4年前に会社の福利厚生を使ってスタンフォードの授業を取ってみたら面白く、 働きながらでも続けられそうだなという実感を得たので、 2年後、受験を経てジョージア工科大学にリモートで通い始めた。 そして先日、ジョージア工科大学からコンピュータサイエンス修士号をいただくことができた。 画像の学位記は卒業式イベント用の非公式のもので、1~2か月すると Masterとちゃんと書いてある本物が来るらしい *1 。 After 1 year and 9 months, I graduated from Georgia Tech and got a master's degree in computer science. It was intense to be a student while working full-time, but I learned a lot. pic.twitter.com/J

注意: 本エントリで紹介するツールは現時点でPoCな実装であり、効果や効率を保証するものではありません。 ちょっと前に社内でGitHub Actionsのサプライチェーン攻撃についての話題があがって、「なるほどー。今時は、リポジトリのコードだけの脆弱性や第三者コードの混入とかだけを気にしていても足りない時があるのか」いう感想でした。 いろいろな軽減策が提案されているので*1基本的にそれらを実践するが良いとする上で、「GitHub Actionsのサプライチェーンをたどって脆弱性スキャンとか危険なコード混入をチェックできたら意味あったりするかなあ」とふと思って、その「GitHub Actionsのサプライチェーンをたどる」というところに興味がでてきたのでツールとして作ってみました。 github.com oshka oshka*2の振る舞いは以下の通りです。 指定したディレクトリ（ fs ）

最近夜や休日に自分の勉強や開発をできなくなった。 夜や休日にそんなことせずに業務時間内でやるべきでしょという意見もあると思うが、自分の場合は以前は苦もなく自然とやれていた。それが今はできていない。 理由は明確で、自分が集中できていないからである。背景には育児家事の話はもちろんあるが、時間が取れていないわけではない。 息子は睡眠エリートで毎日2~3時間昼寝をするし夜20時半には寝ている。寝ている時間に何かをすればよいのだが、手が付かない。イメージとしては、1日のMPを使い果たしている感じ。こういう感覚は育児に関係なく経験していて、集中できなくなってしまう時期はあった。 なので「育児家事で時間が取れない」というのは正確ではなくて、「自分が集中できていない」というのが正しい気がする。これは自分の考えであって、家庭にもよるとは思う。家事育児の事情は本当に家庭によって全然違う。子どもが生まれたことで

IP制限しているTCP 22(sshd)や3306(MySQL)のようなポートが空いていないかチェックするツールを作りました。 たとえば設定ミスで22番ポートがすべてのIPを許可している状態になってしまっていたというケースがありそうで、サーバ台数が数百台になってくるといちいち気にしているのが面倒なのでチェックする簡易ポートスキャナーを作りました。 github.com 外部監視ツールだとポートが空いてるか、任意の文字列が返るかなどのチェックはできますが、ポートが閉じられてることというのを簡単に管理するのが意外と手間だと感じたのがきっかけです。 Go言語で作ってるのでバイナリにして実行もできます。 使い方 goが動く環境を用意して、 echo "example.com\nexample.net" | go run aite9 -tcp 22,3306 のようにすると次のように一気にポートをス

おまたせしました この度、ついにこの記事を完成させることができました。これは私が数年前からずっと書きたいと思っていた、ウェブのアクセスログに対する、機械学習を使った異常検知の実例です。私は事あるごとに(※1)「情報セキュリティ分野でもデータサイエンスの技術は非常に重要だ」と繰り返していますが、この記事の内容はまさにその1つの証となると思います。この記事で示される内容を見れば、「うわ、機械学習、マジでヤバイい(語彙力)んだな...」となるでしょう。以下に心当たりのあるセキュリティエンジニアはぜひ読んで、そして実践してみてください。 機械学習に興味はあるものの、どこから手を付ければよいのかイメージがわかない 本当にAIやデータサイエンス、機械学習がセキュリティの分野で役に立つのか、確信がもてない データサイエンスや機械学習は難しそうだと思っている ログ解析において、grepや単純な統計処理より

はじめに 以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」ようなイメージがありますが、実際にはWAFが仕事を行う上で最も重要になるのは、その通信が攻撃なのかどうかを見分けること、つまり「分類」です。分類が終わってしまえば、その結果に応じて通信を許可したり、禁止するだけでよいので、そこには技術的な意味での難しさはありません。 つまりWAFというのは「ソフトウェアが分類を行う場面」であり、いかにしてコンピュータ、ソフトウェアに上手に物事を見極めてもらうのか、分類してもらうのかという点が、よいWAFを実現するために必要な技術のコアになります。 あるHTTPリクエストを見て、「ああ、これは攻撃だよね」と専門家が目で確認してわかる場合。果たしてソフトウ

