以前のエントリーに引き続き、HOPE DAY1の様子をまとめます。 www.scientia-security.org When Vulnerability Disclosure Gets Ugly CCSF（City College San Francisco）で講師をしているSam Bowne氏の講演です。授業中に行ったGoogle Hackingのデモを行った…

先日、HOPEに参加してきましたが、ひとつ注目を集めていたセッションの中に『2016 Car Hacking Tools』というセッションがありました。スピーカーは『The Car Hacker's Handbook: A Guide for the Penetration Tester』の作者であるCraig Smith氏です。 www.…

2016/08/11に記事の一部を更新しました。 サイバー・デセプション（Cyber Deception）というキーワードをご存知でしょうか？ 最近ガートナーが発表した「企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10」にも登…

金曜日から日曜日にかけてニューヨークで開催されるイベントHacker On the Planet Earth（HOPE）に参加していました。 [The Eleventh HOPE] Welcome to Hackers On Planet Earth! HOPEとは？ 詳しい歴史などは、Hackers on Planet Earth - Wikipedia, the fr…

先日、Phily New Technology Meetupに参加してみました。 www.meetup.com 今回のネタは、Microsoft HoloLensのデモとShara Evans女史による『Life in the Software-enabled World of Tomorrow』というプレゼンテーションでしたが、非常に面白かったので記事…

大学で一番面白かった授業の教授は誰かと聞かれれば、科学哲学を専門としている村上陽一郎先生の名前を挙げるのですが、STS（科学技術社会論）の授業で取り扱われていた安全学という学際的なアプローチが非常に印象に残っています。 安全学とは？ 詳しい説明…

以前の記事では、ペネトレーション・テスターの資格について考察しましたが、今回はフォレンジックやインシデント・レスポンスの資格について考察してみたいと思います。（昔はフォレンジックをかなり専門的にやっていたのですが、最近はまったく携わってい…

セキュリティを組織に定着させるためには、組織文化が大きく絡むと考えることが多いのですが、セキュリティ＆組織文化分析なんというテーマの研究があまり見当たりませんでした。その一方、「組織文化の分析と適用すべきアジャイル手法の選択」なんという面…

某学会に参加したときに知った概念でインセンティブ・セキュリティというものがあります。意外と知られていないので、少し考えをまとめたので記載をしてみたいと思います。 インセンティブとは？ そもそもインセンティブとは、何でしょうか。簡単に言えば、…

注意：リンク先が変わったようで翻訳した内容も当時と異なる可能性があります。(2018/10/13) www.fbi.gov ソーシャル・エンジニアリングの世界で有名なドキュメントであるFBI Elicitaiton Techniquesを改めて読む必要があったのですが、今後も参照することが…

日本企業がセキュリティ診断をする場合、ベンダーに依頼することが一般的だと思います。 ベンダー選定時には、コスト・品質・評判など色々な判断基準はあるかと思いますが、特に品質は難しい問題です。「高品質なのか？」、「値段に見合う品質なのか？」とい…

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。 日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。（評価には個人の意見がかなり含まれてい…