2/22 名古屋アジャイル勉強会

半年ぶりくらいに名古屋アジャイル勉強会さんへ参加しました。

腹ごしらえどうしよ

夕方の勉強会は参加したいけど、一番の問題がこれです。

  • 食べないとガス欠でやばいし
  • かといってファミレスでお注射しにくいし
  • ラーメン店はたぶんお注射できないしそもそもカーボがアレだし

つーらーいー。

悩んでたら会場の目と鼻の先!やべえ!ということでサンドイッチ2個を購入。

会場(イーブルなごやさん)に事情を伝えたら「汚さない程度に使ってもらっていいよ」との返事。
ありがたや…。

お題:SCRUMの3要素

構成管理のお仕事だとこんな感じなのかな。CABごとにイテレーションが回ってる気がする。

  • 透明性
    構成管理についてみんなで責任を持つこと。
    誰か一人が抱えないようにすること。
  • 検査
    変更作業について、適宜ログを採取して、ふりかえりを行うこと。
    xxさんだからうまくいかなかったとか、そういう魔女裁判ダメゼッタイ。
  • 適応
    ダメだった要因、フォルトになったならなかったはともかく、思ったより時間がかかるとか、へとへとになるとか。
    そういった問題が次回起きにくくなるようにアレンジしていくこと。

みっつをぐるぐる回した身近なものってあれでしょ?スガキy

脱線:勉強会を長く続けるために

名古屋アジャイル勉強会さんは、10年以上続く古い勉強会。
なぜ長く続くのかな?という疑問もあって今回久しぶりに参加したのだけど、ある手法についてこんなに切り口があるんだ!という懐の深さというか。
今自分がお邪魔してるWEBセキュリティの勉強会でも、 OWASP TOP10 2017 の中の各項目について、それぞれ掘り下げていくとか。こういう実装があるよーとか。そういった形で色々な切り口から考えられるようになれば、アシスタントから一歩踏み出せそうな気がしてきた。

あう、また今回もいっぱい背中を押されちゃった…がむばる。

2/15 ansible night nagoya

ansibleの勉強会が名古屋であるよってんで、就業先で絶賛稼働中?なのもあって「食わず嫌いはあかん!」と参加しました。

腹が減ってはなんとやら

会場がMISOCA(弥生)さんということで、近くのKITTEですますことに。
テーブルの空きを確認して、採血チェック、からお手洗いでお腹にプシュ、でお惣菜やさんでお弁当とサラダを調達。
若干女性向けだったので、もう少しカーボ多めでもよかったかな。

ansibleの仕組みを素人なりに理解する

横地さんのセッションで個人的に気になった箇所。
あ、AWXの話はアビームさんのセッションだ…

  • ansibleは4つのパーツからできている
    • 各デバイスを操作するパーツに相当するモジュール
    • playbookはおおまかな手順書、YAMLで書かれる
    • INIファイルっぽいインベントリ定義
    • 動作の管理は ansible.conf
      モジュールが操作側に揃っていれば、被操作側はWindowsならPowershell3.0 、LinuxやNW機器はSSHさえあれば一通りいけるとのこと。
  • 権限とかクレデンシャルとか
    • su/sudoが必要なとき
      becomeとかexpectとか、これはこれで揃ってる
    • パスワードは見られちゃ困るのよね
      ansibleの場合 ansible vault の機能があるよ
      AWXの場合 postgresで管理するよ

AWX

アビームさんのセッションではAWXについて色々と聞けました。

  • web GUIの使えるansible 実装、商用でいうTowerみたいなもの
  • 権限管理が安心
    • ansible単体だとパスワードをインベントリ直書きするのがこわい
    • AWXならpostgresにクレデンシャルを保存するから見られない、安心
  • CRONちっくな自動実行もあるよ
    …あれ?hinemos/JP1と被らない?
  • サポートはそんなに手厚くない、OSSなだけに自力で解決してね
    Towerを買えば色々安心

LT

構成管理ツールなのにplaybookの管理ができてないPJでの対処の話など、色々楽しい(たのしくない?)話を聴くことができました。

ふりかえり

  • SSHさえつながればエージェントレスなのは、特にNW機器の管理にはよさそう
    よく「TTMACRO」で省力化してるところはあるけど、あれをansibleと併用するとよさげ
  • 一方で、操作側が故障すると色々つらい
    操作端末こそ再構築を自働化したい(あれ?)
  • git/svnでplaybookを世代管理しよう

東京からいらした登壇者の方、アビームのみなさん、会場提供のmisocaさん、本当にありがとうございました!