youkoseki.com 2021年だから人類はHTMLを手打ちしろ 新しい年だ。人並に新しいことを始めようなどと考える人もいるだろう。しかし、なにを始めればいいのか？　僭越ながら一つ提案をさせてもらえるなら、私はこう言いたい。HTMLを手打ちしろ。ハイパーテキストマークアップランゲージを学べ。なぜなら、個人がコツコツとタグを手打ちしたウェブページには暖かみがあるからだ。 私は中学一年生のとき、はじめてパーソナルコンピュータを買ってもらった。中学受験がうまくいったら買ってもらえるという約束で、受験には失敗したのだが、買ってもらったのだ。中学時代、ほとんどずっとパソコンと向かいあっていたが、CONFIG.SYSとAUTOEXEC.BATを書き換えてメモリ残量の上下に一喜一憂していた記憶しかない。あとA列車で行こう4や、ルナティックドーンのようなアートディンクのPCゲーム。Windows 3

2020年12月22日。YJキャピタル支援先で、私が担当させていただいたヤプリが東証マザーズに上場しました。おめでとうございます。 YJキャピタルの出資先としては、2012年9月の1号ファンド開始から数えて14・15社目のIPO（株式公開）となりました。※同日にカイゼンプラットフォームさんもIPOというダブルでめでたい日になりました。カイゼンさんへのメッセージはまた別の機会に！ 今日のnoteでは7年間伴走してきたヤプリさんとの日々について振り返りたいと思います。 ヤプリとの出会い私は2013年4月にヤフーに転職し、YJキャピタルに2013年7月からジョインしました。ドリームインキュベータ（DI）で投資業務に携わっていましたが、日本のスタートアップ投資実務から6年ほど離れていたこともあり、浦島太郎の状態でコミュニティに戻ってきました。 当然、中途入社でベンチャーキャピタルに入社したわけです

未踏のAIフロンティアプログラムで去年から一緒にメンターをやっている吉崎航さんがシステムディレクターを務める、横浜の「動く実物大ガンダム」を見に行ってきた。 18メートルもの巨大ロボットが歩行アクションをしたりしゃがんだり立ち上がったりする様子は、テレビやYouTubeやTwitterなどで既に散々流れていると思うが、根本的にビデオで見ると、やたら遅く見えたりCGのように見えたりするなあ、と思う人も少なくないだろう。 しかし実物は全く違う。ハッキリ言って、これほどブロガー泣かせ、YouTuber泣かせのネタもないだろう。なにしろ「実物は写真や動画とはぜんぜん違う」ということを写真や動画を使って説明しなければならないのである。 写真だけ見てもできの悪いCGにしか見えないというのが最大の欠点かもしれない。 しかし、実際にこのサイズの人型のロボットがモーションする様は圧巻の一言である。ビル6階ぶ

何が起こったの？ CentOSプロジェクトがCentOS Streamに開発をシフトしていくことを宣言しました。これに伴ってRHEL 8の再構築としてのCentOS Linux 8は2021年に終了予定となりました。 ref: https://blog.centos.org/2020/12/future-is-centos-stream/ CentOSはLinuxの２大ディストリビューションの一つであるRed Hat Enterprise Linuxから商用パッケージを抜いてリビルドしたバージョンです。 商用パッケージが抜いてあるため、サポート無しで良ければ無料で本番環境で利用できるという事でOSの商用サポートを必要としないようなケースでよく利用されています。 今回、CentOS Linuxが終了してCentOS Streamになる事でCentOS終了！？ という感じで一瞬ビビりましたがそ

こんにちは、Hamee株式会社でSREとして働いています。大嶋です。 普段はNextEngineのクラウド化案件を担当しています。 この記事はHamee Advent Calendar 2020の9日目になります。 また、前職でテックブログ執筆のために準備していた記事を修正し公開しています。 （公開のタイミングを見失っていたためこのタイミングで公開させてください） そのためやってみた記事と、今後弊社で個人的に取り入れていきたい仕組みの紹介（提案）となります。 それではAWSマルチアカウント運用時の脅威検出の導入の取り組みについて、紹介させて頂きます。 目次 概要 課題 利用AWSサービス説明 CloudFormationStackSets GuardDuty 全体イメージ CloudFormationStackSets 必要なリソース、用途 構築手順 GuardDuty 必要なリソース、用

「鬼滅の刃」が絶好調だ。 あえて説明する必要もないが、劇場版の興行収入がえらいことになっていたり、単行本の売り上げがドえらいことになっていたり、最終巻を求めて長蛇の列ができたり、めちゃくちゃ転売されたり、わけわからんコラボグッズが出たり、とんでもない状況だ。 見ると、町ゆく子どもたちのマスクまでどこかで見たような柄のものになっている。 これはもう社会現象と言っても過言ではないのだろう。 この「鬼滅の刃」はすごい。 たぶんどえらい作品だ。 そんなもの詳しくなくても分かる。 ただ、「たぶん」と表現しているのは、実はまだ観たことがないからだ。 そう、僕はこの作品に全く触れていないのだ。 原作も見てなければアニメも見ていない。もちろん劇場版も見るつもりはない。 やはり、たとえ末端といえども文章を書いたりして表現活動をしている者として、こういった作品は必ず抑えておく必要がある。 社会現象は多くの人に

