第9回 セキュリティもみじ セミナー
「仮想マシンでセキュアサーバ?/ライトニングトーク 5連発」
■ 日時 ■ 2007年4月21日(土) 13時〜16時30分 タイムテーブル 12:30〜 開場 13:00〜 開始 メイン講演「仮想マシンでセキュアサーバ?」 14:15〜14:30 休憩 14:30〜16:00 ライトニングトーク5連発 16:00〜 自己紹介タイム 16:30 終了 ■ 会場 ■ 広島県立産業技術交流センター 視聴覚室 http://www.hiwave.or.jp/hikos/kouryu/kouryutop.htm 住所:広島市中区千田町3丁目7番47号 広島県情報プラザ内 TEL:082-240-7700 ※会場内は飲食物の持ち込みは原則として禁止されておりますが、ペット ボトルなどでのちょっとした飲物程度ならば許可を頂いております。 ■ メイン講師 ■ 講演者:宮本 久仁男 (a.k.a. wakatono) OS、暗号化通信、VPN etc...と検証/技術蓄積をやっていくうちに、VMにも 手を染めはじめる。最初はマシン不足を解消するために、VMwareを使うだけ だったのが、いつしか Bochs、User Mode Linux、Xenと機能チェック&Linux カーネルの「お手軽」かつ不審な改造、そして安全な構成を作る方向に手を 染めるように。 PMPホルダ、Microsoft MVP (Windows - Security, 2004/10 - 2007/9) 仮想化に関連した著書: 仮想化技術完全攻略ガイド(共著) http://home.impress.co.jp/reference/2326.htm Profile: http://www.microsoft.com/japan/communities/mvp/iammvp/iammvp07q3.mspx#ETC 講演内容: 仮想マシンといっても、いろんな実現方式があります。実現方式だけならば まだしも、セキュリティ上注意しなければならないポイントや、ライセンス/ コンプライアンス上注意しなければならない点も出てきています。そして、 仮想マシンの実装によって、何かをする際の利点/欠点も出てきます。 本講演では、仮想マシンの実現方式や、各種利点/欠点/注意点、そしてXen を用いた「(多分)誰でもできる『セキュリティに留意した』仮想マシン構成」 の例、際に運用したhoneypotの立ち上げ方と留意点などを題材に、話を展開させ ていただきます(予定)。 講演時間:1時間程度 ■ ライトニングトーク ■ 持ち時間5分のトークバトル。質疑応答で突っ込むべし。 ◆一発目:「大規模な個人情報漏洩って」 講演者:石橋 伸介 プロフィール: 株式会社マック・フォーラム所属 ソフトウェア会社で、業務アプリ開発を担当 PMAJ認定:PMスペシャリスト 内容: 今年3月12日に某企業から、過去最悪件数の漏洩事件が発覚した。 数日後、私のところに、とっくに解約したカード会社から封書が・・・ やったー、初めての流出じゃん。どおりでこのごろSPAMが多いと思っ(続く) ◆二発目:SMTP インジェクションの実例 □講師:佐名木 智貴 □プロフィール INSI に勤務。 Webアプリの検査を専門とし、システム開発のセキュリティ問題にも触手を伸ばしている。 □講演概要 SMTP インジェクションの紹介 ◆三発目:「ビジネスとしての仮想化技術」 □講師:濱本常義(はまもと@connect24h) □プロフィール 株式会社エネルギア・コミュニケーションズ 常時接続と情報セキュリティのメーリングリストconnect24h管理人。 Microsoft MVP Windows - Security。ISMS審査員補。ITコーディネータ、 情報セキュリティアドミニストレータ等の資格を持つ資格マニア。 情報セキュリティプロフェッショナル総合教科書の中の人の一人 http://www.shuwasystem.co.jp/cgi-bin/detail.cgi?isbn=4-7980-0880-X 詳しくはこちら http://d.hatena.ne.jp/connect24h/ □講演概要 wakatonoさんの仮想化講演を受けて、仮想化技術をいかに応用していくか、 講演します。 ◆四発目:「Jikto てなに?」 講演者:他力本願堂本舗(杉谷智宏) たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜 http://d.hatena.ne.jp/Tariki/ 著者紹介: 他力本願堂本舗を屋号にセキュリティ診断とコンサルティングを生業にする日々。 セキュリティポリシーを書く立場でありながら自分自身が例外的存在に陥る矛盾を解 決できていない。 著書に翔泳社「サーバー防衛大学校」通称カレー本はひそかなロングセラー http://www.amazon.co.jp/exec/obidos/ASIN/4798105635/ 現在ハッカージャパンにおいて二度の誌面リニューアルを乗り越えて最長寿連載の記 録を更新中。ツールのネタが枯渇中。だれかネタください。 「アクセスガールアスカ」で微エロなコスプレをゴリ押しした主犯。 http://www.gihyo.co.jp/magazines/asuka 内容: 一部界隈を騒がせた Jikto の何がどう偉いのかを具体的に。 スキャナとしてはパターンも少ないしそれほど高度なことは していないというかむしろ単純なスキャンしかしていないけれど、 クロスドメインの制約を超えて JavaScript を挿入するという アイディアは秀逸。これがハックというものか。 ◆五発目:「最近のイントラネット攻撃手法〜XSSからAnti-DNS pinningまで〜」 講演者:竹迫良範(サイボウズ・ラボ株式会社) 内容: 最近はターゲットを絞ったスピア型攻撃も観測されるようになってきました。 Ajaxブームにより益々高まっているイントラネットWebアプリの脅威について解説します。 ■ 定員 ■ 45名 ■ 参加費 ■ 一般:2500円 学生:1000円 ■ お申し込み方法 ■ 本セミナーに参加を御希望の方は、 sec-momiji-con@freeml.com 宛に メールのサブジェクトを 「第9回セキュリティもみじセミナー参加申込」 として、メール本文には ●お名前 ●御連絡先メールアドレス(携帯メール不可) ●懇親会(参加します/参加しません) 注:懇親会費用は4500円程を考えています。学生は学割ありを記載してお送り 下さい。 ■ お問い合わせ ■ 本件についてのお問い合わせは下記までお願い致します。 セキュもみじ事務担当 沢谷 邦夫 ( sec-momiji-con@freeml.com )
