田舎高専生のメモ置き場

技術ブログとかではないです。

熊本ラーメンレビュー

この記事は熊本高専Advent Calendar2017 14日目の記事です。

こんばんは、@solis_mbです。

突然ですがラーメンはお好きでしょうか?
私は旅行や用事で県外に行くと最低でも1回はそこにあるラーメンを食べに行く程度には好きです。
私の友人やクラスメートもラーメン好きが多いです。多分高専生はラーメンとエナドリがあれば生きていける生き物です。

そこでラーメンが好きな高専生のためにラーメンレビューをしていきたいと思います。
※味覚は人それぞれだと思っているので、やはり自分で食べて確かめるのが一番ですよ。

文龍

f:id:solismb:20171213220924j:plain:w400
火の国 文龍 菊陽バイパス店 (ひのくに ぶんりゅう) - 原水/ラーメン [食べログ]
写真は文龍の黒こってりです。偏見ですけど高専生なら1回くらい食べたことあるんじゃないでしょうか。
失礼ですけどまずそうですよね、器も油まみれで汚いし、正直ゲ○みたいです。
これがめちゃめちゃうまい。こってり豚骨ラーメンにこれでもかと背脂がぶっかけられてます。
麺は少し縮れた中太麺。これがこってりしたスープに絡まって最高にうまい。
お好みでセルフの辛子高菜と自家製にんにく漬けをぶっこめます。これもうまい。
レンゲの赤いやつは割と辛いので辛いの苦手な人は要注意。
ただ好みは分かれると思います。あと一杯が少ないので替え玉(100円)は覚悟してたほうがいいですね。

太一商店

f:id:solismb:20171213220850j:plain:w300
太一商店
写真はラーメン野菜背脂タレ多めニンニク普通に野菜マシです。いわゆる二郎インスパイア系ですね。偏見ですけどこれも高専生なら1回くらい食べたことあるんじゃないでしょうか。
醤油豚骨系スープに極太麺と野菜、分厚いチャーシューに刻みにんにくとパワーしかないラーメン。
太一商店公式HPにもあるように、顎を鍛えることが出来ます。
「いやいや二郎系は…」と思う方、小さいサイズもあるのでぜひ食べていただきたい。もし本物の二郎しか食べたことない人も食べてほしいですね。
ここのラーメンは九州発祥だけあって、スープが九州人好みになっています。私も二郎を1回だけ食べたことあるのですが、全く別物と思いましたね。あっちは塩辛くてギトギトすぎる。こっちのほうがすこ。
ただ”普通のラーメン”とはかけ離れていますのでそこは注意。
濃いめのスープのお陰で野菜がガンガン食えます。普段の野菜不足が気になる方は太一を食べて野菜を補給しましょう。

龍の家

f:id:solismb:20171215031815j:plain:w400
とんこつラーメンの龍の家|久留米・新宿・熊本
写真はとんこつ こく味です。下通あたりで昼飯つったら必ず候補に上がる王道ラーメン。
細ストレート麺に実家のような安心感のあるとんこつスープで優勝間違いなし。
黒い器のこく味と赤い器の純味がありますが、これは気分で変えていいでしょう。「とんこつラーメン食いてえなあ」と思ったらこく味。「あっさりしたのが食いてえなあ」と思ったら純味。
個人的にはこく味のほうがパンチがあってすきです。
あとテーブルに置いてあるピリ辛もやしが最高すぎて最高。無限に食べれます。
通町筋にいるときにラーメンに迷ったらここ入っとけば間違いはないですね。

一風堂

f:id:solismb:20171213220814p:plain:w400
ラーメン【一風堂】| Ramen "IPPUDO"
写真は白丸元味です。下通にあたらしく出来ましたね。
熊本で博多ラーメン食べたいといったら個人的にはここが一番。
博多ラーメン特有の極細ストレート麺に濃厚とんこつスープが絡んでうまい。
白丸元味と赤丸新味がありますが、まさに龍の家の純味とこく味といっしょです。
個人的に赤のほうが好きですね(ただこってりが好きなだけでは…?)。
ここももやしがあります。最高。あと新しいので店が綺麗なのと熊本オタクビルの近くにあるのがよい。

にぼらや

f:id:solismb:20171214000651j:plain:w400
旨し一滴 にぼしラーメン 【にぼらや】 | ホームページ
あっさり煮干しベースのスープに鰹節と水菜というとんこつラーメンとは無縁のトッピング。
テーブルにある鰹節を更にぶっこんで魚介パーティにしましょう。
ここで注意したいのが、具を少し残しておくことです。麺を食べ終わったら白飯ドーンして雑炊に。具と一緒にかきこみます。
とんこつはNGという人は是非。私もたまに無性に食べたくなる。

マルイチ食堂

f:id:solismb:20171213220805j:plain:w400
[食べログ]アクセスが制限されています
写真は天草大王塩ラーメンです。
熊本では珍しい塩ラーメン専門店。熊本の地鶏である天草大王でダシをとってるらしい。
麺は少し平ための縮れ麺。普通に美味しいけど地鶏でダシ取ってる割にはそこまで鶏の香りがしなかった気がします。
あと表面に浮いてる鶏油かな、油がめっちゃ熱いので注意してください。
でも普通にアリなラーメンなのでもう一回食べたい感ありますね。あ、店はめっちゃ小さいので1人か2人ぐらいで行ったほうがいいです。

大金豚

f:id:solismb:20171214001046j:plain:w400
麺食堂 大金豚 二丁目店 (ダイキントン) - 辛島町/ラーメン [食べログ]
かなり昔に食べたのであまり覚えてませんが、こってりとんこつスープに縮れ麺が使われてびっくりした記憶があります。食べログ見るとつけ麺もやってるっぽい。要調査。
感覚としては文龍の進化前みたいな感じですかね。普通に美味しかったと思います。
ただ角マックからちょっと歩かないと行けないので龍の家に吸い込まれちゃいますね。歩けデブ。

