Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
板前のご紹介
中
島
明
日
香
‣高校生時代にセキュリティに出会う
‣NTTセキュアプラットフォーム研究所
‣SECCON実行委員/CTF for GIRLS
‣セキュリティコンテストに関わる
CTF/Hardening/MWS Cup/IW...
本日のネタ
IT技術の基礎知識・技能
この分野の
知識・技能
セキュリティ
技術・知識
セキュリティ関係の基礎知識・情報
先端的知識
セキュリティ技術者の知識体系(概要図) 例
ソフトウェア WEB ネットワーク分野
基礎
応用
基礎的な知識・技能を習得する
■基礎知識・技能習得の教材等
‣資格:I Tパスポート/基本情報技術者
‣書籍: 絵本シリーズ [アンク社](例:パソコンの仕組みの絵本)
‣オンライン学習サイト: ドットインストール/CodeAcademy
‣学...
セキュリティの基礎知識・情報
■基礎知識習得の教材
‣資格: 情報セキュリティスペシャリスト/(社会人)CISSP?
‣書籍: 情報セキュリティ白書等?
‣学校:大学の授業(例:情報と倫理、情報セキュリティ論)
教材・サイトは充実/ニュースサイ...
余談1:人の学び方・モチベーションについて
参考資料
http://learningpatterns.sfc.keio.ac.jp/ラーニングパターン
上達の法則 –効率のよい努力を科学する-【書籍】
学び方
インプット
‣書籍を読む
‣勉強会...
余談1:周りに聞いてみました!ケース1
学び方
インプット 95%
アウトプット 5%(飲み会)
動機
内発的動機 100%
外発的動機 0%
■(バイナリ大好き)セキュリティキャンプ講師の某氏
余談1:周りに聞いてみました!ケース2
学び方
インプット 65%
アウトプット 35%
動機
内発的動機 70%
外発的動機 30%
■(XSS大好き)セキュリティキャンプチューター某氏
特定分野の知識・技能
■どうするか?
‣必要な知識体系とは何なのか?
‣技能習得の手法とは?
‣知識習得の資料や教材は?(良書は?)
‣最近ではまとめ的なサイトがかなり充実してきてる
(例)新人ネットワークエンジニアが読むべき本6冊~
‣基本的...
特定分野の知識・技能 [ソフトウェア]
■知識体系(例)
‣アセンブラの知識(x86,x86-64,ARM)
‣プログラミング力/開発経験
■技能・経験
‣コンパイラの知識(gcc,vc,最適化)
‣実行ファイルの知識(PE, ELF)
‣ID...
特定分野の知識・技能 [ソフトウェア]
■書籍 (例)
‣はじめて読む486
‣The IDA pro Book (第二版)
‣リバースエンジニアリングバイブル ~コード再創造の美学~
‣たのしいバイナリの歩き方
‣Linkers&Loader...
特定分野のセキュリティ技術・知識の習得
‣中々文献が無い(あったとしても海外の文献)
■どうするか?
■この段階での問題点
‣トレーニングの受講/SANS/Blackhat/セキュリティ会社
‣知っている人が限られてくる
‣習得も難しくなる
‣...
特定分野のセキュリティ技術・知識の習得
知識体系(例)
技能・経験(例)
‣BufferOverFlow/Use-after-free/FormatStringsBug
‣ASLR/DEP/StackCanary/SEHOP
‣Fuzzing
...
特定分野のセキュリティ技術・知識の習得
書籍(例)
その他(例)
‣HACKING 美しき策謀 第二版
‣ハッカープログラミング大全 攻撃編
‣アナライジングマルウェア(宣伝?w)
‣The Shellcoder’s Handbook(私は読ん...
特定分野の先端的な知識・情報
論文/カンファレンス(カンファレンス動画)
‣産業系:Blackhat/DEFCON/RECON/CODEBLUE
‣Reddit (ReverseEngineering)/Kernelmode.info
‣凄い人...
特定分野の先端的な知識・情報
先端的な情報・知識(例)
‣Intel PIN
‣シンボリック実行/コンコリック実行(脆弱性に)
‣テイント解析
‣JOP/SROPとか
‣Automatic Exploit Generation
学生時代 学校/研究室編
http://researchmap.jp/jopbd3chs-16769/
‣「情報セキュリティ関連の大学研究室Webサイトをまとめてみた」
情報セキュリティ専門
情報セキュリティ人材育成コース(大学院)
‣ Sec...
学生時代 活動編 (勉強と経験を兼ねて)
支援制度/スポンサー付活動/短期プロジェクト
インターンシップ
‣すごうで(EpsilonDelta) /Tachikoma
‣未踏プロジェクト/サイボウズ・ラボユース/GSoC
‣日本MS セキュリテ...
セキュリティ技術者になる/選択肢の話
‣外的キャリア
‣内的キャリア
なぜ働くのか、何のために働くのか、なぜ
その仕事をしたいのかなど、仕事や働き方に
対する個人の主観的な評価や認識
具体的な職種・職位・技能・実績など
客観的に把握できる職業上...
内的キャリア:基本的には自分がどう生きたいか
→自分の管理が若干甘い(会社勤めなどある程度の束縛が欲しい)
→裁量が多いと嬉しい/定型的な業務のみだとキツイ
→キーワード:マルウェア、脆弱性、インシデントレスポンス
→給料/残業等は気にしない
...
就職編:就活
‣セキュリティ業種以外[PG/NW]
‣セキュリティベンダー [AVソフトとか]
‣IT企業のセキュリティ部門
海外
‣セキュリティサービス/コンサルティング
‣高いセキュリティが求められる会社?
‣某アンチウィルスソフト会社に応...
就職編:起業
‣FFRI
‣ネットエージェント
‣HASHコンサルティング
‣ゲヒルン
‣TRICORDER
‣何処かでキャリアを積んでから
‣キャンプ卒業生が起業した例も
就職編:自宅セキュリティ技術者
バグハンター
脆弱性報奨金制度の充実化により可能
https://bugcrowd.com/list-of-bug-bounty-programs
■ The Bug Bounty List
‣[日本]サイボウズ...
(おまけ)アンダーグラウンドな世界
‣ボットネットのハーダー
‣ゼロデイの売買
‣スパム業者
‣マルウェア/ExploitKitの製作者
‣「なにしてますか?忙しいですか?」中の人w
※ 冗談なので良い子はマネしないでください
(最後に)個人的な心がけ
‣迷ったら難しいほうを選択する
‣出来るか出来ないかではなく、やるか
やらないか(とりあえず飛び込んで見る)
‣自分のやりたい事を公言しておく
‣口だけ、行動だけにならないように
最近の例:CTF for GIRLS
ご来店ありがとうごいました
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Nächste SlideShare
Wird geladen in …5
×

