Pages

Dec 31, 2004

雪の年越し

DSC02783.JPG
予報によると今日は今年一番の降雪になりそうとのこと。
長野県上田市は写真のように一面雪景色です。
皆様、暖かくして、良いお年をお迎えください。
追記:
4時間後に上の写真と同じアングルでとったもの↓
DSC02789.JPG

Dec 29, 2004

ブラウンライス・カフェ

20041228191634.JPG
今日は東京で過ごす2004年最後の日。
田舎の家族へのお土産を青山で購入し、そのままブラウンライス・カフェへ。
ニールズヤードのテンポと隔たりが無く、「片手間で飲食業に乗り出してみました系」なのかな?と勝手な予想をしていたのですが、さにあらず。
日替わり膳を頼んでみたんですが、ご飯と味噌汁からして期待を大きく上回るものでした。。
玄米ご飯:炒りたての香ばしい特製ごま塩との相性抜群。
味噌汁:昆布とキノコでダシをとっているらしい。赤だしが好きな僕としてはツボでした。
これだけでも食べてみる価値あり。
ただボリュームは普通の男性にはもの足りないと思われます。僕は定食を食べ終わった後「デザートにいくか?カレーを食べるか?」で迷ったほど量が足りませんでした。
連れがオーダーしたベジバーガー(肉を使わないハンバーグ)も新鮮でおいしかったんです。
近辺には自然食で有名なクレヨンハウスもあり、よく行ってましたが今後は「軽く食べるときはブラウンライス、お酒を飲むときはクレヨンハウス」「少人数ならブラウンライス、大人数ならクレヨンハウス」という使い分けになる気がします。
毎日こんなおいしいご飯ならベジタリアンになるのも悪くないなぁ笑

Dec 27, 2004

クリスマスイブの悪夢

DSC02747.JPG

24日の仕事が終わってから相方と青山にある某スペイン料理のお店へ。

初めて行くお店。地下1階に下りてビックリ。ゴージャスながらも上品な内装の店内にはドレスアップして明らかに『クリスマスディナーしてます』という感じの人々が!
ジーンズで着てしまったことに若干引け目を感じつつ、8400円のコースをオーダー。

「内装もホールスタッフのレベルも高いし、これはイケルかも!」
と期待は高まる。

・・・よかったのはここまで。

何の工夫も無いパンから始まり、締めのパエリアまでうまいと思える料理皆無。(デザートはおいしかったです。)
何がやばいって・・・
・スーパーに売ってるフランスパンをスライスしただけのパン。温めもせず。
・シーフードは鮮度が悪すぎて、味がどうこう言う前に生で客にだしていいのか?疑問なレベル。
・あんきもがちょっとピリピリする、スリリングなお味。
サービスの方も・・・
・パエリア取り分けて下さいとお願いしたら拒否される。
・デザート出す前にテーブルの上の屑とか片付けない。

実はこの店相方は以前に数回訪れていて、その時は「おいしい野菜が出てきた」とのこと。Webで評判を調べても1000円台で出しているランチの評判は高いようです。
コースの料金8400円の半分はクリスマス料金なのかもしれません。(4200円でも食べたいとは思いませんが。)

「久々にすごいものを食べてしまった。。。」と相方と呆れながら帰途についたのでした。2004年行ったレストランの中で間違いなくコストパフォーマンス最悪でしょう。

すぐ近くのバルバッコアもしくはロイヤルホストに行くべきでした。

                 ┌─┐
                 |も.|
                 |う |
                 │来│
                 │ね│
                 │え .|
                 │よ .|
      バカ    ゴルァ  │ !!.│
                 └─┤    プンプン
    ヽ(`Д´)ノ ヽ(`Д´)ノ  (`Д´)ノ    ( `Д)
    | ̄ ̄ ̄|─| ̄ ̄ ̄|─| ̄ ̄ ̄|─□( ヽ┐U
〜 〜  ̄◎ ̄  . ̄◎ ̄   ̄◎ ̄   ◎−>┘◎

本当、久々にへこみました。

Dec 25, 2004

コメントスパム多すぎ

コメントスパムが多すぎるのでここを参考に英語オンリーの書き込みをはじくように設定した。
英語のコメントがつく可能性が無いとは言えないので、念のためIndividual Entry ArchiveとComment ListingとCommment Errorの各テンプレートに以下の注意書きを追加しておいた。

Thank you for visiting this site. In order to block spam we do not accept comments that composed of 1 byte charactors only.
If you would like to leave a comment, please copy this charactor at the end of your comment.'誉'

ブログもなんだかんだと手がかかりますね・・・。

Dec 21, 2004

祝:情報セキュリティアドミニストレータ合格

だいぶ前に受けた情報セキュリティアドミニストレータ(通称:セキュアド)に合格していることに気づきました。

受験番号 SS*** - **** の方は,合格です。
午前試験のスコアは,685 点です。
午後I試験のスコアは,685 点です。
午後II試験のスコアは,800 点です。

よかった。心底「合格するか五分五分」と思っていたので嬉しいです。
2005/1/1 追記
攻略というほど大層なもんではないですが、以下に1つのサンプルとして記録を残しておきます。

Dec 18, 2004

CISSP情報源は結構更新してます。

CISSP情報目当てでこのブログに漂着された方へ:
最近、エントリを作るようなネタが無いのですが、以前作ったリンク集(CISSP 情報源は小ネタを定期的に更新しています。
そちらをご覧ください。
見づらいサイトですいません。そのうち整理したいと思っています。

セキュリティエンジニアか?システムエンジニアか?

名刺に印刷する肩書きのお話です。
今の肩書きはシステムエンジニア。
上司にセキュリティエンジニアに職位を変更しないか?と持ちかけられました。
数分ほど考えましたがシステムエンジニアを続投(?)する事にしました。
肩書きにこだわりは無く、そのために名刺を印刷しなおすのも無駄かなと思ったので。

『海辺のカフカ』

海辺のカフカ〈上〉
この本が出版されたのはもう2年も前になる。
いつか読もうとおもっていたのが、今日になってしまった。
上巻。
テンポ良く分かりやすく話がすすむ。
ナカタさんの存在に、僕はなぜか懐かしさを覚える。
同時になにかとても重要なことを思い出そうとしている。
小ぶりなハンマーが僕の頭の中で引き出しのどれかをこつこつと叩いている。
とても執拗に叩いている。
下巻。
伏線がつながりだし、僕はストーリーに引き込まれる自分に気づく。
それからなんのきっかけもなく、とつぜん思い出す。
「これ、前読んだ。 (;´Д`) 」

ウイルスの恐怖展 @Nifty

virusnifty.jpg
今更ですがウイルスの恐怖展 @Niftyのお話です。
今日初めて見てみたのですが、全体的に丁寧なつくりで楽しめます。かなりお金かかってます。
特に『ウイルスの恐い話 -THE MOVIE-』が気に入りました。
今までのウィルスの解説は、「感染したら管理者権限を取得されます」とか「データが消えます」という被害例からユーザに対策の重要性を訴えるものでした。
『ウイルスの恐い話 -THE MOVIE-』では、そういった一般のPCユーザーには分かり部分をバッサリ省略して、「ウィルスに感染したらあなたのキャリアおしまいですよ」「友達いなくなりますよ」と誰にでもわかる現実世界での被害を押し出しているところが新しいと思いました。
ソフトウェアベンダーもPCメーカーだったらここまで過激な表現は絶対にしない(出来ない)でしょう。
メッセージが過激なおかげで、分かりやすい。
そしてストーリーや芝居も面白いです。
吉田戦車の漫画「それいけ!!新型ウイルス君」も楽しいよ!

Dec 14, 2004

inktomisearch.com

inktomi.jpg
httpdのログをWebalizerでグラフ化しているんですが、昨日(12/13)に過去最高のアクセス数を記録しました。
何事かと思ってログを調べたらinktomisearch.comのクローラーでした。
サーチエンジンのロボットが来ること自体は別に気にしてないのですが、突如来訪の頻度が平常時の5倍に増えたこと。そして今日一日で376のロボットが巡回にきているというのが気になります。
inktomisearch.comのクローラーの仕様変更とかありました?
追記にうちを訪れたロボット達のホスト名を紹介しておきます。

英語圏のエンジニアと働いて,

fackinmuri.jpg
外国人、特に英語圏のエンジニアと一緒に働いていて思うこと。
『彼らは数字とアルファベットの羅列を記憶するのが上手です。』
具体的にはパスワードに使う文字列のようなものを英語圏のエンジニアは資料を見ながらタイプする一回目で覚えてしまうのです。
当然同じアメリカ人でも記憶が早い人、遅い人がいますが、それでも大抵の日本人より早い気がするんですよね・・・。
"!KQVP17%d"という8文字のパスワードを一回で覚えられますか?
私は無理です。
ちなみに記憶の対象が純粋に数字だけの場合、数字に強い弱いという個人差はあるものの、母国語の種類による差はつきません。
不思議でしょうがない。。。
日本人の脳みそはダブルバイト文字を扱うために余計な処理をしているという仮説はどうでしょう。
日本人の脳は文字を記憶する領域がデフォルトで2Byte確保されるので文字種の少ない英語圏の人よりも記憶を維持するのが大変とか!?

