やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

まっちゃ139勉強会(2025/11)

IT 日記

本日の現場はこちら。
MOTEXさんでまっちゃ139勉強会です。
https://matcha139.connpass.com/event/369242/

公式サイト(?)によると7年ぶりの開催だそうですが、
自分の参加は記録を探した限りでは2011年以来のようで、
どんな進行だったかほとんど覚えていません。
半ば初参加みたいなもんです。

ラック:西本さんによる基調講演とLT5本という内容。
そのうち資料が公開されたり、より詳しい方のレポートが出たりすると思いますが、
以下、拾えた限りのメモです。

1. 築くべきセキュリティ文化とその未来を考える

  • どらちゃんと呼ばれているらしい
  • セキュリティの基本理念:自助・共助・公助
    • メンバーシップ雇用によるやりにくさ
      • ジョブ型雇用の海外はこういう類の問題ってないのかな?
  • 過去から最近までのセキュリティ周りの様子を振り返り(ラグビー用語に絡めて)
    • ストラクチャー:攻守の陣形が整っている状態
    • アンストラクチャー:陣形が整っていない状態
      (カオス状態ないしアクシデント発生中みたいなニュアンスかな)
  • ランサム攻撃
    • 今のブームはVPN
    • データが漏れても困らないという意見もあるようだが、データが使えないと業務止まるよね
    • 災害と考えて取り組んだほうが良い
  • コミュニケーション
    • 生成AIの悪用や偽誤情報事案増えてるなあ
    • コミュニケーションにおいては「問いかけ」が重要(AIの世界ではプロンプト)
      • 人もAIもプロンプトエンジニアリング
  • 内部不正のプロセスと対策

2. おやつタイム

これがあるのをすっかり忘れており、画像撮り損ねたのが悔やまれる。
ロールケーキやプリン、おまんじゅう(?)が出てきて、
自分はロールケーキをチョイスさせていただきました。

以下LTの時間ですが、突然のアンストラクチャーにより順番が元の予定から変わってます。

3. LT1:全分野一斉演習をやってみた

国家サイバー統括室がこんな演習
https://www.nisc.go.jp/policy/group/infra/siryou/2025Enshu/index.html
をやっているそうで、2025年版の参加レポートの講演※

  • 対応記録を書く演習ではExcelが無双
  • 来週「勝手にギョーカイ懇親の宴」というイベントがHUB中之島フェスティバルプラザで開催予定

※2024年版の全分野一斉演習はこんな感じだったらしい
https://www.nisc.go.jp/pdf/policy/infra/NISC_enshu_20241206.pdf

4. LT2:隠れオープンリゾルバ対策しましょう

浸透いうなさんの講演。
ネットではよくお見かけしていたけど、実際に話されているところは初めて見た。
内容の詳細はあまりにもヤバすぎてレポートしづらい(苦笑)

  • 隠れオープンリゾルバになってしまっているリスト
  • 然るべきところに報告はしているが・・・
  • サーバー(リゾルバ)でアクセス制限するだけでは隠れオープンリゾルバ対策としては不十分

5. LT3:脆弱性っぽい挙動を見つけた倫理的な行動とは?

脆弱性を探したり、見つけた脆弱性をどう扱うかの話と倫理を絡めた講演。
たまたまLT2で事例になりうる話が出てきて、思わぬ形で神順番になった。
アンストラクチャーすげえw

6. LT4:第2回関西+東海インターネット老人会予告

来年5月頃にあるらしいとのこと。ここをウォッチしておいたらいいのかな。
https://kansai-internet.connpass.com/

7. LT5:CSIRT/PSIRTに対する誤解

登録上はかみしらいしもえ★26歳さんが話されることになっていましたが、
代打でいしはらさとみ★26歳さんが登壇された模様。
どこかで見たことある方だなと思ったら、だいぶ前のOWASP Kansaiで講演されてた、
つちやたおさんと一緒にいた方ですねw

内容の詳細は1月にNCAから正式公開されるらしい。



飯テロ。
勉強会開始時刻までギリギリだったので、会場近所のなか卯さんでから揚げかっこみました。

戦利品