2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-

22.437 Aufrufe

Veröffentlicht am

2014年10月に江戸前セキュリティ勉強会で発表させていただいた資料。テーマは「セキュリティ技術者になるには」です。

Veröffentlicht in: Technologie
  • Loggen Sie sich ein, um Kommentare anzuzeigen.

2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-

  1. 1. 板前のご紹介 中 島 明 日 香 ‣高校生時代にセキュリティに出会う ‣NTTセキュアプラットフォーム研究所 ‣SECCON実行委員/CTF for GIRLS ‣セキュリティコンテストに関わる CTF/Hardening/MWS Cup/IWSEC Cup ソフトウェアの脆弱性について研究 ‣キャンプ卒業生/チューター バイナリ解析クラス卒2009/ソフトウェアセキュリティ2014 小説「Project SEVEN」を読んで
  2. 2. 本日のネタ
  3. 3. IT技術の基礎知識・技能 この分野の 知識・技能 セキュリティ 技術・知識 セキュリティ関係の基礎知識・情報 先端的知識 セキュリティ技術者の知識体系(概要図) 例 ソフトウェア WEB ネットワーク分野 基礎 応用
  4. 4. 基礎的な知識・技能を習得する ■基礎知識・技能習得の教材等 ‣資格:I Tパスポート/基本情報技術者 ‣書籍: 絵本シリーズ [アンク社](例:パソコンの仕組みの絵本) ‣オンライン学習サイト: ドットインストール/CodeAcademy ‣学校:大学の授業(例:情報基礎・コンピューター基礎) ‣その他: Linux/PC自作/管理者になる 基礎的な知識・技能を学ぶ教材・サイトは充実
  5. 5. セキュリティの基礎知識・情報 ■基礎知識習得の教材 ‣資格: 情報セキュリティスペシャリスト/(社会人)CISSP? ‣書籍: 情報セキュリティ白書等? ‣学校:大学の授業(例:情報と倫理、情報セキュリティ論) 教材・サイトは充実/ニュースサイトも充実 ‣会社:研修 ■情報収集 ‣ニュースサイト:ScanNetSecurity/ITpro(Security) ‣まとめサイト:Twitterセキュリティネタまとめ/piyolog
  6. 6. 余談1:人の学び方・モチベーションについて 参考資料 http://learningpatterns.sfc.keio.ac.jp/ラーニングパターン 上達の法則 –効率のよい努力を科学する-【書籍】 学び方 インプット ‣書籍を読む ‣勉強会に参加 アウトプット ‣勉強会で発表/書籍執筆 ‣Webサイト/ブログ/Github 動機 内発的動機 ‣脆弱性の仕組みが気になる ‣バイナリ眺めてるのが楽しい 外発的動機 ‣CTFで優勝したい ‣賞金が欲しい
  7. 7. 余談1:周りに聞いてみました!ケース1 学び方 インプット 95% アウトプット 5%(飲み会) 動機 内発的動機 100% 外発的動機 0% ■(バイナリ大好き)セキュリティキャンプ講師の某氏
  8. 8. 余談1:周りに聞いてみました!ケース2 学び方 インプット 65% アウトプット 35% 動機 内発的動機 70% 外発的動機 30% ■(XSS大好き)セキュリティキャンプチューター某氏
  9. 9. 特定分野の知識・技能 ■どうするか? ‣必要な知識体系とは何なのか? ‣技能習得の手法とは? ‣知識習得の資料や教材は?(良書は?) ‣最近ではまとめ的なサイトがかなり充実してきてる (例)新人ネットワークエンジニアが読むべき本6冊~ ‣基本的には上級者の人に聞くのが一番早い ‣研究室の先輩/勉強会で詳しそうな人/人のブログ/大学の授業 (IT勉強会カレンダー) ■この段階での疑問点