Dec 13, 2004

ある休日

DSC02644.JPG
12月11日:
・母校の図書館で利用者カードを作ってもらう。
   これでいつでも図書館でカードが借りれるし、勉強ができる。いやありがたいことです。
   自習席には電源タップがあるので、ノートPCとPHSカードを持っていけば最高に集中してプログラミングができそう。
   今はそれをする訳にはいかないので今後の楽しみに取っておくことにする。
   この日はその自習席でCISSPの勉強を数時間。トイレに行くため席をたつと、結構新しいコンピュータの本が並んでいる。誘惑に負けてMySQLの本を1時間ほど読んでしまう笑
・大学にいったついでに卒業証書(学位記)をピックアップ。
   学生証を返却して学位記を受け取るという作業がまだだったので今更ながらに事務室へ。
   3人がかりで金庫?をガサガサ探していただいた。
・友人と飲みに。
   男関連で色々大変らしい。当事者しか知らない話が山とある状況で「的確なアドバイス」が出来るわけも無く、
   飲む→聞く→食べる→聞く→以下繰り返し。
その他:
・一人称は?
   オレと私と自分がごちゃまぜな今のブログ。どれかに統一したいですよ。
・ペットボトルロケット
   こことか見てると水をいれてから空気入れで内圧を高めて発射!らしい。水の変わりに炭酸飲料いれて発射する前に振ったらもっと飛ぶんじゃない?
・タイラー=ハミルトン、フォナックを離れる。
hamilton.jpg
解雇ではなく、合意の上でハミルトンがチームを離れた。が、タイミングが悪くフォナックはプロツール入りを逃した。
・・・とにかく、一日でも早く白黒つけて欲しい。このニュースとってもいまさらなんですが、あまりにショックでずっとかけませんでした。

ロードオブザリング シンフォニー

DSC02646.JPG
ハワード・ショア本人が指揮する"Lord of the Ring"の再現コンサートです。
東京国際のAホールは初めてでしたが、オケ+コーラス60人以上がのるとステージはかなり"ギッチリ"な感じになってました。
発売日に電話かけまくってくれた相方のお陰で席は1回の中央。べスポジです。
客層:
以前『指輪の大先輩』と話をしたときに、『コンサートのもう1つの楽しみは、特殊な客層。おっかけしてた人たちがあちこちで再会してるからね!』と聞かされていたのですが、それはホントウでした。
一列後ろの席の女性の集団が開演前から「ファラミアが〜」「ドムが!ドミニクが!」奇声を発している気勢をあげられています。目黒の鹿鳴館の前と空気がそっくりです。となりのオジサマはなんだか居心地悪そうです。
個人的にもこういう空気は嫌いなんですが、自分も指輪の魔力から未だ抜け出せない中毒者の一人なのででかい事はいえません。
音楽:
さてさて肝心の音楽の方ですが、思っていたよりもサントラに忠実で最初から最後まで引き込まれっぱなし。とてもよかったです。
ホビット庄のテーマはサントラよりもタメがきいていて、「影」や「けれんみ」を感じさせる演奏でしたね。
映画前半のホビット庄はオーバーに牧歌的なイメージで描かれていますが、実は指輪という爆弾を抱えているわけで
そういう意味では今回の演奏の方が自分の中のイメージにマッチしました。
特にソプラノが・・・:
もちろん指揮もオケも素晴らしかったのですが、ソリストの女性(推定体高170cm,推定重量120kg)が安定してうまかったです。感動しました。
特にgollum's songは透明感ある声が完全にはまって、指揮のハワード・ショアさえ歌に聞き入ってる空気でした。
文句なし。
対してボーイソプラノのソロがちょっと・・・という気がしましたが、サントラと比べるのは酷ですよね。
大好きな"サムワイズ殿の決断"がカットされていたのが残念でしたが、それを含めても満足できる内容でした。
そして相方は:
そして相方は隣で気持ちよさそうに寝てらっしゃいます。前回もそうだったけどオーケストラの何かが彼女を眠りにいざなうんでしょう。
生ハワード・ショア:
ハワード・ショアは想像よりも小柄で朗らかな感じ。オスカーをとった作曲家とは思えないサービス精神で、客席からの声援に応えてくれました。
(雰囲気的に「若い頃は相当の遊び人だったに違いない!」という思うのは僕だけですか? そうですか。。。)
コンサート終了後:
コンサート終了後はフォーラム近くの和食梅の花『指輪の大先輩』とその友人のご夫妻『奥様はヒダルゴ』チームと食事。
皆さん、マニアックなだけでなく引き出しが豊富でかなりリラックスしてすごせました。楽しかったです。
梅の花ははじめて行きましたが、立地と内装にかかる金額を考えるとリーズナブルといえる料金で料理もおいしかったです。
なにより静かでゆっくりできますし。
DSC02655.JPG 
DSC02656.JPG

基本情報:
オーケストラ、コーラス、ソリストによる交響曲6楽章
【日程】 2004年12月11日(土)、12月12日(日) 全3ステージ
【時間】 11日:(1)12:00 開場 13:00開演(2)17:00開場 18:00開演 12日:12:00 開場 13:00開演
【場所】 東京国際フォーラム ホールA
【料金】 S席 12000円、A席 10000円、B席 8000円、C席 6000円(全席指定・税込)
【お問い合わせ】 03-3498-9999
【出演者】指揮 ハワード・ショア、ロシア・ナショナル・フィルハーモニー管弦楽団

Dec 10, 2004

情報セキュリティスキルマップ by IPA

ipa.jpg
今年の初めにIPAが公開した情報セキュリティスキルマップ構築の調査研究結果。
http://www.ipa.go.jp/security/fy15/reports/skillmap/index.html
セキュリティにかかわるスキルを図る試みとして、セキュリティに関わる要素を16個に分類し、それぞれについて習熟度を測るモデルを提案しています。
(エクセルのシートが配布されていて、それを使うと上のようにグラフを作ることができます。)
もちろん全ての分野を100%カバーするの難しいことです。
ということは、「自分がどの分野を極めるか?」という点に関して正しい選択が出来るか否かが重要になります。
16の分野について
・将来性があるか?
・技術的に面白いか?
・カネになるか?
・社会に貢献できるか?
という視点で考えてみると面白いです。
追記1:
報告書の中には民間企業のCSOやセキュリティマネージャを対象にしたグループインタビューの結果があり、そちらも興味深いです。
D 社・d 氏 損害保険
セキュリティ担当者も、まずは基本的な法律知識は必要。特殊な法律(個人情報保護法、不正アクセス禁止法、電子商取引の準則など)を理解する前に、民法などで定められた法律上の賠償責任というものが何かということだけでも、理解してほしい。

どきっ。
追記2:
IPAの調査・研究報告書は他にも面白そうなネタが多いです。

Dec 9, 2004

『暗号と認証 基礎から身につくネットワーク技術シリーズ (2)』

CISSPの受験対策というよりも、エンジニアとして最低限の知識がないとヤバイという事に改めて気づき、暗号に関する本を買ってみました。
選んだのはコレ↓
『暗号と認証 基礎から身につくネットワーク技術シリーズ (2)』
DSC02616.JPG

以下公式サイトより紹介文:
「ネットワーク技術シリーズ」第2弾。ネットワーク・セキュリティの技術を学んでいくうえで絶対に欠かせない暗号と認証の技術,およびこれらを組み合わせた実際のプロトコルであるIPsecについて、基本的な技術解説から,実際のシステムでの応用・活用までを一から解説します。
感想:
日経ネットワークは『複雑な内容を簡単に説明する』のが非常に巧みな雑誌だと思います。
優秀な編集者とライターそしておそらくはノウハウがそれを可能にしているのだと思います。
そんな日経ネットワークの連載記事がまとめられたのが本書。
以下良かった点を列挙してみました。
説明が簡潔な事。
コラム的な囲み記事の多さ。
  (主に豆知識的な情報です。)
図表の多さ
(文字が多いとアタマが痛くなる私にとっては重要なポイントです。)
暗号とそれを採用しているアプリケーションを対に記述してある
(実装例を紹介することで暗号の役割がイメージしやすくなっています。)
現状採用されている技術に説明が集中している。 実践的。
古い暗号方式等は一切説明がありません。今さら「カエサル暗号についてどうしても知りたい」という方を除けばこのスタイルで問題ないと思います。
こういうところは時事ネタに強い雑誌ならではでしょうか。
本が小さくて薄いので電車の中で気楽に読める。
結果、本自体が面白く、暗号の本に抵抗のあった私も読了できました。ミラクルです。
こんな方にお勧め:
「共通鍵と公開鍵って何が違うの?」という方、「IPSecって何」という基本から勉強したい方、
時間がないけれども暗号について一通りの知識は仕入れておきたいという現場のエンジニア、マネージャー。
暗号についてまとまった知識があるが、他人にそれを説明するのが難しいと感じる方。
明日の商談で自社製品の暗号方式について突っ込まれそうな営業さん。
余談:
暗号とか認証は苦手です。この本を手にとって本屋のレジに持っていったことを褒めてもらいたいくらいです。
ただ私と同じように暗号・認証の初歩的なところを勉強したいという方は潜在的にいそうな気がしていて、たまたま読んだこの本がお勧めなのでブログで紹介させていただきました。

