Scrapboxを使うようになってから、はてブロに書くことがなくなってしまいました。Scrapbox、カジュアルなテキストの置き場でありながら、情報整理の仕組みも確立していて、非常にいいです。
はてブロのいいところは拡散の仕組みがあるところだと思うので、Scrapboxである程度まとまった記事が書けたら、こっちで流すようにしようと思います。
というわけで、この土日でElasticsearchに新たに実装されたクエリ言語「ES|QL」の入門コンテンツを読んで、以下の記事にまとめました。
8.12時点でまだpreviewですが、これまでよりもかなり柔軟にデータ抽出・加工ができるので期待しています。
私はセキュリティ用途、いわゆるSIEMとしてElasticsearchを使っています。この領域のリーダーはSplunk、次いでQrader、Graynoiseあたりかなと思いますが、いち利用者の立場から情報を発信して、ElasticをSIEMとして採用する仲間が増えたらうれしいです。
ごぶさたしております。仕事が忙しくてインプットもままならず、2023年も折り返しに入ったというのに今年2記事目です。
・・・
愛用しているトラックボールの右クリックが効かなくなりました。接点復活剤をかけたが効果が持続しなかったため、ボタンのマッピング変更で対応しました。めでたしめでたし。
※後日追記※
そうは問屋が降ろさない。仕事用PCも同じトラックボールを使うのですが、こちらではマッピングをいじれないので、結局裏側のラバーを剥がしてカバーを開けて直しましたとさ。
仕事用PCではマッピング変更ができないことに今更気づき、結局中開けて無理やり直した https://t.co/1HCX2xoJ6C
— shinobe179 (@shinobe179) 2023年7月10日
KUREの接点復活スプレーを買って吹きかけたら、「カチッ」というクリック感と引き換えに右クリックが復活……と思いきや、翌日また効かなくなりました。
幸い(?)余っているボタンがあったので、別のボタンに右クリックをマッピングすることにしました。以下の記事を参考にしました。
記事同様、私の環境も3に右クリックがマッピングされているようで、これを8のボタンと置き換えました。
最後に示されているbashスクリプトが私の環境ではうまく動かなかったので、以下のように修正しました。sedって難しくないですか?
DEVICE_ID=$(xinput list | grep "Kensington" | sed -E 's/.*id=([0-9]+).*/\1/g')
xinput set-button-map ${DEVICE_ID} 1 2 8 4 5 6 7 3
今年はWebに本腰入れて取り組もうかと思います。能書き垂れるぐらいはできるんですが、要領よく脆弱性を見つけるという作業に慣れていないので、とりあえずOVWAD(OWASP Vulnerable Web Applications Directory)で紹介されているやられサイトを、レガシーなものからモダンなものまで、片っ端からやっていこうと思います。せっかくなので挑戦の様子を記事にします。
記念すべき第1戦目はWackoPickoです。
一応「対戦」と銘打っていますが、手を付けた時点で優勢、成長があったら勝ち、やり切ったら圧勝ということにしようと思います。
Googleスプレッドシートにまとめています。一応簡易レポートの体にしていますが、あくまで備忘目的なので本職の方とか怒らないでほしいです。
……
対戦ありがとうございました。
docker-compose でRubyコンテナを使ってビルドしようとしたら、以下のようなエラーで失敗しました。
$ docker-compose run web rails new . --force --no-deps --database=postgresql --skip-bundle [+] Running 1/0 ⠿ Container ugiene-db-1 Created 0.0s [+] Running 1/1 ⠿ Container ugiene-db-1 Started 1.1s [+] Building 0.8s (3/3) FINISHED => [internal] load build definition from Dockerfile 0.1s => => transferring dockerfile: 32B 0.1s => [internal] load .dockerignore 0.1s => => transferring context: 2B 0.0s => ERROR [internal] load metadata for docker.io/library/ruby:3.1.3 0.6s ------ > [internal] load metadata for docker.io/library/ruby:3.1.3: ------ failed to solve: rpc error: code = Unknown desc = failed to solve with frontend dockerfile.v0: failed to create LLB definition: rpc error: code = Unknown desc = error getting credentials - err: exit status 1, out: ``
以下を順番に実施した結果、解決しました。もしかしたら最後だけでもよかったのかも。
docker login し直す{"features": {"buildkit": true}} を削除するdocker pull ruby:3.1.3 するdocker-compose run するKali LinuxやParrot OS上で、VirtualboxでVMを起動している最中、VMのウインドウを動かせないという事象をしばらく放置していました。
調べてみたら以下の記事が出てきて、書かれている通り、ホストキーを押してみたら動かせるようになりました。
I find the same thing when imwheel is running, the utility that allows change to the mouse wheel. Holding down the Right-Control dows allow VirtualBox windows to be moved around.
