晴耕雨読

working in the fields on fine days and reading books on rainy days

2021年度振り返り

2021年度に対する個人的な駄文です。一言でまとめると、今年度はセキュリティの年でした。

仕事面

  • CompTIA Security+ の資格取得に向けた勉強を開始しました。1回目は不合格でしたが、2回目でなんとか合格しました。 部署異動する前に応用情報の予約もしていたので、2つの日程が近い状態で受けてしまったのが良くなかったですが、合格できてよかったです。
  • 出向先にてセキュリティ診断のグループに配属となりました。Webの脆弱性を利用したペネトレーションテストの技術検証などをしていました。また、4〜6月の間に Hack The Box でトレーニングを積んでいました。 RCEなどを実施する中で、権限昇格の攻撃が通らない環境ではSELinuxやAppArmorが有効になっており、強制アクセス制御 (MAC) の偉大さを改めて知りました。
  • CISSP認定試験を受けました。6時間という長い時間でしたが無事合格できました。 CISSPを通して、セキュリティの知識だけはなく、意思決定のプロセスについても学ぶことができ、大変学びのある試験でした。 実務経験が足りないので、まずは ISC2 準会員として登録して毎年 15 CPE を獲得していきたいと思います。

プライベート面

  • プライベート面では、眼への負担を減らすために、度数の異なる眼鏡を2つ購入しました。 1つは遠くも見える運転用の眼鏡、もう1つはパソコン作業用(距離: 60〜70cm) の眼鏡です。
  • M1のiMacを購入しました。イベントにリモートで参加するために別部屋に配置するPCがもう一台必要だったので購入しました。
  • 自宅では、Hack The Box に VPN 接続できるように、IPv6 対応しているプロバイダーに乗り換えました。 Wi-FiルータもWPA3対応済みのものにリプレイスしたので、より高速で安全な通信環境になりました。
  • 会社の福利厚生?で、Udemy Businessのアカウントを利用して様々な講座を無料で見ることができました。 今回のこの仕組みで英語の講座を含めた色々な講座を見ることができてよかったです。
  • セキュリティ・キャンプ全国大会2021 オンラインの「暗号の脆弱性や攻撃手法を理解して説明しようゼミ」のチュータとして参加しました。 詳細は「seccamp2021チュータ参加記」をご覧ください。
  • 趣味では、QUICのハンドシェイクをPythonで実装していました。 QUICの一番最初の通信であるInitial Packetを復号するところから始めていました。 詳細は「QUIC の Initial Packet を復号する」をご覧ください。 その後、Handshake Packet も復号するところまで実装して通信できるところまで作りました。
  • Hardening Project に参加し、SELinuxの導入と運用を目標に、チートシートの作成などの事前準備をしていました。 競技当日には個人目標である「SELinuxの導入と運用」の技術検証をし、RCEの脆弱性に対する攻撃などを防ぐことができました。 Team8としての取り組みが評価され、受賞したスポンサー賞の副賞は美味しくいただきました。 詳細は「Hardening 2021 Active Fault 参加記」をご覧ください。 翌年の1月には、WASNight 2022のHardening Sessionで振り返りという名のSELinuxについての発表を10分程度しました。
  • 某CTF向けに TLS 1.3 の知識を使って Wireshark と Python で解けるようなネットワーク問題を2問作成し、問題を提供しました。
  • SNS周りのアイコンを新しいペンギンのものに変更しました。

最後に

今年度は、技術面では QUIC と SELinux などに詳しくなりました。 プライベートではMacOSやLinuxをよく使う一方で、仕事では相変わらずWindowsを使っています。 昔は、WindowsよりもLinux系の方が強いのだ!と思っていましたが、Windowsの長所を無視して短所だけに注目して関わらないのは、対人関係と同じで、Windowsに対して無知な自分を受け入れられないか、Windowsの作業で失敗する可能性から回避するためにWindowsの短所に注目して関わらないようにする、という心理状態になっていたのではないかと思っています。 Linuxの方が詳しいのにWindowsの仕事をやらせるのは、会社は私の技術力を正しく評価できていないのでは… と思ったりもしますが、会社に評価されることが私の人生の最優先事項ではないので、プライベートではできないことを会社ではやっていきたいよね、学んだ技術をより多くの人に還元できる場所があればいいよね、くらいの気持ちで来年度も仕事に取り組んでいきたいと思います。

来年度は、異動でまた公共システムを開発している部署に戻るので、また開発畑の人になりそうです。 仕事内容は一変しますが、来年度も引き続き面白そうなところに足を突っ込んでいきたいと思います。