一燈灯

[食べログ]アクセスが制限されています
これもかなり昔に食べたのでうろ覚えです。確か友人と飯を探してさまよってるときにその日に新しく開店した店だったから入ったと思う。
博多ラーメンなんですが、一風堂みたいな澄んだとんこつスープじゃなくてざらつきを感じるとんこつスープでしたね。スープ濾すやつが粗めなんですかね(適当)。
「あ〜これ、とんこつだわ〜」ってなった気がします。☆5個中☆3.5くらい。まあ中の上か中の中くらいでしたかね。また行って確認せねば。

大将軍

熊本のラーメン『大将軍』とろとろチャーシューが美味すぎる!だがしかし… | KASABUTA-ENDLESS
熊本ラーメンつったらここが一番ですね。とろとろチャーシューと何よりスープが美味い!秒で完飲した気がします。
ザ・大将的な人が作ってます。カウンターだけの小さい店だった気がします。
ちょっと場所が微妙ですけどオススメです。

天外天

f:id:solismb:20171214001459j:plain:w400
[食べログ]アクセスが制限されています
表面にこれでもかとくらいにんにく粉末が振りかけられています。
ただ味は見た目の割にはあっさりして美味。好きな熊本ラーメンの一つです。
〆の一杯で食ったら最高だろうな…
人気店で並ばないといけないのと、夜しか空いていないのはちょっと残念ですが。
どうでもいい話ですけどこれ食べたあとにTapikingでクリームマシマシのタピオカ飲んだんすよ。最高に気持ち悪くなりました。

山水亭

老舗熊本ラーメン 山水亭【大文字】
行かなくていいです。

九龍

f:id:solismb:20171213220827j:plain:w400
[食べログ]アクセスが制限されています
文龍に限りなく近いです。炙りチャーシュー薄いけどうまい。文龍は「文龍食ってる」って感じですけどこっちは「ラーメン食ってる」てなれます(伝われ)。
美味しかったです。また行きたい。

たいのや

f:id:solismb:20171213221144j:plain:w400
[食べログ]アクセスが制限されています
店名からわかると思いますがタイを使った魚介系ラーメン。
鯛塩、海老塩ラーメンと味噌、海老味噌ラーメンがあるんだったけな。
優しい味わいで穏やかな気持ちになれます。〆のご飯はにぼらやと同じメソッドを使ってください。
今度は海老塩を食べたい。誰か一緒に行きましょう。
あと行ったとき中国の観光客が店内を占めててワンオペだったので大変そうでした。店すごい小さいです。

味噌乃家

f:id:solismb:20171213220936j:plain:w400
[食べログ]アクセスが制限されています
味噌ラーメン屋さんです。熊本で味噌つったらここか田所商店なんですかね?
こってり味噌スープに目の前で炙ってくれるチャーシューが香ばしくて最高。
あとキクラゲがカットされずにドンと入ってます。これすこ。私は好きな味噌ラーメンでした。

魚介ラーメン 武蔵

f:id:solismb:20171213220919j:plain:w400
[食べログ]アクセスが制限されています
どこか懐かしさを感じさせる店内。平成生まれだけど。王道魚介ラーメンです。
トッピングはにぼらやとほぼ同じ。テーブルに鰹節もあります。
ご飯が無い代わりに600円と安い値段で高クオリティの魚介ラーメンが頂けます。
前は優しい老夫婦?が営業してましたがこの前行ったときは少しこわめのお姉さんがラーメン作っててオタクなのでビビりました。



大変長くなりましたが大体は熊本で行ったラーメンは書きましたね(もちろん書いてないのもあります)。
写真ないのは自分で撮ったやつが手元になかったからです。

熊本はラーメンのレベルが高いと感じます。熊本人だからそう感じるだけかな。
以上超個人的なラーメンレビューでした。ここまで読んだ人はありがとう。
みんなオススメのラーメン教えてください。

高専生が選ぶ!ぜひ見て欲しいアニメ

この記事は熊本高専Advent Calendar2017 12日目の記事です。

お久しぶりです、@solis_mbです。
熊本高専Advent Calendarということですが、流石高専、他の方の記事を見るとプログラミングや競プロのことについて書かれてますね。素晴らしい。

というわけでね、私も流れに乗ってアニメについて書かせていただこうと思います。



…… 本当はちょい技術ネタ書こう思って昨日用意する予定だったのですが、ちょうど研究のほうが燃えてしまったので時間がなくなりましたすみません。

さて、ここから本題です。
タイトルは「高専生が選ぶ!ぜひ見て欲しいアニメ」とか書いてありますが、高専要素はありません。
この記事で紹介するアニメは私が見て欲しいアニメなのですが、選んだ基準は

  • 割と最近放送したアニメ
  • dアニメストアNetflix、Primeビデオで配信されている
  • (私が観測した範囲で)あまり話題にならなかった

です。
オススメのアニメ教えてくれとか言われたら「シュタゲととらドラ、最近だとリゼロ」とかって答えますよ。ただそれだと面白くないので、いわゆる「有名なやつ」は今回省かせていただきます。
「いや普通に有名だろ」って思うやつもあるかもしれません。この記事は独断と偏見の塊です。ごめんなさい。
以下に紹介と感想を書かせていただきますが、少しネタバレを含みますのでご了承ください。

