってみて、いろんな攻撃を自分の環境内で

試す、ということをしてみるのが、

非常に有益だと思う。

興味がある人はぜひ一度試してみていただければと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

Windows 用セキュリティツール「DetExploit」


■Windows 用セキュリティツール「DetExploit」

高校生 2 年生が、

Windows 用のセキュリティツールを

開発したらしい。

高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース

なんとも素晴らしい話。

高校生の時にこんなこと

絶対できんかったなー。

内容的には、

NVD や JVN、ExploitDB などから

情報を持ってきて、

本ツールをインストールした

Windows の脆弱性を調べる、

というものらしい。

結果は HTML で表示される。

脆弱性の情報をもってきて

中身を調べる、という意味では、

Vuls の Windows 版

といった感じか。

自分でも少し試してみたが、

動きは Vuls と引けを取らないどころか、

脆弱性情報のダウンロードなどは、

Windows に限定しているためか、

結構早いと感じた。

当たってないパッチなども

表示してくれているようなので、

結構使い道はあるんじゃないだろうか。



ただ、Vuls とは違い、

自動検査や slack 等への

通知機能はまだっぽい。

とはいえ、まあその辺は

外部スクリプトでやってもよいし、

今後アドオンなどで出てくるかも

しれないので、そんなに

大きな問題ではないと思われる。

現状では Windows の自動アップデートが

結構効いているので、

通常の家庭での利用には

それほど意義を見出せないかもしれないが、

会社で使っている Windows PC などを

IT 部門などが管理するとか、

システム上で動いている

Windows マシンの状態を

確認する、などにはよいかもしれない。

いずれにせよ、

結構使い道はあると思われるし、

なにより高校生がこんなのを

開発するっていうのがすごいと思う。

こんな人が出てきたら、

どんどん追いやられていくんだろうな、

と思わなくもないが、

こういった若くて有能な

セキュリティ技術者が出てくることは、

非常に喜ばしいことだと思う。

是非、白い方の道で

その力を発揮していってほしいものだ。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: 未分類 | コメントする

サイト開設からの軌跡(二年五ヶ月経過)


■サイト開設からの軌跡(二年五ヶ月経過)

サイト開設から二十九ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十九ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4
28 2019/09 12014 400 6203 2
29 2019/10 14369 464 7147 3

記事数は前月より増えたとはいえ、

たった 3 記事。

多忙は続いている。

落ち着くはずだったんだけどなぁ。

それもあって、PV 数は減少の一途を

たどるかと思いきや、結構復活。

情報処理安全確保支援士関連の記事が

かなりの伸び率を見せてくれた。

さて、今月はどうなることやら。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
午後問題対策
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –

となり、

午後問題対策

がなんと二位にランクイン。

2017 年に公開した記事が、

今頃になって過去最高を記録。

また、この記事を含む

情報処理安全確保支援士関連の

Index page である

情報処理安全確保支援士への道

に関しても、

前月の二倍以上の PV 数を獲得し、

四位にまで上がってきている。

情報処理安全確保支援士への

注目度が上がってきていることが

要因ではないだろうか?

そして、前回三位の

metasploit の使い方

は、順位を五位へと落としたものの、

PV 数自体は増加している。

最近触っていないから、

なんかこれを使ってやっていきたいとも思う。

ちなみに、最近安定的に Top 10 入りしている

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
ライブカメラ(監視カメラ)を作る!

