Enviar pesquisa
Carregar
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
•
82 gostaram
•
22,988 visualizações
Asuka Nakajima
Seguir
2014年10月に江戸前セキュリティ勉強会で発表させていただいた資料。テーマは「セキュリティ技術者になるには」です。
Leia menos
Leia mais
Tecnologia
Vista de apresentação de diapositivos
Denunciar
Compartilhar
Vista de apresentação de diapositivos
Denunciar
Compartilhar
1 de 39
Baixar agora
Baixar para ler offline
Recomendados
Protocol Buffers 入門
Protocol Buffers 入門
Yuichi Ito
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
MongoDBの監視
MongoDBの監視
Tetsutaro Watanabe
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
Seiya Mizuno
Recomendados
Protocol Buffers 入門
Protocol Buffers 入門
Yuichi Ito
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
MongoDBの監視
MongoDBの監視
Tetsutaro Watanabe
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
Seiya Mizuno
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
OS入門
OS入門
Shuntaro Saiba
Glibc malloc internal
Glibc malloc internal
Motohiro KOSAKI
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
ChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdf
Zenji Kanzaki
あなたのところに専用線が届くまで
あなたのところに専用線が届くまで
Tomohiro Sakamoto(Onodera)
NTT DATA と PostgreSQL が挑んだ総力戦
NTT DATA と PostgreSQL が挑んだ総力戦
NTT DATA OSS Professional Services
Dockerライフサイクルの基礎 地雷を踏み抜けろ!
Dockerライフサイクルの基礎 地雷を踏み抜けろ!
Masahito Zembutsu
SFUの話
SFUの話
tnoho
忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver
Masahito Zembutsu
MLOps に基づく AI/ML 実運用最前線 ~画像、動画データにおける MLOps 事例のご紹介~(映像情報メディア学会2021年冬季大会企画セッショ...
MLOps に基づく AI/ML 実運用最前線 ~画像、動画データにおける MLOps 事例のご紹介~(映像情報メディア学会2021年冬季大会企画セッショ...
NTT DATA Technology & Innovation
エンジニアなら知っておきたい「仮想マシン」のしくみ (BPStudy38)
エンジニアなら知っておきたい「仮想マシン」のしくみ (BPStudy38)
Takeshi HASEGAWA
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
WebRTCの技術解説 公開版
WebRTCの技術解説 公開版
Contest Ntt-west
『SHOWROOM』の大規模化に伴う技術課題のソリューション ~演者・視聴者の熱量を支える負荷対策、HTML5対応など~
『SHOWROOM』の大規模化に伴う技術課題のソリューション ~演者・視聴者の熱量を支える負荷対策、HTML5対応など~
DeNA
分散システムの限界について知ろう
分散システムの限界について知ろう
Shingo Omura
Lightweight Keycloak
Lightweight Keycloak
Hiroyuki Wada
Kosenconf sendai2
Kosenconf sendai2
Yutaka Watanabe
OSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
pinksawtooth
Mais conteúdo relacionado
Mais procurados
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
OS入門
OS入門
Shuntaro Saiba
Glibc malloc internal
Glibc malloc internal
Motohiro KOSAKI
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
ChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdf
Zenji Kanzaki
あなたのところに専用線が届くまで
あなたのところに専用線が届くまで
Tomohiro Sakamoto(Onodera)
NTT DATA と PostgreSQL が挑んだ総力戦
NTT DATA と PostgreSQL が挑んだ総力戦
NTT DATA OSS Professional Services
Dockerライフサイクルの基礎 地雷を踏み抜けろ!
Dockerライフサイクルの基礎 地雷を踏み抜けろ!
Masahito Zembutsu
SFUの話
SFUの話
tnoho
忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver
Masahito Zembutsu
MLOps に基づく AI/ML 実運用最前線 ~画像、動画データにおける MLOps 事例のご紹介~(映像情報メディア学会2021年冬季大会企画セッショ...