六花の勇者

f:id:solismb:20171212224158p:plain:w300
TVアニメ『六花の勇者』公式サイト
最近dアニメストアで配信始めたので見返しました。やっぱり面白かったです。
六花の勇者は2015年の夏に放送していたのですが、同じ時期にオーバーロードがっこうぐらし!がやってたせいもあってか全く話題を見ませんでした。
内容は「選ばれた6人の勇者が集結して魔神を倒す旅に出る」です。う〜ん、王道勇者モノじゃないですか。
ただ、画像を見ると「この中に、偽物がいる・・・」 …?
7人いるじゃないですか、六花じゃなくて七花じゃん。
そう、「魔神倒すために勇者集まったら1人多かった」んです。勇者は6人しか選ばれません。ということは…
偽物いるじゃん!魔神どころじゃねえ!
そして始まる、犯人探しゲーム…
勇者たちは夢幻結界という結界に閉じ込められてしまい、偽物の罠にハマります。そして疑心暗鬼になる勇者たち…

中盤で主人公のアドレットくんが最有力容疑者になります。そこで逃げながらも本物だと信じてもらうために7人目の策略の解明に挑みます。

そんな勇者たちの犯人探しアニメです。結末から言ってしまうと、7人目は判明します。しかし、アニメはここで終了です!ちくしょうめ!
オススメの理由は、この予想外の展開と、結構作り込まれた内容だからです。犯人探しが始まる3話から最終回までずっと犯人探ししてましたけど飽きずに見れます。
アドレットくんは自分のことを「地上最強」とよく言います。確かに強いですが、他の勇者と比べると実は弱いのです。才能がなくとも強くあろうと知恵と特殊な道具を駆使し勇者らしからぬ戦い方をする姿が個人的にすこですね。

91Days

f:id:solismb:20171212232143j:plain:w300
91Days
原作のないオリジナルアニメです。以下あらすじ

禁酒法時代―。法は力を持たず、街はマフィアに支配されていた。

舞台は密造酒の闇取引でにぎわいを見せる街・ローレス。
その街に時を経て降り立つ、アヴィリオ。
彼は、かつてこの地でマフィアの抗争により、家族を殺された男。

ある日アヴィリオのもとに謎の人物から一通の手紙が届く。その手紙をきっかけに彼は復讐の火を灯し、ローレスへ舞い戻る。そして仇であるヴァネッティファミリーに侵入し、復讐を果たすためドン・ヴァネッティの息子ネロに近づく。

殺しが殺しを呼び、復讐は新たな復讐へと連鎖する。
哀しき運命に導かれた男たちの91日間の物語の結末とは…?

STORY|91Days

もうあらすじから面白そうな匂いプンプンじゃないですか、ただ内容のせいか全く目立ちませんでしたね…
マフィア/復讐 とかいう要素から予想できますが「殺し・酒・タバコ」って感じです。かっこいいよね。
こうしてマフィアになった主人公アヴィリオは復讐心を秘めながらヴァネッティファミリーの一員として活動しながら幹部ネロに近づいていきます…

感想としては、アヴィリオ、仇のネロ、親友のコルテオあたりを中心とした悲しい人間ドラマがよく描かれていました。バッカーノ!の真反対の暗い内容でしたね。
後半の盛り上がり方がハンパないので最初で切った人はマジでもったいないですよ。
各キャラの苦悩なんかもう見ててつらかったね!ファンゴ(CV:津田健次郎)というキャラが唯一の癒やし(???)でした。
洋酒とタバコが似合う渋い男になりたい。

随時追加予定

は?2つしか書いてないじゃん!すみません(土下座)
間に合いそうにないので一旦公開です。随時加筆修正していく予定です。

CygwinからAnacondaを使いたいときにありがちなトラブル

cygwinからAnaconda(というかconda)で仮想環境作って使いたいときありますよね。
すでにWindows用のインストーラを使ってAnacondaをインストールしていたので、これをそのまま使います。

Windowsで[システム]→[システムの詳細設定]→[環境変数]ボタンをクリックして、ユーザー環境変数のPathを選んで[編集]ボタンを押すとAnacondaへのPATHが出ます。
これをcygwinのbashrcなどに

export PATH=/cygdrive/c/Users/ユーザー/Anaconda3:/cygdrive/c~省略~:$PATH

に追加します。

次に conda create コマンドで仮想環境を構築します。

% conda create -n py2 python=2.7 anaconda

あとは

% source activate py2

でactivateするだけ…
だと思っていたんですが、いざ起動してみると

% python -i
Python 3.5.1 |Anaconda 4.1.0 (64-bit)| (default, Jun 15 2016, 15:29:36) [MSC v.1900 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>>

どうやらちゃんとactivateされていないみたいです。

echo $PATH すると
/C/Users/ユーザー/Anaconda3/envs/py2:/C/Users/~省略~:/cygdrive/c/Users/ユーザー/Anaconda3:/cygdrive/c~省略~

のように仮想環境までのパスをWindowsのフルパスで追加していました。
この /C/Users/~ を /cygdrive/c/Users/~ にしてほしいですね。というわけでactivateをいじります。
which activate して、activateというスクリプトが置かれているディレクトリ(おそらくAnaconda3/Scripts内)に移動し、cpでactivateを別名でコピーします。
コピーしたものをエディタで開きます。これを読むと61行目の _NEW_PART という変数に仮想環境までのパスが格納され、67行目でPATHに追加されるみたいです。
export PATHされる前に、

_NEW_PART=${_NEW_PART//C/cygdrive/c}

という処理を追加します。

% source <コピーしたactivate> py2

echo $PATH すると
/cygdrive/c/Users/ユーザー/Anaconda3/envs/py2:/cygdrive/c/Users/~省略~:/cygdrive/c/Users/ユーザー/Anaconda3:/cygdrive/c~省略~
ちゃんと変わっていました。今度からactivateしたいときはこちらを使用すると出来るようになります。

第15回セキュリティさくらに参加しました

H28年7月30日に開催されたセキュリティさくらの第15回に参加させていただきました。
第15回セキュリティさくら : ATND
メモや感想を書いていこうと思います。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。