は、順位こそ下がったものの、

PV 数自体はそんなに大きな変動がない。

これから考えても、

先月は完全に、

情報処理安全確保支援士試験

があったことが大きく影響しているといえるだろう。

さて、今月はどうなることやら。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage どうしようかなぁ。
あと、高校生が開発したという、
DetExploit
はちょっと試してみたいと思う。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
Python 使うどころか、構想で止まってる。
うーん、時間が…。

・PHP 学習(未)
これも同上。



所感

先月もまた、記事もかけずメンテもできず。

ただ、情報処理安全確保支援士関連の

試験があったことと、そもそも注目度が

上がってきたと思われることから、

これらに関する記事の PV 数増があって、

PV 数自体は増加した。

ま、今月は持たないだろうけど。

当サイトの神ページである

専用カメラモジュールを使う

も、PV 数自体は落ちてきているので、

やっぱり何か新しいことやっていきたいなぁ。

やりたいことや試したいことは

ないわけじゃないんだけど、

如何せん時間と精神力が随分減っている。

そして今後もこれらが回復する

見込みがあまりない。

うーん、どうしよう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

「変なホテル」でロボットの脆弱性発覚


■「変なホテル」でロボットの脆弱性発覚

まぁ、正直遅かれ早かれ

こういった話は出てくるだろうな、

と思っていたが、

現実的に出てきたので取り上げてみる。

「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性 不正操作が可能な状況 Twitter上の指摘で発覚

変なホテル、というのは、

ホテルの宿泊に関する各種サービスを

人ではなくロボットがやってくれる、

という結構先端的な取り組みをしている

ホテルの模様。

変なホテル

泊ったことはないが、コンセプトが

興味深かったこともあり、覚えていた。

そしてまた、

セキュリティにも配慮はしているだろうが、

いずれ脆弱性の存在は指摘されるだろうな、

とも思っていた。

で、案の定、舞浜のホテルで使っている

ロボットに脆弱性が発見され、

今回ニュースとなった、というものだ。



続報によれば、

指摘された脆弱性は、

NFC 経由でロボット内のシステムにアクセスできる

というものらしい。

卵型ロボ「Tapia」、家庭用モデルにも「変なホテル」と同じ脆弱性 NFC経由で乗っ取られる恐れ

NFC はその名の通り、

Near Field Communication

なので、近場からしか攻撃が成立しない。

まぁ、Blutooth の中継増幅器を使って

数キロ先から攻撃できる、なんて

事例も公表されたりしているが、

現実的なリスクとしては、

近距離からの攻撃のみを想定すればいいため、

家庭用の方はリスク判断として

大きな問題はないと思う。

一方、ホテルに置く、となると、話は別。

家庭内とは異なり、

ある宿泊客がシステムにアクセスして

不正なアプリを入れてしまえば、

その後同じ部屋に宿泊する人の

プライバシーはないに等しいものとなる。

よって、同じ脆弱性であっても、

利用環境次第では、リスクが大きく異なる。

特に、昨今の事例からも、

・スマートスピーカー越しに誰かに話しかけられた
・見守りカメラを勝手に操作された

など、プライバシーを侵害するような攻撃は、

心理的に大きな影響を与えるため、

大きく取り上げられることが多いし、

影響も大きい。

その意味で、ホテル側として、

すべての部屋から該当ロボットを

一旦撤去した、という対応と、

ロボット開発元もすぐさま脆弱性を

修正した、というのは、

よい対応なのだと思う。



一方で、指摘者に対する対応としては、

明らかにまずかったと思われる。

指摘を受けた後、調査をしたものの、

不正操作のリスクが少ない、との判断で、

報奨金目的の不審な連絡と結論付け、

報告者と接触を絶っていた、という点だ。

指摘を受け、調査した、という所までは、

ちゃんとリスクを理解して対応されていたのだと思う。

が、まずかったのは、

1. リスクを正しく認識できなかった

という点と、

2. 接触を断ってしまった

という点だと思う。

1 に関して、自分たちで調査して

見つからなかったのであれば、

報告者に対し、

「報告感謝する。我々では見つけきれなかった。
具体的な PoC や攻撃成功の証跡などはあるか?」

と確認すればよかったのではなかろうか?

