私立プログラミングキャンプ2014東京大会

8月17日開催の私立・プログラミングキャンプ2014 東京大会に参加してきました!
セキュリティキャンプからのプログラミングキャンプということでとても充実した日々でした。

会場は株式会社オプティム様からの提供でした。オプティム様ありがとうございます!!
私立プログラミングキャンプでは、永遠と開発が続きます。
何を開発するのかは自由
何をするのも自由
OS組の文化であるお菓子も出てきて幸せな時間を過ごさせていただきました。
とはいえ、開発環境が整っていないパソコンだったため、開発環境を構築するところからやらなければならず、結局何も作り上げることはできませんでした…

途中、近くで炎上事件があったようで黒い煙が立ち上がっておりました。
車が炎上した模様…運転手は無事だったようでなによりです。

18時からは立食パーティをしながらのLT発表
ヒルン株式会社様から食事が提供されました。
ヒルン様ありがとうございます!!
LT発表もちろん発表させて頂きましたー
本当は認証の話をする予定だったのですが、炎上事件にちなんで炎上経験の話をさせて頂きました。
内容は…ヒミツです!
認証や暗号の話についてはまたいつかどこかでさせて頂けたらなと思います。

その他の発表について、記事にしていいのか確認とれていないので省略


今回のシプキャンは株式会社オプティム様、ゲヒルン株式会社様の提供で開催されたということで、楽しいひと時をありがとうございました!!
京都で開催される私立・プログラミングキャンプ 2014 関西大会はまだ募集中とのことです。
関西の人はこちらで参加すると楽しいひと時を送れるかと思います。

セキュリティキャンプ2014に参加しました

セキュリティキャンプ全国大会2014に見学+CTFに参加してきました。
参加者の方々に性格の悪さ、実力のなさ、大人げなさ、KY力を見せつけてきました!!(ダメなパターンです

途中からの参加だったのですが、各クラスすべてを見させていただきました。
クラス毎に雰囲気も内容も変わっていて、文化の違い(?)を体験させて頂きました。
プログラミングコースもといOS組の雰囲気はセキュアなシステムを作ろうクラスが引き継いでいてくれたのはとてもうれしかったです。

CTF参加については卒業生として参加させて頂きました。
2010年からキャンプでもCTFが開催されるようになったのですが、プログラミングコースはCTFに参戦していないので、初参戦でした。
卒業生枠としての参加メンバーはOS組3名(2010,2011,2012)でした。
結果はズタボロ…精進せねば!
自身の力不足を思い知らされるキャンプでした。

キャンプの内容については、書かないでおきます。
未来の参加者各位は参加した時の楽しみということで!


今年参加できなかった方々
次の開催まで1年あります。
選考は応募用紙だけで決まるわけではない(そんな気がしている…実際にどうかはわかりません)
参加したい!という気持ちを持っているならそれをうちに秘めておかずにアウトプットしましょう!

参加できなかった方々だけでなく、全員そうですね。
ということで、参加して密かに決心したこと「チューター倒す!!」です(笑)
そのためにも精進します!!

セキュリティキャンプ2014(ネットワーククラス応募用紙)

セキュリティキャンプ2014の応募が締め切られてました!
参加希望者は応募用紙をかけたのかどうか、とても気になるところです。

締め切られたので応募用紙を少しやってみました。

いろいろな人が抽出解説しているので必要ないかもしれませんがまずはネットワークの問題抽出に関して
まずはメモ帳で開いてみます。
意外と読める!
ネットワーク内のパケットを眺めたことがある人はすぐわかったと思いますが、wiresharkでパケットを右クリックの「Follow TCP Stream」と似てますねー
似てるというかそのまんまです…
つまり、これはpcapファイルだということがわかります。
なのでこれをWiresharkで開いてみます。
Wiresharkを起動して左上にある「File」から「Open」で開けます。
適当なパケットを右クリックの「Follow TCP Stream」からパケットを構成してみます。
すると中身が読めるようになるので眺めてみると….docと.txtのファイル名を発見!
と言ってもこのファイルをやり取りしているというわけではないのですけども…中身読んでみるとファイルのやり取りが行われているだろうなぁというのは予想可能できます。
パケット内からファイルを抽出できるか試みてみます。
「Follow TCP Stream」を閉じて、「File」→「Export Object」→「HTTP」を開いてみます。
少し待つと.txtファイルが見えるようになるので、これをどこかに「Save as」で保存すればファイル抽出完了
これで抽出したファイルを開いてみると…問題文が現れましたー!
意外と簡単すぎてとても唖然としているのですが…
抽出が出来た人にとって問題文は簡単なのではないかと思いつつ眺めてみます。