クラウド不安、とか言ってる場合じゃない最近のクラウドセキュリティ」(松本 照悟氏)

【評価の分かれるクラウドセキュリティ】

世間の”クラウドの不安”はセキュリティ
情報漏えいなどセキュリティに不安がある

  • 一方
    • 同じ調査の中で23.7%の利用者は”セキュリティが高くなる”ことを評価
    • クラウドセキュリティの積極的な評価も
    • クラウドは既存のアプローチよりもセキュアである” 米国CIA技術主任
    • クラウドを評価する人、クラウドに不安を持つ人の間に大きなギャップ
      • そのギャップをどう埋める(埋めてきた)のか

【そもそも、クラウドってどんなもの?】

  • そもそも、なんでクラウドなの
    • クラウド・コンピューティングの時代
    • キャパシティ計画の考え方
      • 一時期必要な物を一気に調達 → その後無駄に ⇒ クラウド
    • 環境の考え方
      • 調達時間ゼロ、いつでも好きな環境、停止すればコスト削減
    • コストの考え方
      • CAPEX(設備投資)モデル ↔ CPEX(運用コスト)モデル
    • クラウドの評価
      • 早く、簡単、安く
      • 良しとされてきた価値を無にする(ニューノーマル)
    • ニーズに柔軟に応じられるインフラに価値がある
    • 例) Instagram : 最初は位置情報を使ったサービス、写真共有は機能の一つだった

クラウドセキュリティの不安を除くために】

"認証"はわかりやすいセキュリティの評価基準


スイーツタイム

NOJI さんのケーキ。チョコレートケーキ美味しかったです


クラウドセキュリティの常識が変わる】

  • 従来型の”ノーマル”なセキュリティ
    • セキュリティ=機密性・完全性・可用性の維持
    • アクセスコントロール、暗号化、冗長化などを”当たり前"にすること
  • クラウドがもたらすITの恩恵
    • 改善 : ビッグデータ、分析インテリジェンスが簡単に手に入る
    • 革新 : すべての社内リソースが可視化される
  • セキュリティの「ノーマル」な悩み
    • 今行っているセキュリティ対策は有効なのか
    • どこまでセキュリティへ投資したら良いのか
    • コスト最適なのか
  • 「ROI」から「変化適応」へ
  • クラウドが適応型セキュリティを加速
  • 変化適応度に応じたセキュリティの種類分け
  • セキュリティ・ベストミックス
  • 安全なクラウド利用から、クラウドだからこその変化に応じたセキュリティ、が実現できるようになってきた

クラウドならでは、のセキュリティへ】

  • 固定的なセキュリティ -> 企業米の構成・設定によるセキュリティ -> 利用者毎・状況毎のセキュリティ
  • Netflixの場合
    • 自分たちの本番サービスのサーバを勝手にシャットダウン(Chaos Monkey)したり、地域自体を使用不能(Chaos Kong)にするツール群を開発、実装
      • 止まらない、故障しないシステムなんてない!
      • 止まっても大丈夫な仕組みを作り出す
  • “本来やるげきこと”に集中するためのセキュリティ
    • ビジネスの要求に答えられるサービス構築・運用
    • より深いログ分析やリアルタイムな対応
    • 少人数でも規模を拡大化できる仕組み
  • Security By Design
  • DevSecOps
  • ガバナンスの観点からみた課題
    • 管理をする始点からすると、勝手な利用は好ましいものではない
    • 環境バラバラは監査をする方も大変
  • 利用者側の視点からみた課題
    • 自分たちのニーズにそった環境がすぐに用意できないとビジネスが立ち上げられない
  • 望ましい解決策とは
    • 組織としての管理要件を満たしたサービスを、利用者側がすみやかに立ち上げられる環境を提供すること
  • 今時のクラウドの出来ること
    • 環境をテンプレートにできる - サーバ単体だけでなく、ネットワークの構成なども
    • 実行を自動化 - 手作業のミスや操作のばらつきを排除
    • 実行の証跡を確保できる - 誰が何をやったのか追跡
  • SbDの狙い
    • お客のガバナンスポリシーを技術的にスクリプト
    • 制御を確実に実行できるようにする
    • 継続的でリアルタイムな監査を実現できる
    • 結果としてセキュリティ要件を満たす環境の構築を自動化し維持

【終わりに】

  • クラウドがセキュリティにもたらす価値
    • “出来なかったこと”が出来るようになりつつある
    • “変化や要求”に応じること
    • “本当にやるべきこと”に集中できる環境を作ること

LTタイム

TeslaCryptを焼肉に変えた話(李 充根氏)

  • 状況確認
    • 現場
      • 小規模な塾のような環境、かなりアカンNW構成
      • ファイルがTeslaCryptによって暗号化される
  • 復旧方法
    • GitHub上にTeslaCrackというツール
    • 通常、拡張子が.vvvになり暗号化されるはずが、.mp3になってた
    • TeslaCrypt3という改良版による暗号化
  • 作者が降参しマスターキー公開
  • 原因として考えられるもの
    • FlashJavaのバージョンが古い
    • セキュリティソフトの期限切れ

ビギクラ!開発入門者向け脆弱性学習アプリ(政倉氏)

ビギクラ!
SQLインジェクションとか勉強出来ます

パスワード管理ソフトの有用性と危険性について比較してみた(CyberForce3373氏)

  • 有用性
    • 覚えるパスワードが減る
    • パスワードの使い回しが減る
    • ランダムなパスワードの利用
    • 持っているアカウントの把握
    • パスワード以外の情報も管理
    • 自動入力
    • 同期
    • セキュリティレポート
  • 危険性
    • すべてを一度に盗まれる
    • すべてを一度に失う
  • 考察
    • すべてを一度に盗まれる
    • 2段階認証を併用する
    • 下手な管理よりは圧倒的に安全
      • 数パターン程度を使い回す
      • ブラウザのパスワード保存機能を使うくらいならパスワード管理ソフトを使うべし
    • 使い方を工夫する
      • 何を管理対象にするか : (例)Microsoftアカウントは管理対象にしない
    • データの保存場所・同期方法