また、万が一攻撃が可能であった場合、

どういうリスクがあるか、という所も、

少し見積もりが甘かったように思える。

こういったプライバシーが侵害される系の攻撃は、

一般的に嫌悪感を抱きやすいものであり、

そのため、メディアでも非常に取り上げられやすい。

一旦取り上げられてしまうと、

「あのホテルに泊まると覗かれる!?」

みたいな、一部風評的な被害が出てしまうことも

想定しておくべきだったのだと思う。

その意味で、リスクの見積もりが少し甘かったのは

否めないように思うし、仮に指摘が正しかったら、という

前提で動くべきだったと思う。

また、2 にしても、ひとまず

「ありがとう!」

という所から始まり、敵に回さないような

コミュニケーションがとれていれば、

こういった状況にはならなかっただろう。

悪意ある攻撃者だったら、というリスクは

もちろん理解できるが、そうなったら

その際に連絡を絶つなり、

別途警察に報告するなりすればよい話。

このあたり、もう少しうまいやり方が

あったように思う。



とまぁいろいろ書いてきたが、

個人的にホテル側を非難したいわけではなく、

うーん、惜しいなぁ、

という感じ。

リスク判断やその後の対応に

疑問を抱く点はあるものの、

全体としてはちゃんと対応しようとしていたのだし、

全く何にも考えずにほったらかしに

しておいたというような、

馬鹿じゃないの?

と思える対応をしていたわけではない。

大体、脆弱性なんて

見つからないほうが奇跡的

なぐらいで、

見つけようと思ったら

大体何かしらは見つかるものだ。

よって、ホテルの方々には、

これにめげることなく、

今回の件を糧として、

さらなるセキュリティ対応の向上に

勤めてもらえれば、などと勝手に思っている。

こういったことを通じて、

いろんな業種で全体的に

適切なセキュリティ対応が

なされている世の中になればよいな、と思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

じわじわ上昇!?情報処理安全確保支援士人気


■じわじわ上昇!?情報処理安全確保支援士人気

10 月 20 日はいよいよ、

情報処理安全確保支援士

の試験日。

受験生の皆さんには、

是非とも頑張っていただきたいと思う。

そんなさなかではあるが、

先日、情報処理安全確保支援士の

10 月度登録者数に関する発表が

IPA からあった。

情報処理安全確保支援士 2019年10月登録者の属性について

これによれば、

今回の登録者数は総勢 1,200 名とのこと。

前回の登録者数は 1,000 名強だったため、

200 名程度増加している。

また、直近試験の合格者による登録も増えており、

前回が合格者数 2,818 名中 679 名なのに対し、

今回は合格者数 2,744 名中 786 名となっている。

割合的にみても、

前回が 24% なのに対し、

今回は 28.6% となっている。

四人に一人程度しか登録していない、

という意味では、まだまだ、といった所だが、

これまで減少の一途だった登録者数が

今回初めて増加に転じたのは驚きだ。



では、なぜ登録者数は増加したのだろうか?

あくまで勝手な推測だが、

一つ目の理由としては、

『ようやく発生!?情報処理安全確保支援士になるメリット』

にも書いた通り、

情報処理安全確保支援士になるメリット

が具体的に提示されたことが考えられる。

これまでは、

1. 登録維持費用が三年で 14 万円と高額
2. 登録した所で明確なメリットがない

という所がピックアップされ、

試験は受けるが登録まではしない

という人が多かったように思う。

かく言う私もその一人だ。

これに対して、上述の通り、

情報処理安全確保支援士として

登録しない限りできない仕事

というのが明示的に示されたことで、

2 のデメリットが若干減少している。

とはいえ、正直まだ一件ぐらいだし、

2 のデメリットを解消するほどの

メリットだとは思えない。

ということで、一つ目の理由はほぼ影響がないかと思われる。



じゃぁなにが影響したのか?