ん?何か見覚えがありますね…

基礎知識を問う問題は簡単ですね。
わからなくても検索すればわかります。
この程度なら解説してもいいのかな?ということでちょこっと解説
i)3wayハンドシェイクのことですねー
ii)通信の基本です。わからなかった人はポートスキャンの基本を勉強しましょう。
iii)簡単すぎる…Pingを考えてください。
iv)プロトコルが違います。
v)キャンプキャラバンin大阪で解説してくれたやつです。知らない人には難しい問題だと思うのですが…
vi)基本的なフラグメントですね。
vii)暗号するデメリットを理解していないとわからないのではないかなぁと思いつつ、個人的には最も答えられる問題。。。
暗号化にメリットがあるのは知られていますね。しかし、メリットだけならインターネットの通信であるHTTPをすべてHTTPSにすれば良いのに現実はそうではない。つまり、デメリットがあるということ!いろいろな視点から考えてみてください。
viii)「Follow TCP Stream」で一発



記述問題…気が付いたら暗号に関して永遠と書き綴っていた…

あれ?
OS組の卒業生なのになんでネットワークやってるんだろ…

Interop Tokyo 2014

Interopに参加してきました!!

本当にただ参加したという感じではありますが・・・

まず電車を間違えたり、駅からの道を間違えたり、講演の場所がわからない等々の理由で聞きたかったセッションなどを見逃すという失態をしてしまいました。
会場でキャンパーに会い助けてもらいました。感謝!!

そしてカルチャーショックを受けたことが…展示会をまわっているとアンケートの記入を求められるのですが、会社名の記載が必須だったのです。
企業人を対象にしているのだから当たり前と言えば当たり前ですが・・・ニートはどうすれば・・・


ニートには厳しい世界でしたが、聴講した内容を少しだけ記載してみます。
基調講演「強固なサイバーセキュリティーを実現するための4つの技術革新」についてです。
これもまたやらかしてしまって、通訳の機器を借りていなかったという…
途中で機器を借りましたがチャンネルの設定がわからず英語のまま聴講し続けていました。
英語がとっても苦手なのに何やってるんだ自分、、、とか思いながら聞いてたのでほとんど内容はわかってないです。
(本当に何やってるんだ自分!?)
そんな状態なので、もしかしたら内容が微妙に間違えてるかもしれません(^^;

ざっくばらんに気になったところだけ紹介します。
APT攻撃等は攻撃にある一定の反復プロセスを踏む必要があるのです。そのため、チームを組んでその反復プロセスをフォレンジックする必要がある。
しかし、従来のシグネチャベースの防御手法ではファイアウォールサンドボックス、IPS、HBIDS、フィルタリング、DLPというように、機器がどんどん追加されていって管理が困難になっている。そのため、次世代ファイアウォールが求められている。
このあたりがとても興味深かったです。
攻撃が多様化するにつれ、ファイアウォールだけでは不十分なため、IDSやIPS、他にも様々な機器が導入されていっています。
このままだと将来的には何個の機器が必要になってくることか・・・
さらに機器が増えればその分管理が難しくなるというデメリットも生まれてくるわけです。基調講演では、そのためにチームを組んで対応する必要があると述べられておりました。
そして従来のONやOFFだけの設定しか出来ないファイアウォールではなく、アプリケーション・コンテンツ・ユーザの識別ができる(=ダイヤルのように細かに設定できる)次世代ファイアウォールが必要だということでした。
また、こういった問題を受けてチームは戦術的なインシデント対応から戦略的なイノベーションチームになってきていると講演内で何度も仰っておられました。
確かにそれが実現すれば、機器が一つで済むため、管理が楽になりますし、コスト削減(?)にも繋がりそうですね。
今のままだと機器が増える一方なので、どこかでこの仕組みを変える必要はありそうです。


