2015-10-28(水) [長年日記]
■ CODE BLUE 2015へ行ってきた(1)
![[今日のランチ]](https://lh3.googleusercontent.com/-4fojS2yi5OY/VjDKCAarMgI/AAAAAAABhko/B0iLlfGV-Jk/s512/DSC_1451.JPG "[今日のランチ]")
(ランチで出た弁当くらいしか写すものがない)
「日本発の情報セキュリティ国際会議」と銘打ってCODE BLUEが始まって今年で(たしか)3回目くらいなんだけど、職場の若い衆に譲っていたので今回が初参加。2トラックに拡大したので、同僚と分担しつつ聴く。今回は同僚が発表するし。
ちゃんと審査があるのでおおむね高いレベルの発表が揃っていて、歯ごたえのある(ようするに難しすぎて理解できない)ものもあるから、一般向けに刃先を鈍らせることのないちゃんとした専門家向けのカンファレンスだと思う。こういうのなら継続的に参加する気になるんだわ。
とは言っても、蓋を開けてみるまではレベル感はわからんわけで、聴いてみたらがっくり、なんてのももちろんある。とくに基調講演は両日ともあんまり感心しなかった。だいたい「またシンギュラリティか……」とテーマからしてがっくりだ。もうそのネタは飽きた。そもそもセキュリティとなんの関係があるのやら*1。フィクションからの引用でAIの可能性を提示するのは良いが「日本からシンギュラリティを起こそう」という提案のわりにはソフト面でのアイデアがなくて最後はgdgdな感じだった。
そのあとはAngularJSがいかにセキュリティホールのかたまりか、という話を聴いた。Angularが内蔵するサンドボックスを次々と攻略するくだりは良かったのだが、そのあと「セキュリティホールを含んだプルリクをわざと送りつける」というネタは、さすがに腹が立った。で、倫理的にどうなんだ、許しがたい!! と憤慨したものの、上位組織であるGoogleのセキュリティチームの了解のもとで行われている以上、これは一種のペネトレーションテストなわけで、部外者が怒るたぐいのものではないのだよなぁ。でも腹は立つ。……という胸のうちは微塵も見せることなく「他のフレームワーク、とくにReactはどう思う?」という質問をしたが、Reactからはセキュリティホールを発見できなかったそうだ。まぁ、Angularが必要以上に複雑さを内包してしまったのが問題ってことなんだろう、Angularにかかわらなくて良かった。
あとは、続いて行われた韓国と中国の話が面白かった。北朝鮮からのサイバー攻撃が日常的で、ほぼ戦争状態にある韓国の、官民学一体となったセキュリティ強化施策はすごいの一言。もう数のフェーズは終わって質を問題にしていると聞いて「技術者が何万人足らない」とか言ってる日本との差は大きい。一方中国は経済が優先されすぎてセキュリティ技術者の地位が低い中、国や軍のサポートなしに民間だけで社会的に影響力を持つコミュニティを作り上げた話で、これもこれでこの国ならではだなぁとしみじみした(国の予算は軍だけに投入されるのだろう)。どの国にもその国なりの苦労がある。
*1 もちろん、あらゆるリスクを評価して対応を決めるのがセキュリティなのだから、シンギュラリティだってセキュリティの対象ではあるが、このレベルになると「情報セキュリティ」の枠内で議論すること自体がナンセンスだろう。
2015-10-27(火) [長年日記]
■ デレステのイベントがさらに10万位ギリギリだった
![[スクリーンショット]98779位!!](https://lh3.googleusercontent.com/-_gokdTTUsms/VjDL9gKduxI/AAAAAAABhk4/zhva2soVAG0/s512/Screenshot_2015-10-28-12-21-38.jpg "[スクリーンショット]98779位!!")
前回に続いて最終日にがんばった……ら、(これを書いているのは結果発表のあった28日なんだけど)さらにギリギリ10万位以内を確保。いやー、今回は終了まぎわでサーバエラーになったりしてかなりやばかった。1曲こなすのに3、4分はかかるから、もっと余裕をもってはやめに稼いでおかないと厳しいわ……。
ちなみにわさます内でおれより50ptくらい下の人が圏外になっていたので、10万位ボーダーには1ptあたりざっと25人以上が詰まっている計算になるのだった。こえー。
今回の「Nation Blue」はせわしないわりにダイナミックさに欠ける、ちょっと退屈な譜面だったな(PROだけど)。MASTERの譜面はかなり難しかったそうだし、まだまだ調整中という感じだ。
2015-10-26(月) [長年日記]
■ IIJ SmartKeyで一気に2段階認証へ移行した
![[スクリーンショット]IIJ SmartKeyの画面](https://lh3.googleusercontent.com/-hv4ucXbZjoY/Vi8sqe7LqOI/AAAAAAABhjk/L7SERgp9Ay8/s512/Screenshot_2015-10-27-16-44-57.png "[スクリーンショット]IIJ SmartKeyの画面")
こんな業界にいるくせにいわゆる2段階認証を使っているのはGoogleを始めとしたごく一部のサービスだけで、いかんなーと思いつつ、機種変更時の移行の手間なんかを考えるとあんまり多くのサービスで使っちゃうのもつらいし……と悩んでいたのだが、昨日「2段階認証のパスワード管理は「IIJ SmartKey」で決まり!Google認証システムより圧倒的に便利」という記事がよくシェアされていて*1、けっこう良さそうなので「えいやっ」と移行してしまった。Google、Facebook、Github、Microsoft、Dropbox、Evernoteの都合6サービス。
上の記事のブコメにもあるように、この手のツールでは定番のAuthyを使うという手もあったんだけど、みればわかるように不必要なパーミッションを欲しがるのでイヤだったんだよね。その点、このIIJ SmartKeyが要求するのは実質的にカメラだけ(QRコードを読むのに使う)。セキュリティに関わるアプリはこうでなくちゃ。
サービスごとにQRコードを表示させる方法がちょっとずつ違うのが難点だけど、まぁなんとかなった。いちばん罠っぽかったのがFacebookで、そもそもメニューのどれが2段階認証設定だかわからない(正解は「コードジェネレータ」)。その上、Androidを選択するとFacebookアプリ内蔵のコードジェネレータを使う前提で進んでしまうので、そこは「その他」を選ばないといけないとか、ちょっと苦労した。
ひととおり設定したあとは、もうひとつのタブレットにもSmartKeyをインストールし、スマホでQRコードを表示して読み込ませると同じコードを生成するようになった。これは楽ちん(だが2段階認証サービスがこの調子で増えていくと移行もけっこうな手間になりそうである)。
あとはバックアップコードをどこに保存するのがいいかが悩みどころだなぁ……。みんなどうしてるんですかね。本当に印刷して金庫に入れてるの?
*1 投稿されたのは7月みたいだけど、昨日までぜんぜん注目されてなかったぽい。