CSIRTって知ってますか?(powhei氏)

  • CSIRTとは
  • 機能
    • インシデント検知、対応、教育、外部との連携
  • 必要なわけ
    • 小さなインシデントのうちに対応、大きなインシデントを防ぐ
    • あらかじめ対応を準備することで、発生時に冷静に対応
  • 実装形態の例
    • 独立部署
    • 部署横断
    • 個人
  • 見える化
  • まとめ
    • 組織内CSIRTは必要
    • 名ばかりのCSIRTダメゼッタイ

タイピングチューブの紹介(竹森氏)

Typing Tube (タイピングチューブ)

感想:
クラウド、名前知ってるくらいで自分で使ったことはないんですが、お話聞いてる限りすごく便利で安全ですね(小並感)。
"本当にやるべきこと"に集中できる環境を作ることが出来るクラウドは流行るのも納得です。

懇親会

お酒美味しい!加減しなかったせいで帰りの電車で揺られてめちゃ気持ち悪くなりました。勉強になりました。
じゃんけん大会で勝ったのでHITCONのマスキングテープ頂きました!めっちゃかっこいいです

第14回セキュリティさくら と Qemb #04 に参加しました

H28年1月16日に開催されたセキュリティさくらの第14回とQemb #04に参加させて頂きました。
第14回セキュリティさくら : ATND
ハードウェア・組み込み系勉強会 Qemb » ハードウェア・組み込み系勉強会「Qemb」#04
同会場で、午前はQemb、午後はさくらという感じです。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。

Qemb #04

組み込み系の勉強会で初参加でしたが、毎回勉強会としてのスタイルは違うようで、今回はアイデアソン形式で「教育とコンピュータ」というテーマで最初は全体、あとからグループ単位で他の参加者とグループワークを行いました。
私たちのグループでは「Lチカの先」と「モチベーション」を主に話し合いました。

「Lチカの先」

  • 電子工作で何か実現したいものがある・アイデアがあるといいが、まずそこが大変
  • 「ぶっちゃけ実装より考えるほうが大変」
  • Lチカからインターネットにいるすごい人たちが作っているものはいきなり作れない
  • 実現したいものがある・思いついた -> 何が必要か細分化(無線通信、センサー、プログラム など)
  • 細分化した単位でまずググって真似るとこから
  • 完成しなくてもいい -> 勉強にはなっているし、後日また電子工作するときに昔つけた知識が役に立ったりする
  • 便利なライブラリを探そう -> インターネットのすごい人たちが結構作ってたりする

「モチベーション」

  • インターネットのすごい人たちも裏で結構時間かけてたり
  • 少し進捗があるとブログ書いたり知り合いに見せたり(注:全く興味ない人に見せると「で?」で終わる可能性)
  • あえて作る宣言(ブログ、Twitter等)して自分を追い込むのも手

知らない方とグループワークをする機会など滅多にないので、お話出来て楽しかったです。いい刺激になりました。

第14回セキュリティさくら

今回は技術などの話ではなく、「マネジメントシステム」という「人」がメインでそこにセキュリティが関わってくるものでした。
以下、メモ書きになります。

講演1-1「今だから考えるマネジメントシステムな話-過去-」(greenz 氏)

伝えたいこと
to 学生
「何を守るかを考えること。技術を現実に起こすもの」がマネジメント
to 社会人
「企業内のセキュリティの雑事をさせられることが多いが、その背景となるものをきちんと見定めること。これが出来ると適切な提言も可能となる」

「マネジメントシステム」のバズワード

語る人によって定義が異なる
【言葉の整理】

マネジメントの定義

  • 経営などの管理をすること
  • 経営者。管理者

wikipediaでは:
経営管理論(マネジメント)
管理についての実践的な技法の確率を目指す学問

なぜ、セキュリティ分野で利用されるのか?
  • 目標設定を行い、それに対する達成アプローチとしての考え方
  • それを体系的にルール化したもの「マネジメントシステム」
  • リスクの管理
  • それらの中で「情報セキュリティ」に特化したもの ->「情報セキュリティマネジメント(システム)」
わかりづらいのはなぜ?
  • 「経営」と密接に結びついているもので、その点がわかりづらい模様
  • 「マネジメントシステム」がわからないというより、その一つ前である「仕事の仕組み」とのつながりが分からないのが原因っぽい
  • 一人で行う開発と異なり、複数にで行う仕事には多くの登場人物がいる
長いお仕事フロー ->「マネジメントシステム」の必要性
  • 現代における企業組織体としての「仕事」は個人で管理できている範囲を超越している
  • 目標設定して効率的かつ確実に実行するにはフレームワークが必要
  • 多くの人間に役割を与えて協力体制で行うことで対処している
  • ただし、人が2倍=作業量2倍とならない
  • 認識漏れ、連絡漏れなどを除くためにも社内で共通認識できるルール、記録が必要
情報セキュリティマネジメントシステム
  • 更に「マネジメント」を行う上でセキュリティ分野などで無手勝手にやるのは難しい
  • 規格が必要になってくるなど
JISとは
  • JIS Q 15001
  • ISO9001, ISO2700
  • 「ルールの作り方」のルール
  • 規格はあくまでルールであり認証制度には関与しない。それを使って商売するのが認証制度側。混同されやすい
  • 企画に基づき体制を撮ることは有効だが、現状において審査制度には難があるため、取得していること自体が安全な証明にはならない
  • 一定の蓋然性として見れる
PDCAサイクル(不幸のマニ車
  • 回せば回すほど不幸に
リスクアセスメント
  • 計画を立てるにはまず予測が必要
  • 自社の業務内容や所有する情報などを分析しリスクを洗い出す
  • リスクに対する対策を行うことで発生可能性を抑える
  • リスクを「管理」することが目的であり、ゼロにすることが目的ではない
  • 正義かどうかではなく、効率的かどうか

何が可能になるのか?