インシデントに関する発表と言えばFireEyeのプレゼンテーションもとても興味深かったですね。
サイバー攻撃の最前線から」というタイトルで、買収したMandiantが発行しているレポートについてでした。
プレゼン内容を簡単に言えば「インシデントの検知が困難になっているが、Mandiantは高い検知技術と分析力を兼ね備えている。詳しくはMandiant APT1 Reportに記載」です。
情報流出といったインシデント件数は増えているが、攻撃を発見するまでの期間は平均229日、最大2287日と発見まで時間がかかっている。つまり、検知が困難になっている。
詳細はMandiantが発行している「Mandiant Intelligence Center Report」のAPT1を読めば良いんですが、全部英語なので面倒です。
許可あれば全部訳そうかなぁ?とも考えていたりしますが、期待しないでください。
このレポートで一番注目なのはサイバー攻撃の攻撃グループを特定してどこから攻撃を仕掛けているか、さらに某国家がこのグループを支援しているところまで記載されているということ。さらにこれを受けて米国が中国人ハッカー5人を訴追したとか。
国の力は凄いですねー


今回のInteropで、サイバー戦争あり得るのではないかと(そもそも既に起こっている?)勘ぐっていたりします。
日本も負けていられませんね!ニートの力を終結して何とかしなければ!!

OWASP Night 12th

OWASP Nightに参加してきました!!
キャンセル待ちをして、なんとか参加にこぎつけました!!
絶対に無理だと思ったのですが、意外とキャンセルする人いるのですね。

内用についてはUSTREAMで配信されてますし、動画も公開されてるので、わざわざレポートを書く必要もないかなぁと言うことで適当に書きます。

OWASPの今後は、OWASP関西が出来たということで関西での活動も行う模様です。
それとX Security ProjectやOWASP CISO Survey・・・

DeNAの杉山さんからセキュリティ人材育成についての発表がありました。
DeNAのセキュリティメンバーは6名という少数精鋭で業務を行っている模様。。。
また、「セキュリティ人材」とは何か?→「フルスタックエンジニア(+セキュリティ知識)」になってないかということを言っておりました。
なってる感じがしますよねー。
そしてとても気になったのはDeNAが持つドキュメント!
ゲーム診断ならではの問題や脆弱性(?)等役立つと思われる情報をドキュメント化して社内および協業先で共有しているとのことで、この中身が一番気になるところです。


徳丸さんの発表は Rails SQL Injection Examplesだったのですが、RailsはおろかRubyですらない発表になっていたという印象
内容は高度(?)すぎたため解説できません><


実は今回の勉強会はちょっと立場の高い人と会ってしまったため、ずっと畏縮しておりました(^^;
見覚えのある人がいると怖いですねー
しかもエレベータでその方々と一緒になるという・・・何といって表現すれば良いのかわからない状態!
キャンパーの人もいたのですが途中で帰られていたので、お話をお伺いするこもできず、結局誰ともまともに話さずに帰ってきてしまいました。
動画公開ありで交流もせず帰るとは…何しに行ったのだろうか。

FP技能士3級(実技・個人)2014年5月試験

FP技能士3級を受けてきました!

正式名称はファイナンシャル・プランニング技能検定になります。
この資格は一般社団法人金融財政事情研究会(きんざい、金財)とNPO法人日本ファイナンシャル・プランナーズ協会(日本FP協会)の二団体が実施しております。
合格率で言えば後者の日本FP協会の方が高いようですが実態は不明。。。
試験は学科試験と実技試験があり、学科試験は二団体共に共通で、実技試験が団体によって違います。
きんざいが実施している実技試験は個人資産相談業務と保険顧客資産相談業務
日本FP協会が実施している実技試験は資産設計提案業務
違いについては詳しく知りません。
また、実技試験と言っても学科試験と同じくペーパー試験になります。
しかも選択問題なので運だけで合格も夢ではない!?

受験する際に悩んだのですが、名前的に個人資産相談業務を受験してみました。
受験した記念に過去問の解説を行おうと思います!

