#01-02 [SECURITY]第9回北海道情報セキュリティ勉強会 #secpolo
13:30からなのに12:30についてしまったので、会場設営を積極的に手伝う。今回からMacBook Airとe-mobile GP02が勉強会のお供として活躍。
『ヤフーにおけるフィッシング対策とセキュリティ対策』ということで、戸田薫さんを講師に招いて行われた。
ヤフーにおけるフィッシング対策 (Yahoo! JAPAN Tech Blog)をベースにしたセッション1と、Apache Killerに関する話やヤフーのBCP(Business Continuity Plan)を盛り込んだセッション2が開かれた。
ヤフーにおけるパッケージ管理 (Yahoo! JAPAN Tech Blog)
セッション1では『人の集まるところにアビューザーあり』という、フィッシングをする側から考えれば当たり前な『数撃ちゃ当たる』方式で 行われていることが説明された。ここで図説されたオフレコ画面が非常にウケていたのが印象的。当然自分もウケまくり。あと
とか俺じゃん!! もっと注意深く管理しないとダメやね。こんな人はフィッシングに注意しましょう: コミック新刊を買ったはずだが同じものが家にあった
どちらのセッションも興味深い内容で「さすがヤフーとてもがんばっているな」と。個人的にはフィッシングの話よりパッケージ管理・インフラ周りの 運用話が興味深かった。開発と運用を完全分離、というのはできそうでなかなかできないこと。subversionのリポジトリを脆弱性スキャナで検証、 これもいつかは社内に実装してみたいところ。アカウント管理の完全自動化、採用・退職があると自動的に管理。システマティックだなあ。
二つのセッション間にディスカッションタイムが設けられ、『フィッシング実体験や実施しているフィッシング対策について』というテーマで参加者で 討議。パスワードの話になって、1passwordで管理していたり、自分ルールでサービスとパスワードの紐付けを行なって管理しているとか、 ワンタイムトークンの導入とか。皆さんセキュリティ意識の高い人ばかりだったので、実際にフィッシングの画面を見たことがある人はおらず。
そして家に帰ったら、妻のノートパソコンにフィッシングの画面(振り込めーってやつ)が出ていた。初めて見たぞ(笑) 『何か変なことが起きたら触るな』と言ってあるので特に問題は起きていないのだが…。 懇親会、二次会、三次会と飲んできて酔っ払いながらプロセスを殺してレジストリの掃除をした。帰って寝るまでが勉強会です。
あ、そうだ!! 今回もオヤツ美味しかったです!!