  10. 10. 特定分野の知識・技能 [ソフトウェア] ■知識体系(例) ‣アセンブラの知識(x86,x86-64,ARM) ‣プログラミング力/開発経験 ■技能・経験 ‣コンパイラの知識(gcc,vc,最適化) ‣実行ファイルの知識(PE, ELF) ‣IDA/デバッガ(Ollydbg)の使い方 ‣リンカ・ローダの知識 ‣OS・CPU・メモリの知識
  11. 11. 特定分野の知識・技能 [ソフトウェア] ■書籍 (例) ‣はじめて読む486 ‣The IDA pro Book (第二版) ‣リバースエンジニアリングバイブル ~コード再創造の美学~ ‣たのしいバイナリの歩き方 ‣Linkers&Loaders ‣インサイドWindows ‣各種プログラミング書 ‣デバッガ等自作/ゲームのチー(ry/CTF/Crackme ■勉強方法(例) ‣Reverse engineering for Beginners(無料電子書籍)
  12. 12. 特定分野のセキュリティ技術・知識の習得 ‣中々文献が無い(あったとしても海外の文献) ■どうするか? ■この段階での問題点 ‣トレーニングの受講/SANS/Blackhat/セキュリティ会社 ‣知っている人が限られてくる ‣習得も難しくなる ‣尖った人材育成の場/キャンプ/SECCON ‣[先端をいく人]が開催する勉強会に参加(Slideshare) ‣英語で検索しまくってみる/CTFのWriteupを検索[英語] ‣分野に関連した博士論文?(背景・関連技術の章)
  13. 13. 特定分野のセキュリティ技術・知識の習得 知識体系(例) 技能・経験(例) ‣BufferOverFlow/Use-after-free/FormatStringsBug ‣ASLR/DEP/StackCanary/SEHOP ‣Fuzzing ‣ExploitWriting ‣パッカー/難読化/解析妨害 ‣セキュアコーディング ‣Shellcode Writing(ret2libc/ROP)
  14. 14. 特定分野のセキュリティ技術・知識の習得 書籍(例) その他(例) ‣HACKING 美しき策謀 第二版 ‣ハッカープログラミング大全 攻撃編 ‣アナライジングマルウェア(宣伝?w) ‣The Shellcoder’s Handbook(私は読んでないが・・) https://www.corelan.be/index.php/articles/ http://opensecuritytraining.info/Training.html ‣The Corelan Team ‣OpenSecurityTraining http://inaz2.hatenablog.com/ ‣ももいろテクノロジー
  15. 15. 特定分野の先端的な知識・情報 論文/カンファレンス(カンファレンス動画) ‣産業系:Blackhat/DEFCON/RECON/CODEBLUE ‣Reddit (ReverseEngineering)/Kernelmode.info ‣凄い人が来日したら話しかけてみる/渡米 ‣自ら最先端になること ‣アカデミック系:UsenixSecurity/IEEES&P/ACM CCS 海外の掲示板/ブログ(例) Twitter/Facebook ‣第一線の人/その人がフォローしているアカウント
  16. 16. 特定分野の先端的な知識・情報 先端的な情報・知識(例) ‣Intel PIN ‣シンボリック実行/コンコリック実行(脆弱性に) ‣テイント解析 ‣JOP/SROPとか ‣Automatic Exploit Generation