ちなみに受験したのはきんざいなので、きんざいの問題で解説します。
問題文を載せるのは問題かなーと思い、解説のみです。
過去問は各団体のWebページ上に公開されているのでそちらを参考にしてください。

また、学科試験は問題数が多いので問題数の少ない実技試験について書くことにしました。
解説しているわりに解説が合っているかどうかは調べてないので間違えていたらごめんなさい。


【第1問】
《問1》解答1
年金の支給に関する問題です。
年金の支給開始日は65歳〜で、問題文からAさんは厚生年金の受給資格があることがわかります。
見ただけで1が答えだとわかるのですが一応解説すると、特別支給の老齢厚生年金は昭和36年4月1日(女性の場合は昭和41年4月1日)以前に生まれていないともらえないので2ではないことがわかります。
振替加算は配偶者が加給年金を打ち切りになった時にもらうもので、そのような記載がないので3も違うことがわかります。
そのため、結果的に1が答えとなります。

《問2》解答2
年金の支給額計算に関する問題です。
年金を全納した場合、778,500円が支給額となります。
未納期間があると(480月-未納月数)/480月 となります。
設問では未納についてはないので満額もらえるように思えますが、全額免除期間があるので少し計算が変わります。
全額免除期間は納付期間の1/3になってしまうのです。
全額免除期間が60月なので480から60を引いて420月は全納、60月は全額免除なので60月×1/3これらをさらに480月で割るので答えは2になります。

《問3》解答1
これは間違えたくない問題です。
国民年金の付加保険料は月400円です。
そのため明らかに1が間違えだとわかります。
あとの文章を読む時間を節約できますね。


【第2問】
《問4》解答3
NISAに関する基礎的な問題です。
NISAは年間100万円までなのでこの時点で1ではないことがわかります。
またNISAでREITを購入することは出来るので2でもないことがわかります。購入できないのは公社債になります。
また、NISAでの損益か他と通算することは出来ないので答えは3になります。

《問5》解答2
投資信託を購入する場合の手数料は販売会社毎に違います。そのため1ではないことがわかります。
信託財産留保額は投資信託を途中で売却した場合のペナルティのことです。前半部分の説明は2の通りで良いのですが、設定されていない投資信託も多くあるので、すべての投資信託に設定されているというのが間違いになります。よって答えは2になります。
また、信託報酬も投資信託保有している間ずっと必要になります。そうしないと運用してくれている方々の利益が確保されません。

《問6》解答1
これはちょっと難しい問題ですね。
税金や手数料を考慮する必要がないので、見るべき資料はだけで良いことがわかります。
あとは最終利回りの計算式を思い出せるかどうかです。
式=(表面利率+(100円−購入価格)/残存期間)/購入価格×100
これを用いて計算すると答えは1だということがわかります。


【第3問】
《問7》解答3
一般扶養控除額が38万円ということで答えは3になります。
所得と給与は違うのと支払い地震保険料についての記載がないので1と2は違います。

《問8》解答2
確定申告に関する問題です。
確定申告は給与が2000万円を超える場合、給与や退職金以外の収入が20万円を超える場合に必要になります。また、確定申告の時期は2月16日〜3月15日までになります。
そのため、答えは2になります。

《問9》解答1



【第4問】
《問10》解答3
基本的に規制は厳しい方が優先されます。
第一種と第二種だと第一種が優先されます。準防火地域と防火地域だと防火地域が優先されます。そのため答えは3になります。
また、防火地域での建ぺい率は10%となります。

《問11》解答2
不動産取得税は相続では課されません。よって1ではないことがわかります。
所有権移転登記は市区町村役場ではなく法務局なので、答えは2になります。
また、登録免許税は所有権移転登記で課されるので3でもないことがわかります。

《問12》解答2
選択肢では第一種と第二種で計算を分けて考えています。
第一種の15×15=225となります。さらに指定容積率が100%なので225×100%=225
第二種も同様に計算すると150
二つを足して375になります。
そのため、2が答えになります。


【第5問】
《問13》解答3
相続に関する基本ですね。
法定相続分配偶者が1/2で残りの1/2を子が平等に分けるということで答えは3になります。
ちなみに残留分は法定相続分のさらに1/2になります。
また、配偶者や子がいない場合はさらに計算が変わることに注意して下さい。

