第03回まっちゃ４４５勉強会潜入記

先日、第03回まっちゃ４４５勉強会に出てきました。午前が目覚まし勉強会、午後が本番勉強会となっていました。残念ながら途中退出してしまいましたが。

で、まず午前の目覚まし勉強会のネタ。

5分で分かるPCI DSS v1.2（F.koryu氏)

恥ずかしながらPCI DSSは未知の内容でして、トップギアでのトークについていけませんでした…。
勉強しておこうと思います。とりあえずめぼしい情報は下記のあたりでしょうか（重複する内容が多いですが）。

社員はなぜマニュアル通りに行動すべきなのか（id:miryu2008氏）

PDFドキュメントが上がっておりますのでご参照ください。ためになります。まとめだけ抜粋すると

マニュアルは業務運用上結構大事
マニュアル通りに作業することは自分を守る盾
マニュアルは生き物で水物
マニュアルに縛られすぎて必要以上に苦しまない
あきらめも肝心、でもチャンスはうかがう

という事でありました。
あと、強烈なアウェー感の中で勇敢にLTするid:miryu2008氏に萌えました（本人曰く「普段からアウェイは慣れてますぜ(笑)」）。

リバースエンジニアリングチャレンジ表彰＋インタビュー

株式会社ネットエージェント主催のイベント「リバースエンジニアリングチャレンジ」上位入賞者の授賞式とインタビュー。
インタビュー内容は雲の上の世界でした。凄すぎる。

ここから本番、午後の部。

セキュアOSが進化した歴史を振り返って来年はチャレンジしよう（田口裕也氏）

こちらも詳細はPDFドキュメント参照。以下ライブメモ（ほとんどPDFに書かれてる事です）。

冒頭
- 「セキュアOS」で検索しても出てこないような事を話したい
自己紹介
- 2003年頃からセキュアOSでビジネスする事を業務に
  - プリセールス、導入、構築
  - サポート、トレーニングコース開発、インストラクターなど丸ごと担当
- 現在は日本オラクル株式会社に勤務
  - データベースセキュリティ
    - sysユーザをどうにかする事を業務に
セキュアOSのメリット
- アンチクラッキング機能として宣伝（2003年頃）
- セキュアOSを使えば、プロセスの間に壁を作るイメージ
- 強制アクセス制御機能
  - ラベルもしくはパス名を使ったアクセス制御機能を追加
  - rootでも強制アクセス制御のチェックは回避できない仕組み
セキュアOSの仕組み
- 普通のアクセス制御にフックして機能を追加している感じ
強制アクセス制御機能の動作
強靱なOSになる（パッチ適用をしなくてもそれなりに守れる）
セキュアOSの位置づけ
- どんなOSにでも適用できる（Windowsにも）
オープンソースのセキュアOS
商用製品のセキュアOS
- 個人的に分類した図
オープンソース？商用？
セキュアOS機能が追加された理由
- 政府調達対策
- 「プロテクション・プロファイル」が重要
  - 満たすのはSolarisだけだった
LSPPとは
- Labeled Security Protection Profile.
- NSA作成
- SELinuxだけが要求されるラベル制御を実現できた
セキュリティポリシーモデルとは
- セキュリティに詳しくない人にも数学的に証明できるモデル
- 元はペンタゴンの中のシステム向け
- Bell-LaPadula
- MLS (Multi Level Security)
- そもそも一般向けのシステムではない！
LSPP Sunset？
- LSPP→MLOSPP
- US政府向け仕様
- 導入にはいろいろ問題がありました
- そもそも営業が提案できない
- カーネルパッチを勝手に当てたらサポート契約外になる？
管理、運用面がかなり進化
- 2004年頃に比べれば、導入のハードルはかなり下がった
韓国で開発されたセキュアOS
韓国での導入実績
- 入れなければいけない状態
日本での導入実績
- ほとんど公開されていない（金融、官公庁、自衛隊？）
特権ユーザの権限分割
管理者を保護する理由から
今後のセキュアOSは？
SELinuxの応用がたくさん
組み込み分野へ進出
クライアント向けセキュアOS

・
・
・

ここでトラブル発生

といっても個人的な。緊急コールを受けて急遽退散させて頂きました。無念。
中途半端な感想としては、SELinuxに関して全くの素人がとりあえず話聞いてみました状態だったので、ひたすら
「へぇーへぇーへぇー」
としか思えない数時間でした。いえ、ムダにはならないと思いますけどきっと多分おそらくメイビー？
とりあえずプライベートでそのうち試してみようかにゃー、とか思いました。以上。