  17. 17. 学生時代 学校/研究室編 http://researchmap.jp/jopbd3chs-16769/ ‣「情報セキュリティ関連の大学研究室Webサイトをまとめてみた」 情報セキュリティ専門 情報セキュリティ人材育成コース(大学院) ‣ SecCap (JAIST/NAIST/慶應大/IISEC/東北大) ‣ ISSスクエア(東大/中央大/IISEC) ‣情報セキュリティ大学院大学(IISEC) 大学の情報セキュリティ系研究室 最近は専門学校でも、セキュリティ学科が・・・ 自分の時は大学の先輩に聞いて武田研究室に出会った 海外 ‣カーネギーメロン大学等
  18. 18. 学生時代 活動編 (勉強と経験を兼ねて) 支援制度/スポンサー付活動/短期プロジェクト インターンシップ ‣すごうで(EpsilonDelta) /Tachikoma ‣未踏プロジェクト/サイボウズ・ラボユース/GSoC ‣日本MS セキュリティレスポンスセンター 2ヶ月 (自分) ‣JPCERT/CC 解析センター 2ヶ月 (自分) ‣JNSAインターンシップ/海外インターンショップ(例:Facebook) ‣[弊社]「マルウェアの通信先の悪性判定に関する調査」 アルバイト ‣人づてで?(知り合い) ‣ソフトウェアテスト/ネットワークエンジニア補助(自分)
  19. 19. セキュリティ技術者になる/選択肢の話 ‣外的キャリア ‣内的キャリア なぜ働くのか、何のために働くのか、なぜ その仕事をしたいのかなど、仕事や働き方に 対する個人の主観的な評価や認識 具体的な職種・職位・技能・実績など 客観的に把握できる職業上の経歴
  20. 20. 内的キャリア:基本的には自分がどう生きたいか →自分の管理が若干甘い(会社勤めなどある程度の束縛が欲しい) →裁量が多いと嬉しい/定型的な業務のみだとキツイ →キーワード:マルウェア、脆弱性、インシデントレスポンス →給料/残業等は気にしない →コミュニティに関わっていけるか(CTF,キャンプ) →その他、個人的な事情・願望・自分の性格の都合 →周囲に凄いセキュリティ技術者がいるか否か →技術的な所に関わっていきたい(専門家になれるか) →自分の個人名で成果が出せる所 or 大勢の人に貢献できること 生き方が分からないと、どんな職に就けば良いのかも分からない 個人的な例
  21. 21. 就職編:就活 ‣セキュリティ業種以外[PG/NW] ‣セキュリティベンダー [AVソフトとか] ‣IT企業のセキュリティ部門 海外 ‣セキュリティサービス/コンサルティング ‣高いセキュリティが求められる会社? ‣某アンチウィルスソフト会社に応募→面接 (自分) ‣海外就職用相談窓口も無く、履歴書作成すら大変 ‣独立行政法人/警察とか?
  22. 22. 就職編:起業 ‣FFRI ‣ネットエージェント ‣HASHコンサルティング ‣ゲヒルン ‣TRICORDER ‣何処かでキャリアを積んでから ‣キャンプ卒業生が起業した例も
  23. 23. 就職編:自宅セキュリティ技術者 バグハンター 脆弱性報奨金制度の充実化により可能 https://bugcrowd.com/list-of-bug-bounty-programs ■ The Bug Bounty List ‣[日本]サイボウズ/mixi(過去) ‣[海外]Google/Microsoftとか これから? クラウドソーシング? →(どこか忘れたが)脆弱性診断の仕事を募集している人が →脆弱性報告の報奨金だけで年間600万以上稼いだ方も
  24. 24. (おまけ)アンダーグラウンドな世界 ‣ボットネットのハーダー ‣ゼロデイの売買 ‣スパム業者 ‣マルウェア/ExploitKitの製作者 ‣「なにしてますか?忙しいですか?」中の人w ※ 冗談なので良い子はマネしないでください
  25. 25. (最後に)個人的な心がけ ‣迷ったら難しいほうを選択する ‣出来るか出来ないかではなく、やるか やらないか(とりあえず飛び込んで見る) ‣自分のやりたい事を公言しておく ‣口だけ、行動だけにならないように 最近の例:CTF for GIRLS
  26. 26. ご来店ありがとうごいました

×