  • 限られたリソースの最適化
  • 特に重要と思われる箇所への優先的な対策
  • 更に運用結果からフィードバックを行うことによりダメだった箇所は更に強化する事が可能
  • 足し算だけの対策だけでなく引き算の対策
ここまでのまとめ


講演1-2「今だから考えるマネジメントシステムな話-過去-」(松尾秀樹 氏)

情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構

  • 手強い相手と仲良く
  • 事業
    • システム用語は通じない、ビジネス用語に変換
    • -> 厚い信頼関係が必要

技術担当だけ長い間続けていると、本業のビジネスを理解していないことがある

どんな順番でセキュリティ業務を組み立てるか
  • 情報資産、情報資産の管理責任者の確認
  • 情報資産に対する脅威の確認
  • 脅威に対する弱点の確認
  • 影響度の確認
  • セキュリティ障害の発生は起こるか(確率)
  • 対応策の選択 -> 実施へ
リスクを認識させる、責任を持っていただきたく
  • 先ずリスクの確認をしていただきたく
  • ソリューション案の提供
  • 責任を持っていただきたく


スイーツタイム

ケーキ美味しい!アップルパイ美味しい!焼きプリンクッキー的なの美味しい!


講演2-1「今だから考えるマネジメントシステムな話-現在-」(greenz 氏)

ここから「マネジメントシステム」は「情報セキュリティマネジメントシステム」に読み替え
プライバシーマークISMSともに取得数は上昇 -> しかし、いずれの取得事業者数も数位では伸び率が鈍化
個人情報保護法の制定がターニングポイント -> ただし、その状況を今に引きずっている
マイナンバー、改正個人情報保護法が控えるが大きな変化はない模様
本来取得すべき事業者数を超えて過剰になっている印象がある -> 重要な個人情報を扱わない企業が取得しているなど

マネジメントシステムへの批判
  • 取得したのに売上に貢献しない
  • 取得した事業者から漏洩が発生する。だから役に立たない
  • 制度が技術的進歩に追随していない

※公がやっているから批判しやすいという側面がある。これらが全て事実というわけではなく、何らかの問題が存在することを示している

プライバシーマークが腐っていった原因

とあるブログより(削除されている模様)

  • JIS Q 15001を始めとした認定基準、審査基準がアレ
  • 質の悪い審査員

意味がないと言われる原因

  • 取得事業者サイド
    • (なにもしないで)取れれば良い
    • 悪徳コンサルタントを利用する
    • 一部に残存する苦労=セキュアという考え
  • 制度・審査員再度
  • 圧倒的高齢化
    • ビジネスに対する不理解
    • 変化速度を追えていない
    • 紙束と印鑑に頼りきった審査員
  • 「マネジメントシステム」の規格とは開発におけるところのフレームワーク
  • それに従って作れば何も考えずともある程度安全が担保される
  • ところがフレームワークの開発が停滞している状態
  • そのため本質を理解しないで楽しようとするととんでもない作りこみを招く
形骸化の実態と原因
  • これらのことが重なりあうことで目標を見失ってしまう
  • 「マネジメントシステム」とは目標あってこそであり、ここで意味を失っている
  • やがて日本の会社文化にありがちな「手段の目的化」という袋小路に陥っている
形骸化の具体的事例
  • ルールの硬直化
    • 「ルールを変えるルール」という認識がない
    • それで合格を貰ったから変える必要が無い
  • 非合理的な運用
    • 何のためにやるのかを考えないルール
    • 紙の「入退出記録」の運用
まとめ
  • マネジメントシステムの認証を求める事業者は伸び止まりの壁にぶつかっている
  • (特にプライバシーマークに)様々な批判が出てる
  • 認定を受けた企業内に形骸化の問題を抱えている
  • 形骸化の問題は自浄作用が弱いため劇的に環境が変化しないから停滞が続く


講演2-2「今だから考えるマネジメントシステムな話-現在-」(松尾秀樹 氏)

経営者は認証を取るのが大好き
形骸化してきたの? -> いいえ最初から
Pマーク:2年ごとに再審査がある

セキュリティ組織のモデル

大企業型

  • 巨大セキュリティ組織ができる
    • セキュリティ担当者が100名くらいいる
    • ロシアのハッカーを筆頭に20名の専属検査チーム
    • 入室は金属探知機で持ちものチェック
    • 施策検討は、大手コンサル率いる20名のエキスパート
    • あらゆるコンリスを吸い込んで抜け漏れなく検討
    • 開発は規定の試験を受け、認定されてから参画可能になる
  • 潤沢な治験、技術員多数で推進すると
    • 現状の業務を知らないまま施策の検討、一見して too much
    • 事業コスト負担が絶大、金も手間も時間
    • 組織のパワーバランスでものが決まっていく

中小企業型

  • 意識はあるけどお金がない
    • なんとか会社の規定(セキュリティポリシー)は作った -> そこで安心
    • Web診断は高額でウケられない、少数に絞って実施
    • 現場は業務の安全性について不安
    • 標的型にやられてるかも…監視をする金もないし
  • いいこともおおい
    • 決断が早い
    • スクテイク

大企業だけど意識が高くない

  • お金はあるけど意識は低い
    • 「ウチには守るべき個人情報はない」
    • 「メールアドレスは個人情報ではないとして規定書きなおしてもらえますか」
    • プライバシポリシーは「うっかり漏らしたら許してね」と書いておく