ちょっと触ったら肩や腰の痛みが一瞬で治る整体の動画を観ている気分でした。
日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCAなどとも)が『CSIRT人材の育成 Ver 1.0』を公開しました。
インシデントが起きると様々な役割の人達が入り乱れて、時に統制され、時に混沌としたまま収束へ向かうわけですが、役割の分類については『CSIRT 人材の定義と確保 Ver.2.1』で取り組まれています。『人材の育成』は、『人材の定義と確保』で定義した各役割を育成するにあたって、どういった教育が必要かをまとめたものです。
また、この資料はあくまでNCA人材育成WGで収集・編纂したベストプラクティスであって、組織によってCSIRTの業務内容や人材構成大きく異なることを前提に、「それぞれの組織に合わせて柔軟に考えてほしい」とも書いてあります。
自分自身のキャリアパスやラーニングパスの整理のためにも、通しで読んでエッセンスをまとめておきたいと思います。
『人材の育成 Ver 1.0』では、育成のSTEPを以下のように定義しています。育成カリキュラムや評価制度を自分たちで作ろうとした時、レベル分けというアイデアは容易に思いつきますが、「どう分けるか」って結構難しいですよね。
このガイドラインでは0から5のSTEPを定義していて、そのうち担当役割における一人前になるまでのSTEP3までについて、資料内で言及があるみたいです。
| STEP | 対象者 | 内容 | 目標 |
|---|---|---|---|
| 0 | 新規配属者 | 自社のセキュリティ業務を行うために必要な基礎知識を身に着ける。 | 基礎教育修了者 |
| 1 | 基礎教育終了者 | 組織における自分の役割、立ち位置を理解する。 | 担当役割の初心者 |
| 2 | 担当役割の初心者 | 担当する役割のより深い知識を、OJTを通して身に着ける。上位職が支援すれば業務をこなせるようになる。 | 担当役割の見習い |
| 3 | 担当役割の見習い | 実践、訓練を通じて知識経験を慣熟させる。独り立ち。 | 担当役割の一人前 |
| 4 | 担当役割の一人前(トレーナー) | 各役割における想定外事象に対応できるスキルを身に着ける。 | 担当役割の熟練技術者 |
| 5 | - | - |
『人材の定義と役割』では、インシデントにかかわる人々の役割を細分化しています。それぞれについて求められる専門性はあるものの、基礎的な教育については共通化していい組み合わせがあるだろう、というのが『人材の育成』での考え方のようで、7つのグループに分かれています。『人材の育成』には『人材の定義と役割』における機能分類を基準とした表が載っていますが、この記事では兼任グループを基準にした表を作ってみました。
| 兼任グループ | 役割 | 機能分類 | 役割 |
|---|---|---|---|
| 兼任グループ1「連絡・全体統括」 |
|
情報共有 | 社外PoC:自組織外連絡担当 |
| 社内PoC:自組織内連絡担当 | |||
| リーガルアドバイザー:リーガルアドバイス担当 | |||
| ノーティフィケーション担当:自組織内調整・情報発信担当、IT部門調整担当 | |||
| インシデント対応 | コマンダー:CSIRT全体統括担当 | ||
| インベスティゲーター:調査・操作担当 | |||
| トリアージ担当:優先順位選定担当 | |||
| 兼任グループ2「インシデント対応」 |
|
インシデント対応 | インシデントマネージャー:インシデント管理担当 |
| インシデントハンドラー:インシデント処理担当 | |||
| 兼任グループ3「情報収集/情報分析(SOC/監視)」 |
|
情報収集・分析 | リサーチャー:情報収集担当 |
| キュレーター:情報分析担当 | |||
| 兼任グループ4「脆弱性管理/診断」 |
|
情報収集・分析 | 脆弱性診断士:脆弱性の診断・評価担当 |
| 兼任グループ5「フォレンジック」 |
|
情報収集・分析 | フォレンジック担当 |
| 兼任グループ6「セキュリティマネジメント」 |
|
情報収集・分析 | セルフアセスメント担当 |
| 自社組織内教育 | 教育担当:教育・啓発担当 | ||
| 兼任グループ7「開発/開発支援」 |
|
情報収集・分析 | ソリューションアナリスト:セキュリティ戦略担当 |
兼任グループを基準に見てみると、フォレンジックや脆弱性診断などに比べて、グループ1「連絡・全体統括」でカバーする役割が多めですね。これらの役割は専門的な知識よりもコミュ力や組織理解、ビジネス理解が重要な点で共通するということだと思います。
参考までに、日本セキュリティオペレーション事業者協議会(ISOGJ)が公開している『セキュリティ対応組織成熟度セルフチェックシート』(ISOMM)では、グループ1のような役割は「自組織で実施すべき領域」ないし「自組織を中心に連携すべき領域」として位置づけられています。アウトソーシングしづらい領域こそ教育が重要なわけで、優先的に対応すべきなのかもしれません。
『人材の育成』では、基礎教育を「CSIRT もしくはセキュリティ部⾨に配属された要員が、これから⾃社のセキュリティに関する業務を⾏うために必要な基礎知識を⾝につけるための教育である」としています。『人材の育成』でのグルーピングがあんまりしっくりこなかったので、私なりに「自社に関する理解」「CSIRTに関する理解」「セキュリティに関する理解」「関連法令に関する理解」の4つに分けてみました。
見るに、基礎教育にはプログラミングやTCP/IPなど、IT一般に関する知識は含まれていません。以降の担当別教育の内容を見てもITに関する基礎知識は含まれていないようなので、どうやら事前学習(入社時研修など)に含まれている前提のようです。兼任グループ1に分類されているようなマネジメント系の役割についても最低限身に着けているべき技術知識というのはあると思うので、ここをカバーする方法は別途考える必要があります。
また、法令に関しても、以下のように事前教育を前提とした部分がある旨の言及がありました。
契約不履⾏、損害賠償請求に関する⺠法、善管注意義務に関する会社法、個⼈情報保護法、マイナンバー法に関しては、特に CSIRT 業務に限らずとも理解しておくべき法令のため、全社教育で実施されているものとする。
以降、各役割については、必要に応じて個別に記事を作ろうと思います。