2/2 mini hardening – 2/8 owasp nagoya

2/2と2/8は、それぞれowasp nagoyaのイベント(mini hardeningは共催ですが)に参加しました。
…お手伝いとして!

2/2 mini hardening

  • 規模
    24人くらい。某感染症が大流行したおかげで死屍累々。もう少し集まってほしかったな…。
  • 内容
    各チームに払い出されたインスタンスをいろんな意味で死守するゲームです。
    詳しくはいえねえ。
  • お手伝いとして気づいたもの
    • SSH多段移動が思ったよりつらい
      SSH+VNCとかSSH+RDPに慣れてないと大変みたい。MacでSSH多段フォワードからのRDPとか相当大変そう。
    • サーバも気になるけどクライアントもね
      micro hardening と mini hardening の両方であった攻撃として、「クライアントが見る画面が変わってる」件。
      攻撃側は画面表示を色々変えてみるとかの攻撃を仕掛けるわけですが、これ実際だとマルウェアだったりするんかね。そう考えるとぞっとする。

2/8 owasp nagoya chapter meeting #9

  • 規模
    15人くらい。金曜夕方だったからかなぁ…
  • 内容
    OWASP TOP 10 2017 のAWS WAF テンプレートについて。あと OWASP TOP10 2017 serverless について。
  • 反省点
    • 開場の誘導のときじっとしていられなかったこと。どうやって誘導すればいいんだ?とわたわたしてしまった。
    • 開場の雰囲気の整え方。どうしてもどもってしまって、声出しのタイミングが遅れてしまう。もうちょっと勇気出してみます。
  • OWASP と クラウドについて
    • どうしてもAWSさんの資料が多くて、OWASPの勉強会なのにAWSの勉強会ちっくになってしまう。もうちょいベンダフリーに傾けないと難しいね。
      (JAWS名古屋さんと共同開催ってのもありかもだけどね!)

分かる範囲で2018年を振り返る

昨年末にあわてて起票したエントリから1年。
時々記憶が飛んでいるけど、覚えている範囲で振り返ります。
(あれだ、だいたい過去エントリに載ってるから)

ま、まぁおおむねNGK2018Bで発表したスライドにまとめてあるので。たぶん、

LSが変わって9か月が経過した

「はたらいて、笑おう」な派遣会社に技術部門の社員としておじゃまして9か月が経過しました。

資格インセンティブはまあつくときはつくし、事務方がよしなに守ってくれるし、ま、まぁSES時代よりはいいと思います。
(こ、個人的な感想なので!)

社内CTFで大暴れしたのはいい思い出。(みんな、もーちょっとやってくれると思ったんだけどなぁ)

うーん、住民税天引きになると、転職前より赤だな…なんとか評価面談がんばらなきゃ。(ボクの存在自体がネタに近いのでなかなか難しいけど)

糖尿病悪化での入院(1年ぶり2度目)

転職後最初の就業先に入って一か月後、あと一週間がんばれば糖尿病の定期通院日ってところでダウン。
よりによって前回入院日の1日後。まだ軽症で済んだので退院は前回退院日の三日前。

症状は入院時よりはましで、退院後は若干悪化した箇所はあるけど、まあなんとかやってる。

まあ、お注射始めた時からわかってはいたけど、献血できなくなっちゃったんだよね。いままで一度もやったことないけど。

資格試験

  • 技術系
    LPIC 101 102 201 202 の順番で4連勝できました。
    悲しいかな、その時担当していた案件はたんなる事務作業だったので、LPICの知識が身につく前に振り返りすることができなくて、完全にド忘れしました…あかん。
  • 実務系
    ようやくというか、工事担任者AI/DD 総合種の免許が届きました。なくさないようがんばります。(がんばることはないが)
    安全確保支援士 は、今年はオンライン講習だけ、ということで6時間受講しました。

