2018年12月9日日曜日

「面白すぎる天才科学者たち」を読みました

面白すぎる天才科学者たち 世界を変えた偉人たちの生き様(内田 麻理香)

最後のファインマンの父親のくだりが良い。手前味噌ながら自分の思うところと大きく一致するので。

何かの名前を知っていることと、何かの意味を本当に知ることの違い。

なぜどうしてを一生懸命考えるのこと。知識を仕入れるだけでなく、一つ一つの記述に対してなぜそうなっているか具体的に考えてみよう。


と言うあたりですかね、とても良いですね。 

2018年11月15日木曜日

Vulnhub (vulnhub.com)でサイバーセキュリティのトレーニング(はじめに)

Vulnhub (vulnhub.com) を使ってサイバーセキュリティのトレーニングをしていきたいと思います。

  • vulnhub.comとは、「ペネトレーションテストの練習に使える仮想イメージ(VM: Virtual Machine)を多数掲載」しているサイトです。
  • 界隈では利用者も多いため、各VM(課題)について複数の解答や解説がネット上で見付かります。とても良い点です。
  • VMやネットワーク周りの環境構築に関する基本的な情報はFAQやLabに掲載されています。多分読まなくても何とかなりますが、読んでも分からない場合はUnix (Linux)やネットワークの基礎から始めると吉かも。

本サイトの活用イメージとしては、大体こんな感じでしょうか。
1. 自力で挑戦
2. 他者の解答や解説をふまえて挑戦
3. 報告(ブログで上記1, 2を報告)

ちなみにVulnhubの設立者g0tmi1k氏はBen Wilson氏ですね。

セルフメディケーションセルフメディケーション税制とは

サンドラッグでキューピーコーワiプラスを購入した際のレシートに「★(黒星)印はセルフメディケーション税制対象商品です」という印字がありました。

セルフメディケーション税制とは、ざっくり以下のような感じと理解しました。

  • 一定の条件の下、セルフメディケーション税制対象の市販医薬品を年間12,000円を超えて購入した場合、それを超える部部の金額(上限: 88,000円)について所得向上を受けることができる。
  • 上記「一定の条件の下」とは、サラリーマンであれば会社の定期健康診断を受けているなど、適切な健康管理を行っていること。
  • 従来の医療費控除と併用はできない。

セルフメディケーション対象の市販医薬品や制度の詳細については、以下のサイトを参照ください。

厚生労働省)セルフメディケーション税制(医療費控除の特例)について

日本一般用医薬品連合会)知ってトクするセルフィディケーション税制

2018年11月13日火曜日

CISSP合格・認定が完了しました(2018年4月以降の新フォーマット)


2018年9月上旬にCISSPに合格、翌10月に無事に認定作業が完了しました。試験は2018年4月中旬以降の新しいバージョンを英語で受けました、試験時間が3時間、問題数が100 - 150問のヤツです。

某セキュリティ会社さんの約50万円かかる研修などには参加せず、独習でなんとかなりました。折角なので、教材や学習方法など、今回の学習について記録しておきます。

1. 私について、経歴やスペックなど
金融関連のITで新卒から約20年働いています。その間、インフラ、アプリ、ガバナンス、海外駐在など、いろんな仕事を経験することができたのは幸運かな、と思っています。保有資格はPMP / CISA / USCPA等です。

2. 学習のアプローチと利用した教材
Kindle版がある、オンラインで問題が解ける、という条件でテキストや問題集を選定しました。内容については合う合わない色々あると思いますが、自分にとっては通勤や隙間時間で勉強しやすい「電子版」であるという条件を優先しました。

(1) テキスト
CISSP All-in-One Exam Guide, Seventh Edition (Harris, Shon, Maymi, Fernando)

* いわゆるショーン・ハリス本です。身近なCISSPホルダーを含む多くの合格者が進めるだけあり、私は良本だと感じました。
* 学習期間は5ヶ月程度、ダラダラと読み進めました。

(2) 問題集
a. CISSP Official (ISC)2 Practice Tests (English Edition) (Chapple, Mike, Seidl, David)
b. CISSP Practice Questions Exam Cram: CISSP Pract Quest Exam Cram_4 (Gregg, Michael)

* 上記の2冊に加えて、ショーン・ハリス本の末尾にある問題集も説きました。学習期間は2ヶ月程度。
* ショーン・ハリスと上記a.については、大体パアッーと全問解いて、間違った問題を解き直す感じ。
* 上記c.については、最後の一週間で一周のみ、ただし特別に追加された最後の2章は除く。