《問14》解答2
選択肢2の通りの説明になります。
注意が必要なのは、特例を受ける場合でも、敷地を保有する必要はないことです。

《問15》解答3
相続における基礎控除額の計算に関しての問題です。
とりあえず計算としては5000万円+1000万円×相続人になります。
この場合の相続人は妻Bさん、長男Dさん、長女Eさんの3人なので5000万円+3000万円=8000万円ということで答えは3になります。
また、相続放棄した人がいた場合にも相続人ではあるため、基礎控除額は変わりません。


過去問との比較が出来ないので出題傾向などの分析はできていませんが、受験した感想としては基礎的な内容だったなと思います。
個人資産相談業務という名前の通り、身近なことが問題になっているように感じます。
わからない問題があった場合でも知っておいた方が良いことばかりが出題されているので、もしよければ受験してみるのはいかがでしょうか。

セキュリティ・キャンプ全国大会2014募集開始

セキュリティ・キャンプ全国大会2014の募集が開始しました!!

とりあえず概要と応募用紙を確認・・・

クラス分けは
・ソフトウェアセキュリティクラス
・WEBセキュリティクラス
・ネットワークセキュリティクラス
・セキュアなシステムを作ろうクラス
上記4クラス

セキュアなシステムを作ろうクラスはゼミ毎に内容が分かれており
・OSECPU-VMゼミ
・組込みのセキュリティを考えるゼミ
・OSの見える化を考えるゼミ
・システムソフトウェアゼミ
ルーター自作ゼミ
上記5ゼミ

参加希望者にとって一番気になるのは応募用紙かな?
ということで全クラスの応募用紙を眺めてみました
問題を解説するとさすがに問題ありそうなので思ったことを書きます。

プログラミングはとりあえず読もう!
難読なプログラミングはないので読めばどういう処理がしたいのかある程度読み取れるはずー
一見わからなくても一つ一つ関数から調べると何となくは理解できるはずです!!

バイナリは慣れてる人には簡単だろうけど初見の人には難しそうですねー
一定の規則性があるのでそこから読み解けば・・・

人によっては一番問題になるのはネットワークセキュリティクラスかな?
そもそも問題文を抽出できないという人が必ず現れると予想しています。
ちゃんと抽出していないのですが見た感じだと意外とシンプル
抽出できない!と思ってる人、あきらめるな!とりあえず中身を見よう!!
文系の人なら応募用紙内の文章から読み解けばファイルから問題文を抽出するヒントを得ることは出来るかも??


どうしても書けないという人
とりあえず応募理由や意欲やアピールを書くところにいろいろと書きましょう。
文字制限がないので選ぶ側が読むの嫌になるほどながーく書いても大丈夫!!
わからない部分はどこまで、どの範囲がわかっているのか
何がわからないのかを明確にして
とりあえず書きましょう!!
書かないことにははじまらない!!

応募用紙は期間内なら何度でも再提出できるので書いて書いて書いてカキカキして応募・再応募・再々応募・・・と繰り返して・・・
(こう言っておいてなんですが、とりあえず書けばいいというわけではないので、書いた後に文章としてつながりがないとか誤字脱字などがないように見直しもするようにしましょう)

そうそう
Yahoo!知恵袋とか他人に答えを聞くようなことはしないように!
そもそも他力本願で運良く参加したところで、参加後に辛い思いをするよ?
前のブログにも書きましたがやるとバレて確実に参加できません。
それよりはどこまでわかるのか、どこからわからないのかを明確にしてそれを記述したほうが良いのではないか?
わからないならその後どうしようと思っているのか、応募期間終了後からキャンプ開催までの間にも時間があるのだからそこで何できるのか?何をするのか?これらを考えてください。



個人的なことですが、応募用紙みてて感じたこと
参加資格ないけど「参加したい!!」と思ってしまった。
それはルーター自作ゼミ!
特にテーマ2の「自作の暗号化方式を使ったVPNルーターを作ってみよう」に魅力を感じている。
暗号!暗号!!暗号!!!
線形代数やペアリングを用いて暗号組み込んでVPNを構築
IBEやPBEを組み込めばなんと!!と考えていたりします。
応募資格を確認したら「22歳以下の学生・生徒」・・・年齢は16進数表記で余裕なのに職業が「学生・生徒」となっててニートはダメな模様・・・
そもそもキャンプ卒業生は参加できないとなってて涙目
参加したいー!!