セミナー受講とか

  • 道後シンポジウム/越後湯沢ワークショップ
    3月の道後,10月の越後湯沢。第一線の方々のトークセッションが本当に勉強になった!
    SPF/DMARC話は最近ちょっとだけホットになっているので振り返りします。
  • 名古屋のコミュニティの各勉強会
    入院などで行けない時もあったけど、ISACAさん/OWASP さんの名古屋のセッションはそこそこ参加できました。
    ESD21さんは、うーん時間があわなさすぎ…2019年はちょっと後ろ向き。

2019年は、どうしたい

  • コミュニティ活動
    まず、OWASP Nagoyaとして少しでも仲間が増やせるようにがんばります。あと、自分でも何かしら成果物として発表したいです。
    さすがに「めんどくさい体質持ちですがコミュニティ活動がんばってます!おわり!」って、今回のスライドだけで終わらすわけにはいかない。
    欲を言えば、地元西尾張でも出張編で一幕打てたらいいなって思ってます。
  • 企業内での活動
    今お邪魔させてもらってる案件は、仮想化基盤やネットワーク機器の運用保守。
    まずは就業先のお客様に「コテツ君面白い子!引き続きおねがい!」って言ってもらえるよう、怒られない程度にがんばります。
  • 資格/受験
    実務系試験としては、簿記3級と、あわよくば2級。2級は本籍のニンジン次第かな。
    どうせなら仮想化基盤やネットワーク機器の資格ほしいよね。
    ということで、取り急ぎはLPIC303と、CCENT-CCNA の2つ。ホントはVCPほしいけど、瞬間的に50-60万用意するのはちょっとしんどいので。維持がままならんので。
  • 体調管理
    …がんばる。

三度目の正直(工事担任者 AI/DD総合種)

ようやく工事担任者の試験に合格したので、まとめておく。

2017年の春試験(DD1種)に玉砕したのち、AI/DD総合種を三回受験してようやく合格通知が届いた。

なんで受験したんだっけ?

自分が工事担任者の資格をとりたかった理由は、2つ。

  • NW機器の操作には、「法令上」工事担任者の資格が要るらしい、というまことしやかなうわさ。
  • 家の電話機が老朽化してきたので、自力でなんとかしたい。

とくに後者が問題で、まあアナログ電話でボタン電話の主装置なんですよ。うん、ボタン電話の主装置をアレするならAI種要るよねって。
まあ要るか要らないかはのちほど。

門前払い(2017春 DD1種)

DD1種の受験は、ほとんど門前払いに近いものだった。

  • よくわからん疲労感でまったく勉強できない
  • 集中力云々より、とにかくスタミナがない。120分耐久なのに体力が40分くらいしか続かない。
    喉は乾くし、お手洗いも近い…。

受験日の時点で例の症状がかなり悪化していたのだ。うん、あの体調でよく1時間座っていられたものだ。
結果はさんざんだった。

なんとか一矢報いる (2017秋 AI/DD)

入退院の後で、体調面ではよかったのだが、なにぶん勉強の仕方がさっぱりわからない。抵抗や周波数の計算ばかり毎日やっていた。
結果、三科目のうち「基礎」しか手をつけられなかったため、まあ「基礎」だけは科目合格した。

いろいろ残念な (2018/春 AI/DD )

2018の春試験は、「基礎」科目合格を使って2科目の受験。精神的にはずいぶん楽にはなったけど…10GBASEの規格?LR?なにそれおいしいの?みたいなところで、これまた「技術」科目しか勉強していなかった。

あいたた…ということで、このときは「法令」科目が脱落。ニンジン云々とかいう話じゃなくなってきた。

で。 (2018秋 AI/DD )