3. 試験と認定
最初の受験でパスしました。その後、2ヶ月程度で無事に認定されました。詳細はさておき、上記の教科書や問題集がそのまま試験の役に立ったかは評価が難しい所ですが、この数ヶ月で勉強したことは今後に役立つ基礎体力の強化になったと確信しています。

いま君に伝えたいお金の話(村上世彰)と池上彰のお金の教科書(池上彰)を読みました

いま君に伝えたいお金の話(村上世彰)と池上彰のお金の教科書(池上彰)を読みました。

最終的には人の喜ぶことをすることが大事なんだよね、お金が集まってくるんだよね、ということがキーメッセージになっていました。

どちらも2018年度の同じような時期に出た、子供向けにお金を開設する本です。それぞれの作者である両氏は今更説明するまでも無いですが、内容に加えて、大きなメッセージも同じような感じになったことが非常に印象深かったです。全く異なる路を歩んできたお二人ですが、お金や経済について常に考えてきたというバックグラウンドの故なんですかね。




2018年11月10日土曜日

2018年11月上旬頃に試したところiOS 12.1 & UQモバイル & iPhone X でパーソナルホットスポット(テザリング)が利用可能になってました。

UQモバイルの公式ではテザリングに対応しているのはIPhone 7までで、iPhone X以上は未対応のようですが、直近でiPhone 7対応したあたりで勢い余ったか、iOS 12.1がなんらかの理由で影響したのでしょうか。

こんな感じなので、これがずっと続くかはわかりませんが、UQモバイルで最新のiPhoneを利用する場合の弱点が一つ無くなりそうなのは嬉しいですね。

iOS 12.1 & UQモバイル & iPhone X でパーソナルホットスポット(テザリング)が利用可能になっていた

2018年11月上旬頃に試したところiOS 12.1 & UQモバイル & iPhone X でパーソナルホットスポット(テザリング)が利用可能になってました。

UQモバイルの公式ではテザリングに対応しているのはIPhone 7までで、iPhone X以上は未対応のようですが、直近でiPhone 7対応したあたりで勢い余ったか、iOS 12.1がなんらかの理由で影響したのでしょうか。

こんな感じなので、これがずっと続くかはわかりませんが、UQモバイルで最新のiPhoneを利用する場合の弱点が一つ無くなりそうなのは嬉しいですね。

2018年11月4日日曜日

読んだ本)日本のいちばん長い日



日本の一番長い日

日本のいちばん長い日、2年前ぐらい前にKindleで買った本です。三分の一ぐらい読んでそのままになっていたので、あらためて最初から最後まで読み直しました。割とそんな本がたくさんあるので、ちゃんとやっつけていきたいところです。

超有名なので、さっと目を通しておくと良いですかねえ。割と「知っていること」を前提に会話や文章などで出てくることが多いので。登場人物も昭和前期の有名人が多数登場するので、気になる人物は他の資料や本で深掘りしてみると面白くかつ勉強になるかもしれないですね。

私の場合、月並みですが、鈴木首相あたりですかねえ。同じ作者の関連本などをチェックですね。

2018年9月22日土曜日

Faxploitを非常にざっくり理解してみた

FaxploitというHPのカラー複合機のFax機能に存在する脆弱性を悪用することで、特定のFAXを送信することで該当する複合機を踏み台にして、その複合機からアクセスできるLAN上のWindowsマシンなどを攻撃できる可能性がある。

* いわゆるITU T.30に則ったG3 Faxプロトコルでは、Faxを送る前にどんなフォーマットで送信すればよいか送受信間で確認する。その結果、カラーイメージはTIFFではなくJPEGで送信されるケースがある(複合機がJPEGをサポートしていれば)
* そのJPEGを複合機がローカルに保存する際、広く普及しているオープンソースのJPEGパーサーではなく、なぜか独自に開発したパーサーが利用されている
* この独自開発のパーサーにバッファオーバーフロー等の脆弱性があった。

非常にざっくりな理解ですが、こんな感じでしょうか。いわゆるFax送受信のプロトコル自体に問題があるわけではなく、それを各メーカーがどのように実装するかの問題です。

なので実際に利用している複合機のFax機能に同様の脆弱性があるかは各メーカーに問い合わせてください、と言ったところですかね。

チェックポイント社の記事
https://research.checkpoint.com/sending-fax-back-to-the-dark-ages/