MLOps に基づく AI/ML 実運用最前線 ~画像、動画データにおける MLOps 事例のご紹介~(映像情報メディア学会2021年冬季大会企画セッショ...
NTT DATA Technology & Innovation
エンジニアなら知っておきたい「仮想マシン」のしくみ (BPStudy38)
エンジニアなら知っておきたい「仮想マシン」のしくみ (BPStudy38)
Takeshi HASEGAWA
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
WebRTCの技術解説 公開版
WebRTCの技術解説 公開版
Contest Ntt-west
『SHOWROOM』の大規模化に伴う技術課題のソリューション ~演者・視聴者の熱量を支える負荷対策、HTML5対応など~
『SHOWROOM』の大規模化に伴う技術課題のソリューション ~演者・視聴者の熱量を支える負荷対策、HTML5対応など~
DeNA
分散システムの限界について知ろう
分散システムの限界について知ろう
Shingo Omura
Lightweight Keycloak
Lightweight Keycloak
Hiroyuki Wada
Mais procurados
(20)
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
OS入門
OS入門
Glibc malloc internal
Glibc malloc internal
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
ChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdf
あなたのところに専用線が届くまで
あなたのところに専用線が届くまで
NTT DATA と PostgreSQL が挑んだ総力戦
NTT DATA と PostgreSQL が挑んだ総力戦
Dockerライフサイクルの基礎 地雷を踏み抜けろ!
Dockerライフサイクルの基礎 地雷を踏み抜けろ!
SFUの話
SFUの話
忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver
MLOps に基づく AI/ML 実運用最前線 ~画像、動画データにおける MLOps 事例のご紹介~(映像情報メディア学会2021年冬季大会企画セッショ...
MLOps に基づく AI/ML 実運用最前線 ~画像、動画データにおける MLOps 事例のご紹介~(映像情報メディア学会2021年冬季大会企画セッショ...
エンジニアなら知っておきたい「仮想マシン」のしくみ (BPStudy38)
エンジニアなら知っておきたい「仮想マシン」のしくみ (BPStudy38)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
WebRTCの技術解説 公開版
WebRTCの技術解説 公開版
『SHOWROOM』の大規模化に伴う技術課題のソリューション ~演者・視聴者の熱量を支える負荷対策、HTML5対応など~
『SHOWROOM』の大規模化に伴う技術課題のソリューション ~演者・視聴者の熱量を支える負荷対策、HTML5対応など~
分散システムの限界について知ろう
分散システムの限界について知ろう
Lightweight Keycloak
Lightweight Keycloak
Semelhante a 2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Kosenconf sendai2
Kosenconf sendai2
Yutaka Watanabe
OSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
pinksawtooth
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編
Toru Makabe
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
「情報処理技術者試験。H28年度春期からの“情報セキュリティマネジメント試験”と,SC試験合格者“登録制度”の動向」
「情報処理技術者試験。H28年度春期からの“情報セキュリティマネジメント試験”と,SC試験合格者“登録制度”の動向」
Naoki MURAYAMA
coinsLT #0
coinsLT #0
Yutaka Watanabe
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
CTFの布教
CTFの布教
FPC_COMMUNITY
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
michiaki ito
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
Pycon mini20190511 pub
Pycon mini20190511 pub
Shogo Matsumoto
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
Asuka Nakajima
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
Tomohiko Yamakawa
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
Mickey pac sec2016_final_ja
Mickey pac sec2016_final_ja
PacSecJP
情報セキュリティ講習会2016
情報セキュリティ講習会2016
Naoki Kato
ネットワーク基礎 - WEBページが表示されるまで
ネットワーク基礎 - WEBページが表示されるまで
Shinnosuke Tokuda
Semelhante a 2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
(20)
Kosenconf sendai2
Kosenconf sendai2
OSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
「情報処理技術者試験。H28年度春期からの“情報セキュリティマネジメント試験”と,SC試験合格者“登録制度”の動向」
「情報処理技術者試験。H28年度春期からの“情報セキュリティマネジメント試験”と,SC試験合格者“登録制度”の動向」
coinsLT #0
coinsLT #0
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
CTFの布教
CTFの布教
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Pycon mini20190511 pub
Pycon mini20190511 pub
Mix Leap 0214 security
Mix Leap 0214 security
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Mickey pac sec2016_final_ja
Mickey pac sec2016_final_ja
情報セキュリティ講習会2016
情報セキュリティ講習会2016
ネットワーク基礎 - WEBページが表示されるまで
ネットワーク基礎 - WEBページが表示されるまで
Mais de Asuka Nakajima
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
Asuka Nakajima
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
Asuka Nakajima
技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine
Asuka Nakajima
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
第二回CTF勉強会資料
第二回CTF勉強会資料
Asuka Nakajima
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
Asuka Nakajima
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
Asuka Nakajima
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
Asuka Nakajima
Mais de Asuka Nakajima
(8)
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
第二回CTF勉強会資料
第二回CTF勉強会資料
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
1.