Dec 5, 2004

「出来るヘルプデスクの心得 七か条」

DSC02612.JPG

長野は激しく雨がふっております。

先週末に実家のPCのハードディスクが壊れた。という事で今日は新幹線で1時間半の実家までオンサイトサポートに出向いています。
事前の電話で分かっていたのは



「スイッチ入れると、DelとF1どっちかを押してくださいという画面になる」

この一点のみです。パソコン自体5年以上は前のモデルなので買い換えることに問題はないが、中のデータをなんとしてでも救いたいとのことでした。
特に日ごろの調べ物の成果をエクセルにまとめている母親は「これがだめだったら一月くらい落ち込む」と公言してはばからない。

「ハードディスクが壊れたんだな。壊れたのがブートレコードやWindowsのシステムファイルだけなら、HDD取り出して別のマシンにつなげば中のファイルだけなんとかとりだせるかも」
そんな希望的観測を持って家をでたのですが。。。(1CD リナックスやUSBメモリ、PartitionMagicなどのツールも持って)


来て見てびっくり。


画面には「Keyboard Failure」って出てる。
キーボードを認識できないのが原因でブートできていなかった

ヲイヲイ。エラーメッセージは出ているんですが、英語で表示も小さいため両親に「これに気づけ!」と言うのは酷というもの。。。
むしろ何でキーボードがきちんと繋がっていることを電話で確認しなかったのか?と自分を問い詰めたい気分です。

遠ざかる意識の中、キーボードを奥深くまで挿入し、電源ON。

何事もなかったかのようにパソコンは起動し、目当てのファイルも取り出せました。母親は小躍りしていましたが、キーボードを挿入するためだけに200kmも移動してしまった私の胸中は複雑でした。

最も腹が立つのは、昔の自分なら今回のトラブルを電話で解決できたのでは?と思える点です。
学生時代電話でのソフトウェアサポートのアルバイトをしていた私は自分で言うのもアレですが、「できるヘルプデスク」でした。あの頃は日に一度くらい「パソコンの電気がはいりません。」「CDから音楽が流れません」という問い合わせがあり、
・「フロッピーがはいったままではないですか?」
・「ヘッドフォンがささってませんか?」
と想像できる力があったのです。当然「ブートしない」という問い合わせがあったらフロッピーを確認し、キーボードを疑っていたでしょう。その頃の経験がいかせなかったのは非常に残念です。

その頃の問い合わせで一番苦労したのは「アルファベットを読めないお客さん」です。


Me:「Enterを押してください。」
Customer:「どれ?」
Me:「イー・エヌ・ティー・・・と書いてあるボタンです。」
Customer:「イーってどんな形?」
Me:「(フヲ!!!)」

後にも先にも一度だけでしたが、強烈に記憶に残っているお客さんです。

これに比べたら
・マウスを反対に握る。
・何度言っても、Windowsの終了のかわりに電源プラグを抜く
・モニターをテレビと言う。
・若かりし頃のの武勇伝を語り始める。
なんてのは「優等生」です。

その当時はどんなに初心者ユーザであっても


1、日本語が話せる
2、他人の話をちゃんと聞く
3、アルファベットが読める


以上の3つの条件がそろっているお客さんであれば、いかなる操作でもナビゲーションできる自信がありましたし、どんな複雑なトラブルも解決できる自信がありました。。実際「基本的なところから丁寧に教えてくれる」と評判もよかったんですよ(自慢)。


そんなわけで自分の経験を元にまとめてみました。


「出来るヘルプデスクの心得 七か条」


おしゃべりなヘルプデスクは死んでしまえ。


ヘルプデスクは「9.5聞いて0.5話す」位で丁度いいと考えています。お客さんは困って電話をしてきている訳です。めったにないピンチで感情も高ぶっています。とりあえず話したいだけ話していただきましょう。
途中で話を遮って「ではまず、こことここを確認してください」と言うのは簡単です。でもそれでは問題解決に繋がる情報を聞き漏らす恐れがあります。お客さんは話を遮られた事でヘルプデスクにマイナスのイメージを持つかもしれません。
話をうまく聞くだけでお客さんはヘルプデスクを信頼してくれます。最初に話をきちんと聞いておいた方がその後の確認作業やデータを提出して頂く作業が格段にスムーズにすすみます。
ミヒャエル・エンデの名著『モモ』の中で主人公の女の子モモは「とっても聞き上手」でした、だからこそモモは世界一のヘルプデスク(担当はMicrosoft
Money)になり、あんな豪華なお城に住めたわけです。そこんとこよろしく。



お客さんが技術的な事を知らないのは当たり前!


ヘルプデスクの仕事をするうえで「こんな事知らないんですか?」的物言いはご法度です。お客さんの立場からすると分からない事があるからヘルプデスクに電話しているのですしね。)
技術に対して前向きで貪欲な人間(エンジニアとしては優秀)に限ってそういった態度をとりがちなのは残念なことです。



自分の技術を悪用しない。


上の話とちょっと繋がるのですが、ヘルプデスクは自分たちに都合の悪い事に関して説明をする機会が多々あります。
「これはバグじゃないんですか?」
「いいえ、その点につきましたは弊社製品に含まれる一部のモジュールで使用されているDLLファイルのバージョンがお客様がお使いのDLLの共存できないのが原因でして。。。」
・・・すいません。うまい例が思い浮かびませんでした。
とにかく、都合の悪いときにカタカナを連発したり、難しい言葉を使って煙に巻いちゃダメという事が言いたかったのです。技術に疎いお客さんはあなたの言葉をほとんど理解できませんが、「よく分からない言葉で誤魔化された」という点だけははっきり認識します。



「相性」という言葉を口にするな!


これはサポートを受ける側の方に申し上げたい。あなたが困ってどこかのヘルプデスクに電話をしたとします。電話にでた人の口から「相性」という単語が出てきたら担当を別の人に換えてもらいましょう。コンピュータの世界に相性はありません。「相性」という言葉を使うヘルプデスクは99%役立たずです。



用語にこだわらない、技術的な正しさにこだわらない。


例えばお客さんが液晶モニターの事を「テレビ」といったらその液晶モニターは次の瞬間から「テレビ」です。
「テレビの左下隅にある”スタート”と書いてあるボタンをクリックしてください。」と続けるのが出来るヘルプデスクです。
出来るエンジニアは親切にも『テレビとモニターの違いについて』一席ぶったりするのかもしれませんが、それははたしてお客さんの必要としている情報でしょうか?



お客さんの立場で考える。


ありきたりで申し訳ないのですが、結局これにつきると思います。あなたに電話をしてくるという事はお客さんは「何かを求めている」わけです。その「何か」を探してお客さんに提供する事それだけに集中しましょう。決して「お客様は神様です。なんでも絶対服従しなさい」と言っている訳ではありません。お客さんが間違った方向に進もうとしていたらそれを方向修正するのもヘルプデスクの仕事です。



世の中にはアホがいる事を肝に銘じる。


世界は広いです。とてつもなく広いです。とんでもない馬鹿やキティガイがいっぱいいます。
あなたが全知全能のヘルプデスクだったとしても、どうしようもないお客が1000分の1くらいの確立で現れます。お客さんは大切ですがそんな輩の相手をする必要がありません。そんなときは全てを聞き流しましょう。数分に1度、ヨン様のようなうそ臭さで「えーもうお客様のおっしゃる通りで〜」くらいは言っておけばノープロブレムです。(ヨン様ファンの方はお気を悪くなさらずに)
全てのお客さんに対して完璧な対応ができるはずがないという事だけ頭の片隅においていただければ、日々の仕事もちょっと肩の力を抜けるのではないでしょうか?

ちょっと言葉遣いがよろしくないのは自覚しておりますが、内容は比較的真っ当だと自負しております。
あぁもうこんな時間。


余談:
その後予定通り新しいPCを購入し、現在データの移植作業中です。新しいPCは富士通の最新のノート"FMV
BIBLO NX70J/T"。
今そのパソコンでこれを書いていますが、新しいパソコンは気持ちがいいですね。17インチの液晶は広大です。ドラクエのCMじゃないですが「見渡す限りの世界が・・・」って感じです。

せっかくなので明日は蕎麦でも食べて、車で1時間ほどの場所に入院してる友人を見舞って帰ろうと思います。

Dec 3, 2004

SQL Server + 特定キャッシュ コントローラ + 高負荷 = 整合性エラー

sanonosa システム管理コラム集というブログに遭遇しました。大規模サイトでの様々な運用ノウハウが掲載されてます。
こういったノウハウは「師匠から弟子への一子相伝」もしくは「ベンダーのコンサルを頼む」しか手に入れるすべが無かったと思うんですが。
それをブログに書いちゃいますか?太っ腹。とりあえず週末ゆっくり読もうと思いました。
そして今後の更新を非常に楽しみにしとります。
そのブログの中の記事のひとつ【ストレージ】パフォーマンスを上げるキャッシュ容量の考え方を読んでいてディスクのキャッシュで思い出したことを一点。
SQL Server + 特定キャッシュ コントローラ + 高負荷
以上3つの条件がそろった環境下でデータの整合性エラーが発生する可能性があります。
詳細は[PRB] 報告されない入出力の問題を検出するために追加された新しい SQL Server 診断機能を参照ください。
問題は特定のキャッシュコントローラがどこの会社のどの機種か?というお話なんですが、うちで使っていたhp MSAシリーズなどはばっちりこの現象に当てはまりました。他にもメジャーな機種がこの影響を受けるという話を聞きました。

ちなみにMSAがこの問題を受けるという情報のソースはこちら↓
ftp://ftp.compaq.com/pub/products/storageworks/techdoc/msa1000/MSA10004.32_ReleaseNotes.pdf
整合性のエラーがちょくちょく出て、そのたびに『DBCC CHECKDB(hogehoge,REPAIR_FAST)』したり『インデックス作り直している』というDBAの方は一度RAIDコントローラのベンダーに確認したほうが良いかも。
不運にもお使いのキャッシュコントローラが影響を受けるものだった場合、対策は
1、キャッシュコントローラのファームをバージョンアップする
2、キャッシュを切ってライトスルーで使う
のどちらかになります。
余談:
私がSQL Server触りだしたのはここ1・2年のこと。それ以前からDBを触っていたベテラン管理者の中には「SQL Serverを使うマシンではライトキャッシュはトラブルの元。オフにしろ」と言う方もいらっしゃいます。
[SQL]INF: SQL Server とディスク コントローラのキャッシュ等を見る限り、MSもキャッシュ自体の使用には肯定的な姿勢ですので問題ないと思うのですが・・・。
実際にキャッシュが原因でDBを数時間オフラインにするメンテをしなくてはならなくなると、心情的にキャッシュを切ってライトスルーで使いたくなります。パフォーマンスの低下が激しそうですが。。。

Nov 30, 2004

雑記 of 2004/11/29

今日はネタが多いのでダラダラと書いてみる。
koders.gif
1:http://www.koders.com/
百式で知った。様々なOpenSourceプロジェクトのコードを検索できる。よく分からないけど便利そうだ。
自分の場合書きかけのコードが家のノート、家のデスクトップ、会社のノート、会社のデスクトップに分散しており「あれ?ここ昔どうやって書いたっけ?」というケースが結構あります。プライベートkoders見たいなのがあればいいなと思う次第。
(自分でCSVサーバを立てる程ではないし。全部GMAILに送ってみるというのはどうだろう?)
2:MOM2005 「SQL Server の管理パックを分析してみよう」
かなり便利そうだ。後でゆっくり勉強させてもらいます。
3:セキュリティを学ぶ
CISSPからちょっと目先を変えて、GSECという資格を取得された方のブログ。GSECを全く知らなかったので、勉強になりました。さりげなく文章が上手で読みやすい。文書くのってどうやったら上手になるんでしょうか?
4:SQL Server Reporting Services Demonstrationサイト
マイクロソフトはSQL Serverの"Reporting Services"に相当お金を使って、本気で売り込もうとしている。
とうとう専用デモサイトまで出来たようだ。
上のURLからいくつかデモに触れられる。。
RSはずっと興味をもってチェックしてはいるんだけど、レポートサーバを立ち上げたり、VisualStudioインストールしたり結構立ち上げが面倒そうで二の足を踏んでいる。
仕掛けが大掛かりな割にRSでないと出来ないことというのが見えないというのも一因。
少なくとも自分に必要な「小規模な」レポートにはPerlとGDの方が小回りがきいて楽ですわ。
こんな時デモサイトで「凄い!こんなことができるのか!」というサプライズを用意してくれると飛び込む勇気が出るんだけどなぁ〜
こんな感じだと技術に疎い経理部の人を説得するのも楽なのに。
LITESPEED.gif
5:litespeedキャンペーン特価
前にとりあげたLiteSpeedに関して。いよいよ本格的な販促が始まったらしい。キーマンズネットで案内がきた。
クリスマスまでの限定キャンペーンをしていて3割引くらいでライセンスが買える。これはお得ですよ。
キーマンズネットに出稿しているのが日本での販売を行っている日揮情報でなくてMSなのはなぜ?
6:カオスだもんね 12巻
最近週刊アスキー買ってないけど、この漫画は相変わらず面白い。
カオスだもんね! (12)
水口 幸広

アスキー
2004-11
売り上げランキング 626

Amazonで詳しく見る
by G-Tools

7:母親のPCが起動しなくなる。
状況としては「スイッチ入れると、DelとF1どっちかを押してくださいという画面になる」との事。それじゃ全然わからないよ。。。
今週末は実家に無償オンサイトサポートの予感。「新幹線代は出すわ」ってそれは当たり前なのでは?
半年地道にエクセルに入力してきたデータが使い物にならなくなったらしく、そんな母親の心境を慮ると無下に「あきらめろ」という訳にもいかず。ダメなら諦めるしかないけど、やれるだけの事をやってこようと思う次第。
8:Palmがないと・・・
とても不便だ。不便というよりも落ち着かない感じがする。奥さんに逃げられた男の心境がちょっとだけわかるかも。
『頼む。。。早く帰ってきてくれ。』そんな心境。

Nov 29, 2004

CISSP 試験の難易度

テキストの練習問題を使って実際に問題を解き始めると、"CISSP Prep Guide"の練習問題が思っていたよりも簡単な事に気づきます。そして以下のような新たな疑問が生じるわけです。
Q1:本番の問題の難易度はどんな感じなのか?
Q2:何割得点すれば合格できるのか?

というわけでちょっと調べてみました。
「Q1:本番の問題の難易度はどんな感じなのか?」
もちろん受験経験の無い私には未知の領域です。というわけでCCCUREのメーリングリストを漁ってみました。
KevinさんというCISSPホルダーは以下の様にポストしています。
「www.cccure.orgの練習問題のProレベルのものを解き、8割から9割コンスタントに得点できるのであれば受けてみてもいいと思う。」
「他のテスト問題はCISSPの本番試験と比較して簡単すぎる。」
なるほど。あくまで一人のホルダーの意見なので信憑性どうこうは抜きですが、具体的に数値が提示されていて分かりやすいですね。
「Q2:何割得点できれば合格できるのか?」
これについては(ISC)2のFAQに答えがあります。
"The passing grade required is a scale score of 700 out of a possible 1000 points on the grading scale."
7割です。しかしその7割というのはどうも素点の話ではなく、問題の難易度の違いを吸収するために数値の調整をした後の値です。
1995年以降CISSPの合格率はほぼ一定で推移しているそうで、そこからも「相対的に高得点する必要があり、問題が簡単なら合格点が上がるだけ」という事が言えると思います。
一概に何割得点したら合格という計算はできません。
個人的に1月受験か3月受験か迷っているところなのでKevin式「www.cccure.orgの練習問題Proレベルを解き、8割から9割」というのを決断の基準としようと思いました。
2004/11/29 追記
CISSP試験の合格率については(ISC)2のサイトに「公開していない」と明記されています。ただし、上にも書いたとおり、合格率は一定でCISSP試験が一定の難易度をキープしていることは間違いないです。
個人的には合格率は悪くても70%くらいではないのかと予想しています。根拠は
・受験料が高いので(自腹を切るにしろ、社費で受けるにしろ)受験者は準備をそれなりにしてくるはず。
・受験者の要件に「4年の業務経験が必要」と謳っているため素人が紛れ込む余地が無い。
・(ISC)2主催のセミナーを受けた人の合格率は「それなりに高く」ないとセミナーにお金を出す意味が無い。
3番目は特に下衆の勘ぐりって奴かもしれませんが。
六万八千円の受験料を2度払えますか?私は無理です。
#以上"CISSP 合格率"を検索して当ページに辿り着いた方がいらっしゃったので加筆しました。

CISSP my 勉強法 ( 2004/11/28)

テキストや問題集を使った勉強を始めて約2週間が経ちました。
今している勉強とその進捗について整理したいと思います。
ノート作り:(進捗100%)
1、cccure.orgで配布しているCISSP_summury_2002.zipの中身から必要なページだけを印刷した。(30ページくらい。苦手な分野は手厚くカバーしてます。)
2、A4ノートの見開き左側にそのページを貼り付け
3、右側のスペースは書き込み用です。
↓こんな感じになります。
notebook.jpg
ノートを作るのは自分史上初の試みです。
本来こういう几帳面な作業は誰よりも苦手で、ノートを作るよりもテキストに直接ガリガリ書き込んでいくのが好きなんです。
ただ今回はたまたま翻訳家を目指して勉強している友達のノートを見せてもらう機会があり、それがこんな感じでとても見やすかったので真似してみました。
今まで経験が無かったのですが、やってみるとノートを作るのってちょっと楽しいですね。勉強の目的を忘れそうになる位、ノート作成に心血を注いでいた同級生の気持ちがちょっとわかった気がします。
それから"the CISSP Prep Guide Gold Edition"は鈍器級の厚さと重さで持ち運び不可なので、ノートに要点をまとめて持ち歩く事で電車の中などの無駄な時間を活かせます。
ひたすら問題解く:(進捗5%)
1、"the CISSP Prep Guide Gold Edition"の付録のCD-ROMをPCにインストールし問題を解く。(360問の問題が含まれています。内容は本に掲載されているテスト問題と全く同じ内容)
2、間違えた問題についてテキストで内容を確認。
3、ノートに気づいた事を書き込みます。
単語帳作成:(進捗3%)
(テキストを読むと必ず分からない単語に遭遇するので)辞書で意味を確認。辞書はPC上で動作するもので検索の履歴が残るので、試験が近づいてきたら検索履歴を元に単語帳を作成予定です。
CISSPに限定すれば、そこまで厳密に単語にこだわる必要がない気がします。ただCISSPの勉強を通して語彙力を多少なりともアップして、TOEICや仕事に生かしたいので今回はしっかり履歴を残してみます。
これもはじめての試み。
情報収集:(進捗3%)
引き続き試験そのものにかかわる情報を主にインターネットで収集中。CCCUREのメーリングリストのログなんかもちょっとづつ読んでいます。
同僚にCISSPホルダーが複数いるという、比較的恵まれた状況なのでホルダーに直接色々聞きたいのは山々ですが。。。
「え?受けるの?いつ?」とか聞かれてプレッシャーかかるのが嫌なので、もうちょっと計画が具体的になってからアドバイスをお願いしようと思ってます。
実際に勉強に割いている時間は
・平日が30分程(電車の中でノートを読むだけ)
・休日1〜2時間(問題解いている事が多い)
時間をもっとうまく使わないとこれ以上時間をかけられないかも。
もちろん私は一志願者にすぎないわけで、上に書いたことは「私はこんなアプローチをしてます」という1つの例です。このエントリーが呼び水となって「こうしたら?」「そのやり方はおかしい!」「私はこうした。」等のコメントを頂ければ最高に嬉しいです。
(CISSPで検索してこのサイトに辿り着く方も多いようなので)

Nov 26, 2004

バーチャルバーテンダー

beercom.jpg
beer.comの"バーチャルバーテンダー"
下の四角にコマンドを打つとお姉さんがその通りの動作をするというシロモノ。(昔こういうので鳥人間があったな)
とっても大人向け。
考え出すときりがないんですが"shower"とか「何故スポンサーがこれを許可したのか?」不思議で不思議でしょうがない。
とりあえず発見したコマンドを全て書いておきます。
beer
tap
kiss
get naked
be sexy
fight
lay down もしくは sleep
kick もしくは guy
shake
look,read
throw
fuck
shoot
hold
jump,bounce
sing もしくは rap
call
rip
I love you
show
dog
arm
shower
banana

Palmが壊れた。。。

th55white.jpg
今年の7月に購入したPalm(CLIE TH55)が壊れた。写真の通り画面が常に真っ白。電源切れない。ソフトウェアリセットできない。
押せばピコピコ音が鳴るので、液晶周りの故障なのかなぁ?
とにかく困る、すげー困る。
最初はPalmOSのファイルシステムやジョブ管理が理解不能で、一抹の「気持ち悪さ」を感じつつも無理やり使っていたのですが
最近はこっちの世界に大分そまってきて、着々とカスタマイズに励んでいたところです。
Palmは購入時の予想以上に活躍していて、仕事のスケジュール・ToDo機能はいまや私の中で生活必需品レベルです。
それだけに壊れてスケジュール確認できないのは困ります。
しかも年末の忙しい時期に。
とりあえず明日修理窓口に電話します。
半年前、「所詮PDAなんてオモチャでしょ」と考えていた自分が半年でここまでPalmに依存しているとは・・・
Palmって凄いのかも。

Nov 25, 2004

悩みどころ

CISSPの試験日を2005/1/23にするか2005/3/13にするか迷っていたのですが、、、
今日事務局からメールが来て
「1/23の試験を受ける場合には2004/12/17までに申し込みと入金をして下さい」
「そっそんな、どっちかを選ぶなんて俺にはできない・・・3人で楽しく暮らそう!」
・・・繰り返しときます
「1/23の試験を受ける場合には2004/12/17までに申し込みと入金をして下さい」
今日から数えると試験まであと2ヶ月、試験勉強は間に合うんでしょうか?
再確認ですがもともと私の基本スタンスは「無理しない」・「リスクが少しでも残っていたら3月に延ばす」です。
とりあえず結論を出すのは12月中旬まで先送りです。
追記:
Webをみていると一部に「ISC2JAPANの事務手続きがアバウト」という意見がありました。今のところ来るべき案内がタイミングよく届いており事務局の対応にストレスを感じた事はありません。

Nov 21, 2004

ワッペンコレクション

興味が無い人にはまったく何の意味もない、自分が自慢したいのでワッペン自慢エントリーです。
(まぁブログ自体が自己満足の世界ですから。)
ヤフーオークションでも一部出回っているようですが、ボーイスカウトのワッペンはそんなもんじゃないぜ!という気持ちを込めて、以下手持ちの中からいくつか紹介します。
『宝物』
Snake Council
まず一番目は年代が古いわけでもなく、発行枚数が少ないわけでもない、歴史的価値は殆どないといっていいワッペンです。
が、蛇のイラストがとても綺麗で、水色と黒という難しい配色も見事に決まっています。このデザインが「ツボ」で自分の持っているワッペンの中で一番のお気に入りです。
『絨毯』
絨毯?
写真では分かりにくいですが、普通のワッペンとは製法がおおきく異なっています。
日本のボーイスカウトワッペンは織が主流なのですが、このワッペンは絨毯の様な生地の上から刺繍をしています。
『色見本のよう』
虹?
使っている色数が多くて、とても綺麗です。
『イーグルスカウト』
eagle.jpg
分かる人には分かる、価値のあるワッペンです。アメリカ人のスカウトとユニフォーム毎交換した時のもの。
後生大事にとっておいても意味が無いので今回のジーンズ修理にこの辺のワッペンを使いたいと思います。
残りのコレクションは・・・今現役でボーイスカウト活動をしている人に差し上げるのが、一番正しい方法でしょうね。
次に実家に帰るときにお世話になった隊長に渡そうと思います。

ジーンズの修理

穴あき
気に入ってたジーンズの右ひざに穴があいちゃいました。指がちょうど入るくらいの。
まだ1年ちょっとしか履いていないのに。。。
捨てようと思ったのですが、「21世紀は環境の時代」。これを再利用する方法を検討します。
オプションはいくつかあります。
1、ジーンズ修理を専門とする業者に依頼。
→穴が開いていたのが分からなくなるほど綺麗に直るようです。
→参考(http://www.indigojp.com/reform.htm
2、開き直って穴を拡張。穴あきジーンズとして第2の人生を送る。
→かっこいい穴を空けるセンスがないので、死ぬほど勇気のいる選択です。
3、ワッペンを貼る。
→貧乏臭い解決策ですが、やってみてダメなら外せばいいわけで、やり直しがきく点が魅力です。
ここまで考えて思い出したのですが、何を隠そう私、中学から熱心にボーイスカウト活動に取り組んでいました。
高校の頃には周りを見渡しても並ぶものがいないくらいのボーイスカウトグッズのコレクターになっていたのです。
その後、ボーイスカウトから遠ざかり、ボーイスカウトグッズ(含むワッペン)は押入れの奥深くにねむっていました。
ワッペンの群れ
「このワッペンを有効利用するには絶好の機会!!!」
というわけで今回は
1)ワッペンを使って穴を隠し
2)かつ膝のワッペンが穴を隠している事を悟られないようジーンズ全体にワッペンをはりカモフラージュ
3)さらに1と2の作業を通してジーンズを「かっこよく」する
以上3つの目標を設けました。
ワッペンは少なくとも200枚以上あって、この中から数枚を選び、かっこいい配置を考えるのはなかなか骨の折れる作業になりそうな予感がします。
ファッションにはとことん疎いので、「ワッペンつきのジーンズって今時どうなの?」っていう点がそもそも不明ですが。
頑張ります。

CISSP アンケート「どのドメインが一番難しかったか?」

vote_cisspcat.jpg
cccure.orgで「どのドメインが一番難しかったか?」というアンケートをしています。
URL:(http://www.cccure.org/modules.php?name=Surveys&pollID=23
本日時点の結果が上のグラフです。
難しいTOP3
・Cryptography
・Laws & Ethics
・Telecomm

同僚(彼はCISSPホルダー)から「CryptographyとLawはちゃんと勉強しないと絶対落ちるよ」と
脅されましたが、他のホルダーの皆さんも同じ印象を持っているようです。
特にCryptographyは2位を大きく引き離しダントツの1位です。
易しいTOP3
・Operations Security
・Physical Security
・Security Management

こちらは全く私の印象と同じです。
回答数265ですので、そこそこ信頼できる情報と考えています。
そして自分自信が最初に全体に目を通したときの第一印象とアンケートの結果が
非常に似ている事に安心しました。
「ホッ、やっぱりみんなCryptographyは難しいと思うんだ。」と。
英語を母国語としないCISSPの方限定で同じアンケートをしたらSecurity Architectureがもっと
上位(難しい部類)に入ると思います。
何れにせよ興味深いアンケートなので今後も定期的にチェックするつもりです。

Nov 17, 2004

CISSP つまりこういう事

CISSP取得に必要とされる職務経験について、調べると色々なところで微妙に説明の内容が異なっていたので、ここにまとめます。
"職務経験"の定義についてはこちらを。(必読です)
受験する為に必要な条件:
受験するための条件も公表されているが、ISC2アソシエイトプログラムの存在がそれを有名無実化
実質制限無し、誰でも受験可能。
認定を受けるのに必要な業務経験:
学士取得者:3年
指定された教育機関で学士と修士を取得した者:2年
上記以外:4年
・指定大学はアメリカ・イギリスのみ。(基準が全く分からないです)
・ISC2 JAPANのサイトに(10ドメイン関連学部の大卒者)とあるが実際のところ学士号であれば専攻は問わない。

Visual Studio 2005 エディタの隠し機能

vsline.jpg
prog-blogさんのVisual Studio 2005 エディタの隠し機能 を読んでVS編集画面に縦線をいれてみました。
手順はMSでVSのテスターをされている方のブログのこの記事にあります。
上の写真がその結果です。Guidesの値には"RBG(128,0,0) 5, 45, 85"を設定しています。
ごらん頂ければ分かる通り地味な機能です。
ホイールでスクロールさせるときなど縦線が数本あるだけで確認が楽になりそうな気もするので、しばらくこの状態で使ってみようと思います。

Nov 16, 2004

CISSP準会員

k010812.jpg
写真は本文とは殆ど関係ありません。(わずかな共通点は「背伸び」?)
1、はじめに
以前のブログにも書きましたが私が仕事でセキュリティにかかわるようになってから今日で2年7ヶ月。
たとえば明日CISSPの試験があって、万が一受かったとしても、CISSPにはなれないのです。
ペーパーテストで合格したものの、経験が足りない場合(ISC)2 アソシエイトという
認定でも資格でもないとても中途半端なステータスが与えられます。
今日はその(ISC)2 アソシエイトについてちょっと調べてみました。
公式サイトのFAQの日本語訳を載せました。私同様若僧の分際でCISSPに挑もうという方の
お役に立てれば光栄です。
結論から言うと(ISC)2 アソシエイトは英検の1次試験免除と同じくらい中途半端です。
2、日本語サイトでの説明
https://www.isc2.org/japan/precondition.html
まずISC2日本語サイトには以下の様な説明があります。
CISSP準会員:
CBK10ドメインにおける最低4年間の「プロフェッショナルとしての」経験が無い方も受験は可能です。
その場合は、CISSP準会員として登録されます。
経験月数が48ヶ月を超えた後に、正式にCISSPとして認定されます。

4年の経験が無い人向けの救済措置として"CISSP準会員"という区分があるよという
事しかわかりません。
3、公式サイトFAQの和訳
https://www.isc2.org/cgi-bin/content.cgi?page=8#cat07
私の英訳の精度はSMAP中居君のリズム感と同等かそれ以下です。
その辺ご理解のほどを。

Q: "(ISC)2 アソシエイト" プログラムとは? このプログラムが誕生した理由。
A: (ISC)2 アソシエイトプログラムとはCISSPもしくはSSCPに必要とされる業務経験をつんでいる段階の情報セキュリティのプロフェッショナル向けの仕組みです。 (ISC)2 アソシエイトプログラムとはそれら対象となる人物と(ISC)2との結びつきを高め、彼らの情報セキュリティに関するキャリアの早い段階からキャリアに関するサポートを提供する事を目的とします。(ISC)2 アソシエイトプログラムにより情報セキュリティのプロフェッショナル達の抱える必要性を生めるために生まれたのです。
背景:(長いのでパス。)
Q: アソシエイトプログラムへの参加方法
A: 受験者はCISSPもしくはSSCPの試験に合格すると自動的に(ISC)2 アソシエイトとなります。必要とされる業務経験をクリアしていない状態で試験を受ける方も同様です。試験の願書に
(1) complete all the information requested including executing the agreement subscribing to the Code of Ethics,
(2) 業務経験の概要
(3) 必要とされる業務経験を完遂できる期日の見込みを記入します(CISSPは4年、SSCP1年)
(4) 料金を支払います
以上を行った受験者には試験を受けるための受験書類が送付されます。
Q: (ISC)2 アソシエイトの保持者はどのようにCISSP、SSCPとして正式認定されますか?
A: 試験合格後、受験者には"(ISC)2 アソシエイト"として認められた旨のレターが発行されます。CISSPは4年、SSCPは1年各々の資格に必要とされる業務経験を積んだ段階で(ISC)2に連絡をしてください。[電話番号:(888) 333-4458]
(ISC)2 は試験応募時の見込み期日に確認の連絡を行います。 しかし期日を覚えて、残りの手続きを行う責任は(ISC)2 アソシエイトにあります。その際(ISC)2 アソシエイトはエンドースメントを送付してください。これはWebサイトからダウンロード可能です。エンドースメントフォーム中の指示に従い(分からないので略)、フォームを記入し(ISC)2 へ提出してください。
エンドースメントフォームが正しく記入されていることを(ISC)2 が確認すると(ISC)2 アソシエイトに対しCISSP、SSCPの認定証が発行されます。CISSP・SSCPを名乗ることが出来るのはこの時からです。
それ以前の(ISC)2 アソシエイトはCISSPでもSSCPでもありません。したがってCISSP、SSCPでの必要とされる経験を積み、認定証が発行されるまでCISSP、SSCPを名乗ることはできません。
Q: (ISC)2 アソシエイトの資格は何年間有効ですか?
A: CISSPの(ISC)2 アソシエイト資格は合格通知の発効日から起算して5年間有効です。その5年の内にプロフェッショナルとしての経験をし、エンドースメントを提出することでCISSPとして認定されます。SSCPの場合、(ISC)2 アソシエイト資格は合格通知の発効日から起算して2年間有効です。
Q: (ISC)2 アソシエイト継続の手数料は?
A: (ISC)2 アソシエイトの資格を継続するために、年間35ドルの年間維持手数料(AMF)を支払う必要があります。(ISC)2 アソシエイトとして認定された日から1年ごとに(ISC)2から手数料の請求があります。
Q: (ISC)2 アソシエイトもCPE取得の必要がありますか?
A: (ISC)2 アソシエイトは"認定"ではありません。したがって(ISC)2 アソシエイトの資格キープのためにCPEを取得する必要ありません。
4、まとめ
日本語サイトの説明が不十分なため公式サイトのFAQをあたったわけですが。。。
まず分かったのは(ISC)2 が用意しているのは(ISC)2 ASSOCIATE という名称で
それを(ISC)2 JAPANが「CISSP準会員」と訳している事です。
英語のFAQでは『CISSP≠(ISC)2 ASSOCIATE』という点を強調しているのですが、その点について触れない
どころか(ISC)2 ASSOCIATEを「CISSP準会員」と訳すのはいくらなんでもミスリーディングだという印象を
受けます。
(ISC)2 ASSOCIATEは認定の権威を落とさずに、間口を広くするためのしごくまっとうな試みだと思います。
(自分自身この制度がなければ受験できないです。)
5、さいごに
「CISSP準会員」制度に感謝しつつも、維持手数料を支払う必要等を考えると「CISSP準会員」自体にメリットは
無いです。
他の資格と比較してCISSPの業務経験に関する要求は明らかに高度です。
それは「ISC2が期待するCISSPの人物像のあらわれ」であり、そして何れ「一般社会がCISSPに期待するもの」に
なるのでしょう。
私を含めこの制度を利用して受験しようとする人間は、「CISSPには相応の業務経験が求められている」事を
理解したうえで「その経験が不十分な段階で受験する事の必要性」を熟慮する必要がありますね。

Nov 15, 2004

ピカピカのJR乗車券(JAPAN RAIL PASS)

japanrailpass.jpg
一月ほど前カナダから友達が遊びに来たときのこと、みんなで電車に乗ろうとしたら
彼はバッグからおもむろに銀色に光るパスポートの様なものをとりだし、それを駅員に見せて改札を通るではないですか。
「なにそれ?ジャパンレールパス?」
と思って撮らせてもらったのが上の写真。
大きさはちょうど日本のパスポートと同じくらいで2つ折になっています。
中には↓の通り、使用者の名前・パスポート番号・有効期限が記載されています。
japanrailpass-inside.jpg
JRの"JAPAN RAIL PASS 公式サイト"によると・・・
ジャパンレールパスは外国から日本を観光目的で訪れる方のみが購入できる特別企画乗車券です。
外国人観光客専用で、しかも国内では販売してないそうです。
料金は色々ですが、7日間有効なタイプを例にとると
新幹線(のぞみを除く)もバスもフェリーも乗り放題でお値段たったの28,300円。
安い、安すぎるぞJR!
そして注目すべきはゴージャスな乗車券のデザインです。
外国人はよろこぶんだろうな〜。
旅をしているときに乗り物の切符のデザインが凝ってると無意味に嬉しくなり、ぺらぺらの紙だと
ちょっと損した気分になりませんか?。
自分の見た中で一番手の込んだ切符を「日本の会社JR」が発行しているという事を
日本人として少し誇らしく感じました。

Nov 13, 2004

GMTとUTCは別物

奥様ご存知?
「GMTとUTCは別物」なんですって!
世界標準として使用されている標準時はUTCだそうで。
全く同じものだと思っていて、本来UTCと書くべき所をGMTにしてしまった事が
何度もありました。後の祭りですけど。今後は気をつけようと思いました。
それから時計つながりで最近びっくりしたのは腕時計タイプの電波時計が充実してきている事。
昔はアテッサしかなかったと記憶してますが
Yahoo! ショッピング - 電波時計でライフスタイルを進化させる
ちょっと欲しいです。特にカシオのオシアナスというのが今までの電波時計のイメージを覆すような
レベルの高いデザインに仕上がってます。
oceanus.jpg
実売価格3万か〜。。。
今使っている機械式も味があって好きですが、日差数秒はあたりまえです。
日差数秒は日常生活では全く問題ないです。
が、しかし「この時計は結構ずれるから」というのが頭に焼き付いていて、
正確に時間を知りしたいとき等についついPCの時計や
テレビの時計で再確認する癖がついちゃったんですよね。
腕時計が時間を知る為のアイテムとして機能していない・・・というトホホなお話でした。

Nov 10, 2004

『毎秒が生きるチャンス!』 ランス・アームストロング

毎秒が生きるチャンス! ナリッシュブックス
ランス・アームストロング

学習研究社
2004-09-29
売り上げランキング 130

Amazonで詳しく見る
by G-Tools

ランスへのチームと自転車競技への思い、癌患者への貢献そして家族への愛が
丁寧に書かれています。
書かれている内容の時期は2度目のツール制覇を果たした2000年から2003年末にかけて。
前作『ただマイヨ・ジョーヌのためでなく』では癌との闘病に焦点がおかれ
レースはおろか自転車すら殆ど登場しませんでしたが、近作は2003年までの
ツールについてランスが振り返ります。
・2000年ツールのパンターニぶち切れ事件
・2001年ツールの調子が悪い演技
等のツールの歴史にのこるエピソードをランスが語ってくれるのはこの本だけでしょう。
ツールの歴史には残りませんがランディスの登場シーンが多く、しかも描かれ方が
「問題児ランディスと熱血ランス先生」といった感じなのにはちょっとビックリ。
ランディスってそんなキャラだったんでしょうか?
USポスタルのチームの雰囲気についても色々な場面で伝わってきます。
チームバスの窓がスモークなのをいい事に、バスの中で尻丸出しするなど
ジョークのレベルはアメリカの田舎の中学生です(笑)
眉毛を八の字にして「やれやれ」と困ってるエラスの表情が見えるようです。
他の(有力選手を引き抜いて寄せ集めた)チームがホテルで食事をとったあと
みんなすぐに部屋に戻ってしまうのに対し、ポスタルはみんなその場の空気が
楽しいのでなんとなくテーブルに残って談笑するというエピソードはなんとなく
納得です。
その他にも・・・
・「奥さんが産気づいているのに抜き打ちドーピング検査」というエピソードに始まる
ドーピング疑惑との戦い
・子供自慢
・奥さん(前妻)自慢
ランスの子煩悩ぶりが伺えるエピソードが多いのも特徴。
「峠の下りをギリギリまで攻めようとすると家族の顔が浮かぶ」って・・・らしくないなぁ。
プロローグ・エピローグの表現が非常に匠で、読み物としてのレベルは前作からかなり上がっています。
作者は同じ人のようですので、訳者がいいのかもしれません。(実際自転車用語も違和感ないです。)
総じてレースファンの方にはお勧めです。ランスファンでなくとも絶対楽しめると思います。
これを読んでちょっとランスのファンになりました。
(単純すぎ?)

Nov 8, 2004

CISSP プチ模試

petiexam20041107.jpg
今日はCISSPの試験範囲を俯瞰する為に「プチ模試」をしてみました。
今週2日ほどテキスト"CISSP Prep Guide"を頭から読むという勉強をしていたのですが
遅々として進まず効率の悪さに焦りを感じました。
そこでとりあえず全体をサラッと流して、以下を確認することにしたのです。
・試験範囲を掴む。
・試験の雰囲気を掴む。
・自分が得意な/苦手なドメインをハッキリさせる。
・上の結果に基づき、勉強の計画を立てる。

具体的にはテキストの10ドメインの各章の解説の後ろにある練習問題から
それぞれ10問程度をといてみました。
答えあわせのあと、当初の目的、得意不得意を把握するため、正答率をドメインごとにパーセンテージに置き換え。
出題された問題を7割正答するというのが、公式に発表されているボーダーなので
ボーダーを青線、自分の正答率をオレンジで描いてみました。
その結果が冒頭のチャートです。
明らかに凹んでいる
・暗号
・アクセス制御
そして「まぐれ」で得点してしまったが実態はボロボロの
・セキュリティアーキテクチャ
このあたりがてこ入れ必要なドメインのようです。
以下に各ドメインの印象と独断で決める難易度をまとめてみました。
何かの参考になれば幸いです。
コメント・対策
---------------------------------------------------------------------------
情報セキュリティマネージメント
ここだけテスト問題挑戦が2度目。初見で無いので正当して当然。
このドメインと次の"エンタープライズ・セキュリティアーキテクチャ"は
セキュリティのいわば土台部分だと思います。
他の問題を解く上で前提とされるような、ベーシックかつ重要な概念が目白押しです。
他に両ドメインに共通しているのは知識ではなく理解を試す問題が多く、問題文が
長いという事。
自分を含め多くの日本人にはここが山になるのではないかと思います。
難易度:4
エンタープライズ・セキュリティアーキテクチャ
8割できたのは完全なまぐれ。確信をもって回答したのは1つだけ。
TCBって何?
TCSECって何?
問題文をよく読むといいのかもしれません。
一言でいって「難しい」。
勉強しにくそうなドメインなので難易度は最高の5にしてみました。
難易度:5
アクセス制御のシステムと方法論
用語が特殊。思ったよりRDBのアクセス制御に関する問題が多い。そのわりに点取れてない。がっくり。
データベース関連の英語を復習します。
難易度:3
アプリケーションセキュリティ
データベース・データウェアハウス・OO言語・継承など。
英語をよく読めば常識でいける問題が多いです。
非エンジニアの方が受験されるのであれば、しっかりとした準備が必要と思われます。
ドメイン全体にインパクトに欠けます。
たまたま今日やった問題は奇をてらわない良問だったって事だろうか?
難易度:3
運用セキュリティ
物理セキュリティに次ぐ楽勝ドメイン。3問も間違えたのは・・・何間違えたっけ?
復習はしないとな・・・。
難易度:2
暗号学
半分しかできなかった。アポだ・・・。一から勉強します。
英語での暗号についての記述を租借するのも、大変。加えて暗記すべき項目が全ドメイン中一番多い。
救いはコツコツ地道に勉強すれば必ず得点できる内容と思える事です。
それから他のドメインとは内容の重複が少ない、いわばCISSP国の中の離島。
他のドメインの進行状況にかかわらず勉強ができるのはラッキー。
それらを踏まえ難易度は4にしてみました。
難易度:4
通信、ネットワーク、インターネットのセキュリティ
ボーダーの7割をとるのがターゲットであれば一番楽勝のドメインのはず。
一応仕事の内容とかぶるのでこのドメインでは90%以上を目標にすることに
します。
DOD Layerをド忘れ。要復習。
arpとrarpの違いを問う問題を間違う。問題文はきちんと読め、オレ!(自戒)
個人的にこのドメインについては深く勉強しても無駄にならず、仕事に活かせる。
そんなわけで細かいところまでキチンと勉強して、いつかネスペを受けるときの肥やしにできればと思います。
難易度:2
物理的セキュリティ
システムの熱耐性を華氏で聞かれる。華氏と摂氏の計算の仕方を調べねば。
概念的な説明が無く、勉強しやすい。万人に分かりやすいと思われます。
本番では満点とりたいドメイン。
難易度:1
事業継続計画
ディザスタリカバリ等。
現在の仕事の半分は運用の自分にとって内容は覚えやすく、英単語も簡単。
一般の開発者・SEさんにはどうなんでしょうか?
難易度:2
法、捜査、倫理
今回のプチ模試前、最も苦手意識があった分野。テキストでこのドメインの解説箇所をみるだけで
暗記項目の多さに気が遠くなりましたが、実際の問題は意外と素直でした。
英語をきちんと読む事と、法律についての基礎知識をテキストでしっかり勉強すれば
個々の法律を暗記せずとも合格点にのせられるのかもしれません。
もう少し問題をやってみて、出題の傾向をしっかり把握したい。
苦手である事に変わりは無いので、早めに目処をたてたい所です。
難易度:4
---------------------------------------------------------------------------
総評:
問題解くのに2時間近くかかったかな?全体の正答率は73%だった。
ドメイン"情報セキュリティマネージメント "以外は完全未着手という点を
考えると予想を大幅に上回る出来でした。
上に書いたように一部のドメインは間違いなくまぐれ。
それを差し引いても今の業務やセキュアドの勉強の蓄積が生きているのを
感じました。
テキストのサンプル問題が全体的に易しい可能性があるので、別の本(できれば
問題集)を買って、実際の試験のレベルを確認しようと思いました。
英語について:
現在日本でCISSPを受験する場合、問題は全て日本語と英語が併記されているそうです。
つまり本試験では英語を読む必要は殆ど無いのです。
しかし英語力が必要ないかというと、そんな事はありません。
CISSPの内容自習に必要な英語力:
CISSPの参考書・テスト問題集は全て英語です。ISC2 Japanのセミナーを受講しない/できない
自力勉強組(私を含みます)は英語のテキストで勉強するしかありません。
そのテキストの英語の難易度ですが日常的に英語の技術文書に触れている方には大した事ないと
いえます。
ISC2のサイトにCBKの説明、各ドメインの定義と目標が書いてあるので、それを読んでみてください。
テキストの難易度はそれと似たようなものです。
個人的感想:
やっとCISSP挑戦のスタートラインにたったという感じがしてきました。
今日は各ドメイン、たかだか10問しか解いていません。今後勉強している中で
各ドメインにたいする印象が変わることは当然予想されます。
そのときは随時アップデートをしていこうと思います。
今日はCISSPと初顔合わせ。
そんなところです。
尚、勉強には以下の本を使っています。(文中でテキストと書いているのはこの本です。)
まだCISSPの試験を始めたばかりですし、他の本との比較も出来ないのですが、
暗号に関する解説は図版を多く使い、非常に分かりやすくまとまっている点は良いです。
(本についてはまたいずれキチンと整理してみたいと思います。)
The Cissp Prep Guide: Gold Edition (All-In-One)
Ronald L. Krutz Russell Dean Vines