試験の前々日に自社のセキュリティ部隊が主催するコンペ(CTF)に参加したりと色々無茶かましたわけだが、まあ今度は「法令」科目だけ。ある作戦でもって取り組んだ。

  1. 法令の過去問を5-6年分集めて、〇×問題を1問1答ベースにばらす。
  2. それをひたすらanki 形式で打ち込む。
  3. 通勤時間に繰り返しやる。

まあ高かったよねー anki のiOS版。3000円。自分でデッキ作る工数もたいがいだが。

「一問一答がそのまま出ることが稀によくある」という、「法令」科目の特性をついた奇策のおかげで、17/25 (自己採点)。なんとか科目合格を頂いた。

工事担任者の申請をしながら思う

実際のところ、自分のしている「ネットワークエンジニア」という仕事では、工事担任者の資格が要るかどうかは、白でも黒でもない。グレー。

  • プラグジャック式の挿抜であれば不要
  • 終端装置ほか、責任分岐点より先の機器に危害を加えない限り、ネットワーク機器の設定変更については不要

また、上述の理由から、ボタン電話の主装置でも自分でRJ45の配線を壁に作るとかしない限りは、(AI3種ですら)不要だったりする。

なんでここまでして取ったんだろねー、と自分に問いただしてみるけど、まあ合格したなら別にいいじゃない、と。

さて

AI/DD種の「法令」科目、過去問の一問一答アプリ(iOSネイティブか、PWAか、はたまたANKIのQAデッキかは別)ってば、需要あるんかね…。せっかくWEBセキュリティの知識や法令知識が増えてきているころなので、作ってみようかな?とは思っているけど。

NGK2018B/みんなと、おいしくたべよう

NGK20xxB、参加するのはいつ以来だろう。
もしかしたら、2012年のとき以来…なのかな?
体調も(よくはないけど)安定してきたし、今回は発表者として参加しました。

スライド

  • 入退院のあとの経過報告と、ちょっとだけOWASP Nagoyaの紹介を行いました。
    家で練習したときは色々辛くて(なら書くなよ!って言われそう)完走できなかったけど、150名を超す大勢の前での発表で緊張したことと、銅鑼役のもがみさんのエスコートが楽しくて(ありがとうございます!)、なんとか完走できました。
    https://speakerdeck.com/gplains/it-community-activities-with-diabates-2018

注目したセッション

  • 基調講演 terurouさん
    時間配分等本当に完璧でした。すげえ。主催者こわい。
  • JAWS 川路さん/筒井さん
    発表慣れしているというか、本当に面白いセッションでした。
    筒井さんのSORACOM LTEボタンは、家の人に連絡するときとか確かに便利そうだなって(いや流石にモールス信号みたいな使い方は無理ですが)感じました。
  • 中京大学 鈴木先生
    DNSのパケットの話。UDPパケットを無理に通すよりか、負荷が多少かかってもTCPにfallbackすればいいじゃない、と脳筋的に思ってしまう自分がここに(けふけふ)
  • 来栖川電算 山口さん~ワラビモチのフィリップさん
    毎朝体操からのワラビモチ体操の流れ。フィリップさんはワラビモチ、ぶれないなと思いつつ、ITネタばかりのNGK20xxBの中で
    来栖川電算さんの「運動」でみんなを楽しませるパフォーマンス
    フィリップさんの「食」でみんなを楽しませるパフォーマンス
    この2大コンテンツがあるからNGKってリピーターがいるのかな、と勝手に想像してしまいました。うん、運動も食事も本当に大事。
  • Misoca マツモトさん
    Geekbarのうさぎの人、のイメージが強いのだけど、こちらも「食」にまつわる(名古屋民には結構大きな)発表でした。
    自分が困っていたとき、マスターのチキングリルに背中を押され、マツモトさんに背中を押され。なんとかやってこれました。
    本当はGeekbar以外の日にも行ってみたいのだけれど。うぅむ。

夜の部

  • 鈴木先生ほか、名古屋の勉強会の歴史をずっと見守ってきた方とお話できたのが本当に楽しかったです。
    記録媒体の話で盛り上がったのが印象深いです。
  • お料理、お料理なー(遠い目)
    お注射ぎりぎりまで粘ったのですけど、おつまみ枠~ごはん枠の間が結構あって、結局ジンジャーエールを注文しちゃいました。デザートはさすがに食べなかったですけど。

来年はどうしよう?

  • 壇上でも発表した通り、少しずつでも名古屋のみなさんに恩返しがしたいです。というか、やります!
  • 同じ症状を抱えている先輩エンジニアさんとかの話を聞いてみたいし、今後同じ体質の若い子が「エンジニアになりたい!」って思えるようなお手本になれるよう、自分もがんばります。
  • …あ、あと四十肩なんとかする(けっこうつらい)

11/17 NKC~SECGAHARA

11/17は、名古屋工学院専門学校さんのイベント参加からの、SECGAHARA参加をしてきました。

NKC

名古屋工学院専門学校さんのイベントでは、都合2団体(OWASP / JAWS)の提供セッションを受けました。

  • OWASP NAGOYA 枠
    チャプターリーダー 坂梨さんのチャプター紹介と、宮城さんのOWASP ZAP利用方法の説明。
    ベンダフリーな技術、知識、「自由」という意味でのFreeなツール群。
    Pentestで切っても切れないのが、倫理。すっごい説明難しいけどね…。
  • JAWS 枠
    川路さんのユーザグループ紹介と、筒井さんのサーバレスなAWS利用構成の説明。
    特に筒井さんのサーバレス構成の説明は面白かった!ま、まぁワタシは昔の人なので、「ええいめんどくせえからEC2でmicroでやるんじゃ」とか言いそうですが。
    自分が一人で使うサービスであれば、EC2だったり国内事業者のVPSだったりが選択肢にあるけど、誰かほかの人にも使ってもらいたい!ってなった瞬間に、マネタイズだったりコストパフォーマンスだったりを考える必要が出てくる。

SECGAHARA

夕飯をネカフェで済ませて(料理のラインナップはともかくとして、個室で安心して採血・お注射ができるのですよ)、イベント会場へ徒歩。

  • 小笠さん:仙台でのコミュニティの取り組み
    東北でのOWASPの取り組み。東北でChapterを興すきっかけ、そこから増殖していく過程などなど。
    海外のChapterの話を聞くごとに、海外のコミュニティは漢気すげえな、温かいなと思いつつ、形式はともかくとして日本出も何かしら同じようなことができそうな気がしてきました。
  • 桃原さん:沖縄でのコミュニティの取り組み
    沖縄でのOWASPの取り組み。所属する企業でのPentestに関するあれこれ。
    沖縄ならではの問題として、夏~秋にかけて低気圧に悩まされるとのこと。沖縄、一度は行ってみたいけど、甘い食べ物ばかりなのがアレだよね…orz
  • Pentesterのパネルディスカッション
    WebアプリケーションのPentestではBurpを使うべきかOWASP ZAPを使うべきか問題。
    “Freeは無償のFree”なのか、”Freeは自由のFree”なのか、捉え方で色々変わってしまう。後者の場合、自由を維持するために利用者も開発チームへコミット(例えばコンテンツの日本語訳提供とか)をしようぜ!というのは、自分は賛成。結構英語のまんまで頑張っちゃうけど、まあ英語で頑張っちゃう場合は「xxやるときは英語のxxに従ってやろうぜ!」って情報を共有するとか、そんな感じ?
    Pentestを始める、続けるうえでは、依頼者や発注先とのコミュニケーションは大事だし、たいていのドキュメントは英語なので英語を読み解く力、書いて伝えるチカラも大事。それと好奇心。
    英語のドキュメントは潤沢だけど、中国語のドキュメントも増えつつあるとか。うーん、中国語、勉強しようかな。

一日を通して

改めて、自分がコミュニティに参加する場合にどうふるまえばいいのか、考えるよいきっかけになりました。
今は体調の関係で全力で取り組む、というのがなかなか難しいけれど、できる範囲でコミットというかサポートと言うか。できるように、まずは一歩踏み出してみます。