講演3-1「今だから考えるマネジメントシステムな話-未来-」(greenz 氏)

  • 語りたいこと
    • 未だ「現場」の問題が解決することがない
    • 「規格」も様々な問題を内包している
    • 「規格」の解釈で言葉遊びをするのではなく、本質を考える
    • その上で「マネジメントシステム」の仕組みの良い形を探り、提言したい
    • それらに至る思考過程も説明するのでそこで非仮想体験して欲しい
現状の問題点のおさらい
  • マネジメントシステムの認証は形骸化のフェーズに入っている

【企業サイド】

  • 導入費用だけでなく、説明、教育などの人的な負荷が高い
  • 現実と乖離したルール、社内申請の二重化

【制度サイド】

  • 規格の更新が行われず技術変化に追従できていない
  • 審査員の教育問題を解決できてない
  • この点はISMS側の比較的水準が高い
    • 専門性を持った担当業種方式の審査などを行っている
    • 画一基準による不要な対策の要求 -> 「よそもやっているから」
    • 紙を大前提にした審査方式の行き詰まり

※この領域は努力で解決できない。世界を個人で変えることが出来ないので出来る範囲で

あるべき姿の提言
  • 部署単位でなく、企業組織単位でセキュリティに限定しない管理
  • 効率よく必要なことを必要なことだけ行う仕組みへの「最適」へのアプローチ
  • 経営層の判断と現場の乖離の改善
「マネジメントシステム」の改革する
  • 「マネジメントシステム」の概念を使って「マネジメントシステム」の改善など

PDCA
KPT
なぜなぜ分析

  • マネジメントシステムというより思考法に近い
  • PDCA, KPTなどの分析手法でも原因をうまく抽出できないと誤った解決に至るという問題がある -> whyをたくさん出す

解決案の模索

  • 業務フローの整理、可視化
  • 各業務フローにある問題を認識、対策を講じる
  • 更に業務手順にフィードバックする
まとめ
  • 業務手順と対策が一体となった「最適化」
  • 経営と一体になった対策、ガバナンスという概念
  • セキュリティのためのセキュリティなんて意味が無い
  • ビジョンのない経営者はNG


講演3-2「今だから考えるマネジメントシステムな話-未来-」(松尾秀樹 氏)

日本企業のものの決め方

  • 人事に関しての習慣
    • 歴史の浅い「最先端技術」に関しては、若い世代に任せる
    • 古くからある業務「コンプラ、監査、経営」に関して外部のプレーンを登用、歴史の長いデキル部下を用いない
  • エンジニアの習慣
    • 自分がいちばん技術力がある、リスペクトされるべき
    • 他のやつがきらい、言葉を選ばない
    • 勢力争い、自分の部下であっても相手を選ばない
  • マネジメントシステムが本質を失っていく
    • 取り入れ方が間違っているかも
結論
  • セキュリティ施策は会社を愛している人 -> 俯瞰し尽くせる人が考えて作るべき?
  • セキュリティ施策は、必ずしも認証を得なくても実施できるし、効率的なリスク削減ができる
  • しかるべきあとに、体外アピールのため、更に社内施策を推進する根拠としてマネジメントシステム、または認証を利用することは経営的・営業的にいいんじゃないか
  • 現場の施策 => 現場がつくるべき
  • 施策の推進 -> マネジメントシステム名を根拠に利用
  • マネジメントすることそのものが目的になってしまったとき
    • コンサル会社の術中にかかっている
    • Pマークを維持していたら顧客に安心してもらえる
    • Pマークの審査官 -> 本当にわかっているのか
    • 非合理的な運用が延々続く
    • 新技術に対応していない

メモ:
スピン経済の歩き方:CIAの“サボりマニュアル”は、なぜ「日本企業あるある」なのか (1/4) - ITmedia ビジネスオンライン


LT

「HAPPY ENGINEERRING」(@kummassi 氏)
  • 「良いチーム」でないと楽しくない
  • 転職 -> 踏みとどまっている理由
    • ある程度大きな組織であれば「あるある」
    • 周囲をハッピーにできたら自分もハッピー?
  • 他人・組織を変えられるか
  • 楽しく働くための実験
    • ウォータフォールからスクラム
    • 味方を少しずつ増やす
    • 他社への介入についての学習
  • 動機付け
    • 外発的、内発的、親和的
「見に染みた中小企業のセキュリティ ~冬~」上村英樹 氏 (@securitybutton)
  • 営業ウイルス
    • ふるまい:標的型電話攻撃
  • 電話攻撃対策
    • 「席を外しています」など
  • 訪問攻撃対策
    • 「会議中です」
  • 『中小企業のセキュリティは弱い』
    • 名言1:うちは漏洩して困るような情報はない
    • 名言2:ウイルスが悪くて私たちは悪くない(責任は問われない)
    • 名言3:自分でできるから大丈夫 -> 「IPアドレスって何?」

添付ファイル付きメール危ない拡張子は表示しましょう

「Azure, AWSで出来るセキュリティ対策」じゅんくどう 氏
  • クラウドでセキュリティって実際に何が出来るのか
  • オンプレで出来ることはクラウドでも大半出来る
    • しかし、工夫がいるところも
    • リスクを理解して利用しよう

懇親会

運営のお手伝いをして遅れて合流しました。参加者の昔話や高専の話などしました。
名刺を作る必要性アリ…
じゃんけん大会で、セキュリティのすごい人たちが集まって書かれたセキュリティの薄い本頂いちゃいました…大切にしたいと思います!
f:id:solismb:20160117205617j:plain



感想
一日中、とても濃い時間を過ごせました。またいろんな方とお話出来て楽しかったです!

高専プロコン2015 競技部門に少し参加しました

こんにちは,@solis_mbです.