こちらも明確な因果関係を示せるものではないが、

昨今のセキュリティ人材不足に関する

関心の高まりがあげられるのではないだろうか。

ここ一、二年、

・セキュリティ人材が不足している
・セキュリティ人材育成が急務

などといったニュースをよく目にするようになった。

例えば、

セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか

とか、総務省の

我が国のサイバーセキュリティ人材の現状について

とか、IPA の

情報セキュリティ人材の育成に関する基礎調査 結果概要

とかとかとか。

google 先生に

「セキュリティ人材」

と入れてお伺いを立ててみると、

まぁ 2018 年から 2019 年あたりの

記事がたくさん出てくる。
*一方で「いらない」なんて記事もでてくるが。

となると、

・セキュリティ人材になれれば、仕事がある
・セキュリティ人材になれれば、給料が上がる、転職できる

と思う人も増えるだろう。

そうなると、手っ取り早く、

セキュリティ人材

となる(示す)ためには、資格が有益だと考えるだろう。

しかも国家資格なら、そのアピール度はより高まる。

これにより、

情報処理安全確保支援士として登録する人

が増えてきたのではないだろうか。

まぁ、結局勝手な推測の域はでないわけだが。



ということで、結局明確な理由はわからないが、

事実として登録者数が増えている。

個人的には、喜ばしいことである。

これまでは減少の一途をたどっていたため、

下手をすると、このままどんどん

衰退していく恐れもあった。

しかしながら、

試験自体はよい内容であると思うし、

国家資格であることもあって、

名乗れるものなら名乗りたいものでもある。

よって、できればどこかで盛り返してもらい、

この制度自体が発展してほしかったからだ。

この増加がこの先も続くかどうか、

それはわからない。

ただ、前述のセキュリティ人材不足に対する

受験者側の需要増が理由であれば、

次回以降も期待できる状況ではある。

とはいえ、維持費が高いというデメリットは、

現時点で解消されていない。

経産省や IPA には、登録者数増に胡坐をかくことなく、

維持費の問題を今一度検討してもらいたいものだ。

ただ、そんなことにかかわらず、

明後日の試験に臨む方々には、

是非とも頑張って合格していただきたい。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: 情報処理安全確保支援士 | タグ: | コメントする

サイト開設からの軌跡(二年四ヶ月経過)


■サイト開設からの軌跡(二年四ヶ月経過)

サイト開設から二十八ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十八ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4
28 2019/09 12014 400 6203 2

記事数は過去最少。

たった 2 記事しかかけていない。

今月も新しいものに取り組めていないし、

ネタも少ないし、というのもあるが、

そもそも多忙でそれどころじゃなかった。

元々減少傾向にあった PV 数は、

当然のことながら相当減少。

ある意味一日 400 PV をキープできたのは

奇跡に近いかもしれない。

はてさて、どうやって立て直していこうか。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
metasploit の使い方

となり、先々月と変わらず。

それぞれの PV 数も、先々月と大差ない。

そして、前回の四位、五位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
ライブカメラ(監視カメラ)を作る!

は、各々順位が入れ替わったぐらい。

ただ、PV 数は落ちているため、

まぁこれ以降の記事で

PV 数減が発生したということだろう。

情報処理安全確保支援士関連の記事は

Index page である

情報処理安全確保支援士への道

が Top 10 陥落。

午後問題対策

が六位にランクアップしているが、

これは、

試験がいよいよ今月に迫っているから、

という季節要因だろう。

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

のみがランクイン。

PV 数は 100 減なので、

まぁ伸びたわけではない。

なかなか思い通りにはいかないもので。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage は使い勝手がありそうなのだが、
全然試せていない。ちょっと頑張ってみよう。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
Python 使うどころか、構想で止まってる。
うーん、時間が…。

・PHP 学習(未)
これも同上。



所感

先月は、記事もかけずメンテもできず、で

PV 数はダダ下がり。

まぁもうその辺は割り切って、

自分の勉強になることをやっていきたいが、

如何せん忙しい。

なんだこれは?ってぐらい。

自己成長の時間も確保したいんだけどなぁ。

セキュリティ技術については

結構迷い気味。

結局自分は何の技術を

身に着けるべきか?

なんかでちょっと混乱中。

まぁ一回リフレッシュして、

しっかり考えてみよう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする