朝は土砂降り。夜は快晴。気候の変動が激しい季節になりつつある。
仕事,予定通り全く進まず。昼間は眠いし,引越の気疲れが全然収まってない。年寄りの引越はボケを引き起こしやすいと言うが,今のワシはその状態である。そのうち同じことを何度も何度もblogに書き付けるやもしれず。あ,既にそうなっている?
ふーん,45nmプロセスのQuad-core CPUが出たのか。しかも,出たてだというのに価格が安い。こうしてどんどん並列化が容易なPCが出回るんだなぁ。2年後には32PE構成の実験が個人研究室レベルでも可能になりそう。良きかな。
現実逃避ツールとして,ここのアクセスログをつらつら眺めている。で,思うのだが,
> xxx.hatena.ne.jp - - [24/Mar/2008:11:09:34 +0900] "GET /weblog/index.rdf HTTP/1.1" 304 - "-" "Hatena RSS/0.3 (http://r.hatena.ne.jp; 6 subscribers)"
ま,これはいいとして,
> xxx.hatena.ne.jp - - [24/Mar/2008:17:36:35 +0900] "GET /nasoft/ HTTP/1.1" 206 2477 "-" "Hatena Bookmark/0.1 (http://b.hatena.ne.jp; 37 users)"
ってのを見ると,こういう商売をしたくなる気持ちも理解できるな。しないけど。
お若い方からの「セキュリティ関係の勉強をしたい」というご相談メールを頂いたので,それに対するワシの回答を書いてみた。
---- ここから
ご回答,遅れましてすいませんでした。xxxx先生の方から,お話は伺っています。一応,サーバマシンの管理業務や,セキュリティ関係の卒研テーマを持った経験がありますので,それを踏まえてお答えしたいと思います。08/03/19 に xxxx
さんは書きました:
(省略)ちょっと難しい問題を含んでいますが,要点のみを簡潔にまとめてみます。
まず,さまざまなサーバへの攻撃手段を集めておられるようですが,その手のものは基本的には学問ベースに乗らないものが殆どです。つまり,体系的なカリキュラムの上には乗りづらいものですので,アタック手段を科目として教えているという大学は聞いたことがありません。唯一,アタックも防御のための手段も体系化されているのは暗号の分野ぐらいではないでしょうか。
ご指摘のbuffer overflowは,OSやアプリケーションの正当でない使い方を場当たり的に調べて利用してやろうというものですから,対象となるソフトウェアのbug fixが行われれば意味のないものになってしまいます。従って,セキュリティホールは基本的には開発側の人為的ミスというべきもので,情報技術というよりは,「失敗学」というものに分類されるものと,私は考えます。
残念ながら,今の日本で,情報技術に特化した「失敗学」の専門家という人はいないように思えます。現在,セキュリティ関係の専門家と呼ばれる方々は,オーソドックスな情報理論・技術を習得し,その知見をベースにしてセキュリティのことについても意見が言えるようになった,というのが普通ではないでしょうか。ですので,個人的にアンダーグラウンド情報を収集されるのは大いに結構(他人に害を与えない範囲での話)ですが,それを当学も含めた大学における研究に位置づける,つまり私も含めた教員に「学問」として認めてもらうには,既存の正統的な情報理論・技術を身につけることが一番の近道だと私は考えます。
余談ですが,セキュリティ専門を謳う中小のベンチャー企業にはかなり怪しげな方々も混じっていて,個人的には就職先としてあまりお勧めしたくありません。普通のネットワーク関係・情報処理関係の会社に勤め,そこで必要に応じてセキュリティ関係の知識を生かすというのが一番のように思えます。そのためにも,まずは正統的なコンピュータの勉強をされることをお勧め致します。これは本学は当然として,他大学の情報関係学部・学科でも普通に勉強させてもらえます。
また,ご指摘の通り,最近はOSやソフトウェアの品質が上がり,セキュリティホールも事前公開されなくなってきています(fixした後で報告される)。人間がソフトウェアを開発する限り失敗はつきものですから,セキュリティホールが皆無になることは当分ないでしょうが,場当たり的なアタック手法の寿命はさらに短くなっていくと考えます。ご質問の意図に沿う回答になっているかどうか分かりませんが,不明な点などありましたら,またご質問下さい。
----- ここまで
さて,もう一頑張り・・・したいけど,そのまま寝付いてしまいそうな夜なのでした。