2.
板前のご紹介 中 島 明 日 香 ‣高校生時代にセキュリティに出会う ‣NTTセキュアプラットフォーム研究所 ‣SECCON実行委員/CTF for GIRLS ‣セキュリティコンテストに関わる CTF/Hardening/MWS
Cup/IWSEC Cup ソフトウェアの脆弱性について研究 ‣キャンプ卒業生/チューター バイナリ解析クラス卒2009/ソフトウェアセキュリティ2014 小説「Project SEVEN」を読んで
3.
本日のネタ
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
IT技術の基礎知識・技能 この分野の 知識・技能 セキュリティ 技術・知識 セキュリティ関係の基礎知識・情報 先端的知識 セキュリティ技術者の知識体系(概要図) 例 ソフトウェア WEB
ネットワーク分野 基礎 応用
16.
基礎的な知識・技能を習得する ■基礎知識・技能習得の教材等 ‣資格:I Tパスポート/基本情報技術者 ‣書籍: 絵本シリーズ
[アンク社](例:パソコンの仕組みの絵本) ‣オンライン学習サイト: ドットインストール/CodeAcademy ‣学校:大学の授業(例:情報基礎・コンピューター基礎) ‣その他: Linux/PC自作/管理者になる 基礎的な知識・技能を学ぶ教材・サイトは充実
17.
セキュリティの基礎知識・情報 ■基礎知識習得の教材 ‣資格: 情報セキュリティスペシャリスト/(社会人)CISSP? ‣書籍: 情報セキュリティ白書等? ‣学校:大学の授業(例:情報と倫理、情報セキュリティ論) 教材・サイトは充実/ニュースサイトも充実 ‣会社:研修 ■情報収集 ‣ニュースサイト:ScanNetSecurity/ITpro(Security) ‣まとめサイト:Twitterセキュリティネタまとめ/piyolog
18.
余談1:人の学び方・モチベーションについて 参考資料 http://learningpatterns.sfc.keio.ac.jp/ラーニングパターン 上達の法則 –効率のよい努力を科学する-【書籍】 学び方 インプット ‣書籍を読む ‣勉強会に参加 アウトプット ‣勉強会で発表/書籍執筆 ‣Webサイト/ブログ/Github 動機 内発的動機 ‣脆弱性の仕組みが気になる ‣バイナリ眺めてるのが楽しい 外発的動機 ‣CTFで優勝したい ‣賞金が欲しい
19.
余談1:周りに聞いてみました!ケース1 学び方 インプット 95% アウトプット 5%(飲み会) 動機 内発的動機
100% 外発的動機 0% ■(バイナリ大好き)セキュリティキャンプ講師の某氏
20.
余談1:周りに聞いてみました!ケース2 学び方 インプット 65% アウトプット 35% 動機 内発的動機
70% 外発的動機 30% ■(XSS大好き)セキュリティキャンプチューター某氏
21.