この度、熊本高専 熊本キャンパスとして高専プロコン2015 競技部門に少し参加しました.
結果は準決勝で敗退と悪い結果でしたが、ソースコードが公開されてます.
https://github.com/knct-densan/procon26

(注) ここから別に技術的な話は一切しません

私はairi.exeを担当しましたが、今から見苦しい言い訳を書いていきます。
今回プロコンに参加するにあたって、メンバー(@y1r96)にはGUIをやってほしいと言われ「いいぜ」と言ったものの、プログラムの勉強はほとんどしていません(興味はあるが勉強するとは言ってない)し、GUIC#で実装が楽ということでC#使ったんですが、学校の授業で30分くらい触った程度でした。ましてオブジェクト指向なんて4年生になって「オブジェクト指向とは〜クラスとは〜」というテキスト序盤の数十ページ程度しか勉強していません。
ですが、「本番で使う三台のマシンはローカルなサーバーを使って協調して解を提出して〜〜」というものを要求されたので、正直なとこ無理だろう思ってたら本当に無理でしたごめんなさい……
全然わからなかったので去年のプロコンでwasaなんとか先輩が書いたプログラムとか大阪高専様が公開しているプログラムをパクらせていただきました大変申し訳ございません。

準決勝敗退という結果でしたが、メンバーの@lmdexprくんのツイートの通り
https://twitter.com/lmdexpr/status/652730646813503488
シンガポール研修終わり深夜の便で帰国(福岡) -> 飛行機で熊本から東京へ -> 東京から新幹線で長野へ(全て10日土曜日)
という鬼畜日程だったので許してくれという感じではあります…プロコン移動距離部門だとダントツ1位だと思います…

[1日目] AM1時ほどからなんとかシステムを完成させようと徹夜して書いたんですが、いかんせん疲れていて何をしているのか全く分からなくなり追加したコードはほぼ破棄しました。
結局、協調して解を提出というものは実装できませんでしたが、ボタン押したら 問題DL、ソルバに投げる、競技サーバーへ提出 という最低限度の機能はまあなんとか動いてくれたのでそれを使いました。ソルバーのパラメータを変えたやつをそれぞれ走らせて、メンバーと口頭で返ってきたスコア読みあげて「スコアOOでましたポストします」みたいなアナログなことしてました。

[2日目] 1日目の晩御飯に美味しい信州味噌ラーメンをご馳走になって、PM8時半あたりで「よし、協調は無理でももう少しまともなシステム作ろう」と意気込んでたんですが、ホテルに帰って仮眠をとると言ってベッドに横になってしまったのが間違いでした。気が付いたら朝の7時すぎで状況を飲み込むのに10秒ほどかかり、「ヤバイヤバイ」と急いで会場に向かいました。
敗者復活戦が行われている間Visual Studioとずっとにらめっこをしていて、試合開始10分前に「よっしゃ出来た!」と予選より断然使い勝手の良いものが出来たんですが、5分前にバグを踏んで(恥ずかしいミスだったので書きません)、結局予選と全く変わらない旧airi.exeを使いました…新airi.exeは無駄になりました…
f:id:solismb:20151013033736p:plain
(↑本来動くはずだったairi.exe)

メンバーに非常に迷惑をかけてしまい申し訳なさしかありません。ほんとは私のソースもきったないので公開したくないのですがこれも処刑だと思って我慢します…

反省としてはちゃんと計画的にコードを書こう、プログラムの設計まわりをちゃんと勉強しようなど挙げたらキリがないです。
グダグダと書きましたが、なんだかんだ楽しかったです。
プロコンに関する質問は@y1r96まで。

[小ネタ] Q : airi.exeって名前なに?
A : 白鹿愛莉ちゃんかわいいよ

CTF for ビギナーズ2015 熊本 に参加させて頂きました

9月12日(土)に東海大学(熊本キャンパス)で行われたCTF for ビギナーズ2015 熊本に参加させて頂きました。
CTF(Capture The Flag)と呼ばれるコンピュータセキュリティの知識や技術を使って隠されたflagを探し出す、という競技を初心者向けに講習や実践を行っている勉強会です。
講師が有名な方ばかりで、参加者一覧もあんた初心者じゃないでしょみたいな方がたまにいて、ほんとに初心者だったのでビクビクでしたがとてもためになりました。

今回は以下の通り行われました。

  • 情報理論、CTFとは
    • 情報やCTFについての簡単な説明、またルールや気をつけないといけないことなど
  • ネットワーク講義
    • ネットワーク分野で必要な知識や技術(ツールの使い方なども)、出題されるネットワーク問題はどのような問題があるか、実際に問題を見てみるなど
  • Web講義
    • Web問題を解くにあたっての注意事項、Webの基礎知識、調査方法(ブラウザのデベロッパツールの使い方等)、具体的な攻撃方法など
  • CTF
    • 運営が用意した問題を実際に解いてみよう
  • 答えあわせ

CTFで私が解けたのは、練習問題(スコア100)、web100、web200、net100の4つ(実質3つ)で500点でした。参加する前は全部3問ずつくらい解けるやろw思ってたので悔しい限りです……頑張ろうと思いました。慢心ダメ。
今回の教訓は、binだとfileコマンドちゃんと使え、nwだとWiresharkとにらめっこばかりしてないでサーバに接続出来ないかも確認する、webだとデベロッパツールちゃんと使え、全体的には「とりあえずなんでもしてみろ」などでした。

CTF4bを通して問題を解くにあたって何をすればいいか、(初歩的な)具体的な攻撃方法なんかがわかり初心者の私にとってとても良かったです。また参加出来たらと思います。将来的には脱ビギナーしたいですね…

※注
脆弱性っぽいものを見つけても攻撃しちゃダメ。法律で罰せられます。IPAに届け出て、攻撃はCTFでしましょう。