これはさりげなく スターフェスティバル Advent Calendar 2020の20日目です。 PHPカンファレンス2020 2019年は登壇などを控えて一休みの期間としていたので一年振りくらいの と登壇となりました。 発表の内容としてはここ3、4年注力しているデータ処理まわりから、 PHPにおけるWebアプリケーションなどでも活用することができる題材を取り上げてお話させていただきました。 要するに事業に関わっている開発は年々要件も複雑になっていき、 問題解決するためにはいろんな手法があるけど、きちんと分析して 開発しやすいよう、フレームワークにべったり依存してつくるのではなく、 数年先を見越してつくったり、改善する方法の一つにCQRSもありますよ、という話です。 お話したように、全てのアプリケーションでペイできるものではありませんし、 ある程度大きな規模だったりある程度複雑な機能だった

この記事はStef Walterによる CentOS Stream is Continuous Delivery の翻訳です。 継続的デリバリーの基礎：難しいことを継続的に行い、簡単になるようにする。 外から見ると、RHEL（そしてCentOS Linuxコンテンツ）を構築する方法は、この10年間で変わっていないように見えるかもしれません。しかし、その内部ではRHELを開発する方法について、顧客に影響を与えることなく記念碑的な変革を成し遂げようとしています。 私は様々なカンファレンスでこの話をしてきましたが、CentOS Linux 8とCentOS Streamについての発表は、ここで話をするきっかけを与えてくれました。 3年前、RHELエンジニアリングで働いている私たちの何人かはアイデアを持っていました：継続的インテグレーション、継続的デリバリー、予測可能なリリース頻度などの現代的な開

オンラインで開催されたPHPカンファレンス2020に登壇してきました。 VAddyとしてはブロンズスポンサーで協力させて頂きました。 「DNS改ざん検知ツールの実装とDNSパケットの世界」というタイトルで、前半はドメイン名ハイジャックの仕組み、事件例、対応ツールとしてのNScheckerの話をしました。後半は、DNSは面白いことを伝えたく、DNSのパケットやプロトコルの話をしました。 docs.google.com DNSは30年以上の歴史があり、その仕組みが現在のインターネットを支えています。ドメイン名ハイジャックの事件を知り、怖くなって改竄検知ツールNScheckerを作ったのですが、その時にDNSプロトコルを勉強してその面白さに気付きました。 後半では、DNSの面白さが少しでも伝わればと思い、あえてバイナリデータのダンプを表示してラベルやオフセットの仕組みを解説しました。 今年の夏頃

DNS改ざん検知ツールの実装とDNSパケットの世界 市川@cakephper 2020/12/12 PHPCON2020

はじめに こんにちは、研究開発の宇田川です。 前回のブログでは、防御ログ（リスト）をAWSを使って自動取得する方法を公開させていただきました。 ScutumAPIリリース記念！防御ログをAWSで自動取得してみた。 第二弾は、AWSサービスを利用して詳細な防御ログの自動取得する方法を公開させていただきます。 ちなみにもっと早く公開する予定でしたが、書き始めてから構成を変更すること3回。そして、結構な長文になってしまいました… 斜め読みでもいいので目を通していただければ幸いです。 防御ログ（詳細）とは 防御ログ（詳細）について説明する前に防御ログ（リスト）で取得できる情報をおさらいします。 防御ログ（リスト）で取得できる要素を表にすると下記の通りとなります。 検知又はブロックした攻撃の集計する場合はこれで足りると思いますが、リクエストどこに攻撃が含まれているかを分析したい場合は、リクエストのメ

詳細：https://fumimaker.hatenablog.com/entry/2020/07/09/031834 電子工作を始めるために必要な基礎知識をまとめました。本書では、電気の基礎からアナログ回路、デジタル回路、マイコンの初歩までを網羅しています。初歩的なことしか書いていないので、教科書や…

本エントリは社会人学生 Advent Calendar 2020の19日目です。ただ今月の後半は個人的事情で非常に忙しいことが予想されるので、本日書いてしまってまだ筆の熱が残っている内に公開してしまおうと思います。 改めて自己紹介をさせてください。37歳の職業ソフトウェア技術者です。現在フルタイムで働きながら、北陸先端科学技術大学院大学（通称JAIST）の博士前期課程で情報科学を専攻しています。実は本アドベントカレンダーは去年も参加しました。そちらには進学の動機や入学したばかりの初々しい気持ちが表明されているような気がします。 fushiroyama.hatenablog.com さて、本エントリで何を書こうか少し悩みました。考えた結果、前半で「1年目を終えた率直な感想」を、後半で「JAISTで社会人大学院生をやること」について書こうと思います。特に後半には、この1年でのべ100人ぐらいに