4月10日の総関西サイバーセキュリティLT大会(総サイLT)に行ってきたので軽く紹介

どんなイベントか？

関西のセキュリティ業界を活気づけるという目的の元で隔月の第2水曜日に開かれる関西１大きいセキュリティのイベントです。(私調べ)

基調講演とLTがあり、基調講演では無償できてくださる講師の方の実際の経験などを含んだためになる講演が、LTでは5分ぴったりという短い時間に面白いセキュリティの話題や経験というのを聞くことができます。

個人的な感想とすると、他の技術的な勉強会などでは「自分が行っても大丈夫だろうか…」という不安があると思います。しかし、このイベントでしたら言い方は悪いが聞くだけなので是非ともセキュリティに興味のある初心者の方などにも行っていただきたいイベントです。また、関西の有名な方などとも出会える珍しい機会なのでただ聞くだけではなく是非とも周りの方と話して見たりして人脈を広げる機会として頂きたいです。

基調講演

What's Security Engineering manager

メルカリのセキュリティのマネジメントをされている方が講演されました。セキュリティのマネージャーとしてどんな事をされて、どのような仕組みの上で行なっているのかというお話しでした。

面白いと感じたのは、MissionやValue、Tenetsといったようにどのような目的を持ったチームなのか？、何をするのか？といった事が全て文章として定義しており、もし業務上で悩む事があれば文章化されたその目的や役割というのと照らし合わせて考えるという点です。なぜそのような事をするのかという理由としておっしゃっていたのが、セキュリティというのはいつも決断が必要となる分野のため悩んだ時に判断の基準となるものを作る事によってより良い判断ができるように助けるという理由でした。

このValueの中には、ただ禁止するのではなく受容できるリスクは受容するというのがあります。この点について「リスクの受容というのは経営陣は了承しているのか？」という質問がありました。それに対しての答えというのが「Valueの説明責任を果たすとある通りに経営陣にも説明して理解してもらった上でする」というもので、文章化するだけでなく実際に行動に影響を与える仕組みが成り立っているのは素晴らしいです。
https://speakerdeck.com/springmoon6/whats-security-engineering-manager?slide=6

海外のサイバーセキュリティ法や個人情報保護観点のトレンド

(会場のみ)

LT

面白かったLTを例として上げさせて頂きます。 

脆弱性診断を内製化してわかったこと

開発案件でシフトレフトするプロジェクトの一環として脆弱性診断を内製化する事にした。

多かった脆弱性としてXSS、HTTPレスポンスヘッダ、パスワードの文字数などがあり脆弱性の修正をするように開発者に言っても、脆弱性のこと自体を知らないことも多いという問題が浮かび上がった。

内製化して出来たこと

• 似た事が多いとフレームワークの時点で潰す事にした
• 教育をする事で脆弱性についての知識を増やしてもらう
• 外部に頼むと高いが内製化した事によってリリース後の診断を気軽にできるようになった

https://speakerdeck.com/koujimatsuda11/cui-ruo-xing-zhen-duan-wonei-zhi-hua-sitewakatutakoto
私も脆弱性診断などから社内のセキュリティ技術を高めていけるような仕事がしたいと思っているためこの方のLTがとても興味深かったので上げさせて頂きました。

まとめ

総関西サイバーセキュリティLT大会は技術だけでなく社会情勢や実際の体験を通して得た事など、他の関西圏である勉強会よりも広く浅く知る事が出来ます。是非ともセキュリティに興味ある方やセキュリティやっている人と繋がりたいなどと考える方など参加して見て欲しいです。

(基本的に内容の拡散が推奨されているイベントのためブログに感想として上げさせて頂きましたが、内容など取り上げないで欲しいなどありましたら申し訳ないのですが twitter:@ksusec_hiroの方までお教え頂けますと幸いです…)

追記

今回参加させていただいた総関西サイバーセキュリティLT大会と同じく、関西を中心とした有名なセキュリティの集まりであるtktk勉強会さんとのコラボで今年も7月の14日に「Ultimate Cyber Security Quiz」があるそうです。セキュリティに関してのクイズを3部制で競い一位を目指すという熱い競技なので是非こちらも参加してみて下さい。(私も昨年は用事で行けなかったので今年は参加したいです！)

今PHP学習RTAしてるんですが、その中でMySQLを使う際にエラーが出たのでその解決策(とりあえず何とかした方法ともいう)をメモる。

環境は

• XAMPP 7.1.27
• PHP 7.1.16
• myssql 8.0.15

で合ってるはず。最初はXAMPPの古いバージョン(xampp-osx-7.3.2-2-vm)を使っていたようだ。これをインストールした理由としてはとりあえず、公式サイトでmac用にと書いてある奴を何も考えずダウンロードしたためである。いや、まさかこれが6時間にも及ぶ戦いの原因となるとなんて思ってもみなかった。

とりあえず、起きた現象とするとphpよりPDOを使用してMySQLを使用しようとするとERROR 2002　No such file or directoryが発生した。

最初はmysql.sockのパスがおかしいのかと思いそっちの設定をググりながらやってみた。一応書くとmysqlコマンドの中で(?)socketファイルのパスを探すコマンドを使用して、そこで出たパスをphp.iniに書き込むという奴だ。多分これはググったらすぐに出て来ると思う。

だが、これでは解決しなかった。

他の方法を探しているとnew PDO(. . .)をする際に設定する値の一つにhostというのがある。これを本ではhost=localhostとしていたが、これだとポートの関係とかうんたらで接続できないという記事があった。そのためhost=127.0.0.1にするとNo such file or directoryは消えた。

だが、これだけでは終わらなかった。

動作を確認すると次はConnection Refusedというエラーが出た。これがどこから出ているのかが分からず、new PDO(. . .)をする際のパスワードやテーブル名が間違ってないかとかを入念に確認していたが上手く行かなかった。

しかし、どうもMySQL側のエラーだというのが分かったのでMySQLを入れ直す事にした。その時にふと、もしかするとXAMPP側で何かしらの依存関係とかあるってそれを今のMySQLの入れ方では壊してるのかなと思いXAMPPを入れ直す事にした。

その時に、先ほどはとりあえずmac用のをとしていたのをやめてダウンロードページ(Download XAMPP)より最新のを用意した。

この状態でbrewにてインストールしたmysqlコマンドを使ったのだがデータベースへの接続が行えず使えなかった。そのため、XAMPPに備えられているmysqlを使用する事にするとコマンドが正常に使えた。

参照(データベース環境構築(Mac版) MySQLの設定 | ITエンジニア"が作るメディア Tech Fun Magazine)

もう一度データベースを構築し直したところエラーもでず正常に動いた。

POSTしたはずなのになぜか書き込みがされないという問題も合ったが、それは単に書き込み側のphpファイルではhost=localhostにしたままだったためであった。

正直この何が原因だったのか分からないまま使い続けるのは低レイヤーの民としてすごくもどかしいが、とりあえずPHPを勉強する方が優先順位が高いため今回はこれでクローズとしよう。。。