特定分野の知識・技能 ■どうするか? ‣必要な知識体系とは何なのか? ‣技能習得の手法とは? ‣知識習得の資料や教材は?(良書は?) ‣最近ではまとめ的なサイトがかなり充実してきてる (例)新人ネットワークエンジニアが読むべき本6冊~ ‣基本的には上級者の人に聞くのが一番早い ‣研究室の先輩/勉強会で詳しそうな人/人のブログ/大学の授業 (IT勉強会カレンダー) ■この段階での疑問点
22.
特定分野の知識・技能 [ソフトウェア] ■知識体系(例) ‣アセンブラの知識(x86,x86-64,ARM) ‣プログラミング力/開発経験 ■技能・経験 ‣コンパイラの知識(gcc,vc,最適化) ‣実行ファイルの知識(PE, ELF) ‣IDA/デバッガ(Ollydbg)の使い方 ‣リンカ・ローダの知識 ‣OS・CPU・メモリの知識
23.
特定分野の知識・技能 [ソフトウェア] ■書籍 (例) ‣はじめて読む486 ‣The
IDA pro Book (第二版) ‣リバースエンジニアリングバイブル ~コード再創造の美学~ ‣たのしいバイナリの歩き方 ‣Linkers&Loaders ‣インサイドWindows ‣各種プログラミング書 ‣デバッガ等自作/ゲームのチー(ry/CTF/Crackme ■勉強方法(例) ‣Reverse engineering for Beginners(無料電子書籍)
24.
特定分野のセキュリティ技術・知識の習得 ‣中々文献が無い(あったとしても海外の文献) ■どうするか? ■この段階での問題点 ‣トレーニングの受講/SANS/Blackhat/セキュリティ会社 ‣知っている人が限られてくる ‣習得も難しくなる ‣尖った人材育成の場/キャンプ/SECCON ‣[先端をいく人]が開催する勉強会に参加(Slideshare) ‣英語で検索しまくってみる/CTFのWriteupを検索[英語] ‣分野に関連した博士論文?(背景・関連技術の章)
25.
特定分野のセキュリティ技術・知識の習得 知識体系(例) 技能・経験(例) ‣BufferOverFlow/Use-after-free/FormatStringsBug ‣ASLR/DEP/StackCanary/SEHOP ‣Fuzzing ‣ExploitWriting ‣パッカー/難読化/解析妨害 ‣セキュアコーディング ‣Shellcode Writing(ret2libc/ROP)
26.
特定分野のセキュリティ技術・知識の習得 書籍(例) その他(例) ‣HACKING 美しき策謀 第二版 ‣ハッカープログラミング大全
攻撃編 ‣アナライジングマルウェア(宣伝?w) ‣The Shellcoder’s Handbook(私は読んでないが・・) https://www.corelan.be/index.php/articles/ http://opensecuritytraining.info/Training.html ‣The Corelan Team ‣OpenSecurityTraining http://inaz2.hatenablog.com/ ‣ももいろテクノロジー
27.
特定分野の先端的な知識・情報 論文/カンファレンス(カンファレンス動画) ‣産業系:Blackhat/DEFCON/RECON/CODEBLUE ‣Reddit (ReverseEngineering)/Kernelmode.info ‣凄い人が来日したら話しかけてみる/渡米 ‣自ら最先端になること ‣アカデミック系:UsenixSecurity/IEEES&P/ACM CCS 海外の掲示板/ブログ(例) Twitter/Facebook ‣第一線の人/その人がフォローしているアカウント
28.
特定分野の先端的な知識・情報 先端的な情報・知識(例) ‣Intel PIN ‣シンボリック実行/コンコリック実行(脆弱性に) ‣テイント解析 ‣JOP/SROPとか ‣Automatic Exploit
Generation
29.
30.
学生時代 学校/研究室編 http://researchmap.jp/jopbd3chs-16769/ ‣「情報セキュリティ関連の大学研究室Webサイトをまとめてみた」 情報セキュリティ専門 情報セキュリティ人材育成コース(大学院) ‣ SecCap
(JAIST/NAIST/慶應大/IISEC/東北大) ‣ ISSスクエア(東大/中央大/IISEC) ‣情報セキュリティ大学院大学(IISEC) 大学の情報セキュリティ系研究室 最近は専門学校でも、セキュリティ学科が・・・ 自分の時は大学の先輩に聞いて武田研究室に出会った 海外 ‣カーネギーメロン大学等
31.
学生時代 活動編 (勉強と経験を兼ねて) 支援制度/スポンサー付活動/短期プロジェクト インターンシップ ‣すごうで(EpsilonDelta)
/Tachikoma ‣未踏プロジェクト/サイボウズ・ラボユース/GSoC ‣日本MS セキュリティレスポンスセンター 2ヶ月 (自分) ‣JPCERT/CC 解析センター 2ヶ月 (自分) ‣JNSAインターンシップ/海外インターンショップ(例:Facebook) ‣[弊社]「マルウェアの通信先の悪性判定に関する調査」 アルバイト ‣人づてで?(知り合い) ‣ソフトウェアテスト/ネットワークエンジニア補助(自分)
32.
セキュリティ技術者になる/選択肢の話 ‣外的キャリア ‣内的キャリア なぜ働くのか、何のために働くのか、なぜ その仕事をしたいのかなど、仕事や働き方に 対する個人の主観的な評価や認識 具体的な職種・職位・技能・実績など 客観的に把握できる職業上の経歴
33.
内的キャリア:基本的には自分がどう生きたいか →自分の管理が若干甘い(会社勤めなどある程度の束縛が欲しい) →裁量が多いと嬉しい/定型的な業務のみだとキツイ →キーワード:マルウェア、脆弱性、インシデントレスポンス →給料/残業等は気にしない →コミュニティに関わっていけるか(CTF,キャンプ) →その他、個人的な事情・願望・自分の性格の都合 →周囲に凄いセキュリティ技術者がいるか否か →技術的な所に関わっていきたい(専門家になれるか) →自分の個人名で成果が出せる所 or 大勢の人に貢献できること 生き方が分からないと、どんな職に就けば良いのかも分からない 個人的な例
34.
就職編:就活 ‣セキュリティ業種以外[PG/NW] ‣セキュリティベンダー [AVソフトとか] ‣IT企業のセキュリティ部門 海外 ‣セキュリティサービス/コンサルティング ‣高いセキュリティが求められる会社? ‣某アンチウィルスソフト会社に応募→面接 (自分) ‣海外就職用相談窓口も無く、履歴書作成すら大変 ‣独立行政法人/警察とか?
35.
就職編:起業 ‣FFRI ‣ネットエージェント ‣HASHコンサルティング ‣ゲヒルン ‣TRICORDER ‣何処かでキャリアを積んでから ‣キャンプ卒業生が起業した例も
36.
就職編:自宅セキュリティ技術者 バグハンター 脆弱性報奨金制度の充実化により可能 https://bugcrowd.com/list-of-bug-bounty-programs ■ The Bug
Bounty List ‣[日本]サイボウズ/mixi(過去) ‣[海外]Google/Microsoftとか これから? クラウドソーシング? →(どこか忘れたが)脆弱性診断の仕事を募集している人が →脆弱性報告の報奨金だけで年間600万以上稼いだ方も
37.
(おまけ)アンダーグラウンドな世界 ‣ボットネットのハーダー ‣ゼロデイの売買 ‣スパム業者 ‣マルウェア/ExploitKitの製作者 ‣「なにしてますか?忙しいですか?」中の人w ※ 冗談なので良い子はマネしないでください
38.
(最後に)個人的な心がけ ‣迷ったら難しいほうを選択する ‣出来るか出来ないかではなく、やるか やらないか(とりあえず飛び込んで見る) ‣自分のやりたい事を公言しておく ‣口だけ、行動だけにならないように 最近の例:CTF for GIRLS
39.
ご来店ありがとうごいました
Baixar agora