おすすめ平均 
まずは入門
最初の試験対策本として最適かと。

Amazonで詳しく見る
by G-Tools

カード増えすぎ

cards.jpg
何かにつけ増えていってしまうカード。(いらないカードは捨てまくってるので、これでも少ないほうのはず)
気になったので今日現在の所有カード棚卸をしてみた。
カードの内容
(左上から)
TOPS復刻 Michael Jordan ルーキーカード
大学の学生証
献血手帳
SUICA
ICOCA
パスネット
ビックカメラポイントカード
ビックコンタクトメンバーズカード
ビックカメラポイントカード(その2)
DOS/Vパラダイス・じゃんぱらクラブカード
武藤クリニック 診察券
川崎市立図書館 貸し出しカード
JAL マイレージバンク
自由が丘の服屋のポイントカード
郵貯キャッシュカード
郵貯キャッシュカード(その2)
みずほ銀行キャッシュカード
三井住友銀行 One'sダイレクト暗証カード
三井住友銀行 キャッシュカード

横浜銀行 キャッシュカード
東京三菱銀行 キャッシュカード
新生銀行 キャッシュカード
CITIBANK クレジットカード
ドラゴンカルビ・牛仙ポイントカード
美容室TCSポイントカード
(写真にはないけれど)普通自動車運転免許
消費者金融でお金を借りるとア○フルカード等といったカードが発行されるらしい。
そういうのが無いのが救いだけど、後は没個性なマイカード達。
郵貯とビックポイントカードは使ってないほうを解約しないとなぁ。
あと横浜銀行も解約しなきゃ。
学生証は卒業証書と引き換えに返却するんだけど、卒業式に行かなかったのでそのまま持ってます。
これを機に捨てます。
所有しているカードを一覧にしたものを見れば、詳細に持ち主のプロファイリングが出来そうですね。
楽しいかも。
暇な方は俺のカードでプロファイリングしてみてください。
「俺のカード晒してもいいよ!」という勇者も募集します。
飛行機の免許、アメックスのセンチュリオン、銀行の貸し金庫、その他一般庶民には縁の無いカードを
お持ちの方はこの機会に堂々と自慢をして頂きたいと思います。

Nov 5, 2004

脅しのメッセージ

knife.jpg
ログインメッセージとはサーバやアプリケーションにログインする際に
表示されるメッセージの事です。
最近、セキュリティに配慮したログインメッセージを目にすることが
多くなりました。(unix系では/etc/issue,issue.netをいじるとログインメッセージが変更できます。)
セキュリティに配慮したというのはかなりやわらかい表現で
実際はユーザを脅すメッセージです。
本システムはプライベートシステムです。
アクセスを許可されていないユーザはログインしないでください。
権限の有無にかかわらず、このシステムへのアクセスと利用は監視され、
刑事/民事上の処罰を受けることになります。

↑こんな感じ。
実際に監視されているケースは稀で、処罰を受ける例はもっと
稀なんでしょうが、内容の真偽はこの際無視!
問題は悪意ある攻撃者がこのメッセージを見てどう考えるか?です。
「コワッ!このサーバには触れないでおこう」とならないことは
予想がつきますよね。

抑止効果が少ないわりに、正規の利用者には
「うちのシステム狙われてるの?」とか
「なんだあの感じの悪いメッセージは?私は部長だぞ!」とか
受けが悪そうです。
ログインメッセージに細工をするくらいなら別のところに手を入れるべき
というのが私の意見です。
さらに感じの悪い例を1つ。
これはログインメッセージじゃなくてメールです。
たまにメールのフッターに以下の文を貼り付けている人をみます。
*********** DISCLAIMER *************
This message is intended exclusively for the named person. It may contain
confidential, propietary or legally privileged information. No
confidentiality or privilege is waived or lost by any mistransmission. If
you receive this message in error, please immediately delete it and all
copies of it from your system, destroy any hard copies of it and notify th=
e
sender. Your must not, directly or indirectly, use, disclose, distribute,
print, or copy any part of this message if you are not the intended
recipient. 略

なんとなく訳:
***注意!***
あなたがあて先やCCに含まれていなく、たまたまこのメッセージを手にしちゃった場合
即刻全てのシステムからデータを消し去り、送信者に事態を報告しなさい。
間違って手にしたメッセージを再利用したり、公開したり、配布したりするのは一切禁止です。

これをメールに書いている人は何を意図しているんでしょうか?
1、メールサーバで管理者に覗き見されるを恐れている。
→PGPとかで暗号化してくれ。
2、間違った人に送った場合に削除してもらえる事を期待して?
→勝手に間違えて送り付けといて図々しいな、君。
こんな言い訳貼ってる暇あったら、あて先きちんと確認してくれたまえ、ウンウン。
3、郵便事故よろしく、時空のハザマにメッセージが吸い込まれ、間違った人間に配送されたときの対策。
→ロスト(消失)するならまだしも、指定してない宛先には届かないでしょ。
とにかく目障りな割りに、想定している事故の発生率が低そうで、危機に備えたリスクヘッジとは
考えにくく・・・
そもそも「削除してね(ハート)」って書いとけば消してもらえると思ってんのかコラー!!!
今日も私は本文が「了解です。田中」のみ。
その後10行にわたって延々上記の言い訳文が書かれたメールを受信し、思うのです。。。
「君は一体何に怯えているのだね?」
< 備考>
セキュリティインシデントが発覚して、それが法廷で争われる事になるケースを想定し、
注意義務を怠ったなどと判断されないようにログインメッセージを変えているという
好意的な解釈もできます。これだとメッセージ自体が無意味とは言えなくなるんですが
「他にやることあるだろう?」という気がしますね

CISSP受けてみます!

cissplogo03.gif
セキュアドの試験が終わり一段落しました。
「次は何の勉強しよう?」といろいろ考えたのですが、CISSPに挑戦してみたいとおもいます。
最近WindowsやSQLサーバを触る機会が増え、MCP,MCSA,MCSE等のマイクロソフト系の
資格も考えましたが暗記する量が多くて自信が無い事、そして少なくとも今の会社ではMSの資格を
とっても評価されないだろうという予想からひとまずパス。
CISSPはもともとのセキュリティブーム(あえてこう書きます)に最近日本語での試験提供が
始まった事が相まって、ひそかに盛り上がりつつあります。
既に欧米ではかなり認知度が高いので、ゆくゆくは日本でももっと盛り上がるでしょう。
受験日は今のスケジュールだと11月と2005年1月と3月。(試験概要とスケジュール
11月はもう締め切られているので、年明けのどちらかになります。
一応現時点での予定は1月ですが、きちんと準備ができていなければ3月に延期予定です。
理由は以下2つ。
・受験料が68,250円と高額なので、一発合格しないといけない。
・CISSP認定に際し「セキュリティに従事して3年以上」という条件があり、それがクリアできるのが
 来年の4月。(焦って勉強して合格してもCISSPを名乗れない。)
来年の春にはこのブログで「CISSP攻略講座」とか出来るように・・・頑張ります。
勉強の中で気づいたことなどはブログにもどんどん書き込んでいこうとおもいます。
・・・と退路を断って自分を追い詰める為の受験宣言でした。

別府史之がディスカバリーチャンネルへ移籍!

いきなりのTT1、なによりあのランスとチームメートですよ。
USポスタルはチームとして管理が行き届いていて、どの選手も
安定して強いというイメージがありますが、その秘密を実際に経験
できるとはすごすぎです。
もちろんいきなりメジャーレースに出れるとは思えないんですが
あせらずじっくり頑張ってほしいです。
関係ないけどUSPSのチーム名簿。
ペーニャはこんなブ○イク写真しかなかったのか???

Oct 28, 2004

cactiのグラフが見えない

久々にチェックしたらcactiのグラフが出来てない。
_| ̄|○ < すいません、今週末に調べます。
rraファイルの中にデータが入ってない、つまりポーリングに失敗している模様。

結婚おめでとう!

tsubaki.jpg
日曜の夜は青山で友人の結婚式2次会(@ORBIENT)。
懐かしい顔にあって挨拶をして、必死に写真とってたらあっという間に
タイムオーバー。
この日のハイライトは2次会が終わって11時位から始まった3次会。
店は椿ラウンジ。初めて行ったんですがくつろぎ度高くていい感じですね。(エロ度も高いし)
数名で飲んでいると、新郎新婦が合流。来るとおもってなかったので
ビックリ。
初めて新婦とお話をする。あー、俺ちゃんと自己紹介しなかったな(いまさら反省)
ここへ来てやっと新郎と普通に話ができた。
よかったです。
同じく出席した友達がこんな事を漏らしてました。
>できるならば、出席者を絞り込むためにも、森林もしくは辺鄙な土地の高原の
>小さな教会であげたいですね。
>ブーケは野の花たちです。引き出物はどんぐり(春なら菜の花)とかで。
いいですねぇ「どんぐり婚」。むしろ男で盛大に結婚式やりたいって考える人が珍しいのでは?
まぁ現実は・・・
・奥さんの希望でお色直し3回とか
・両親の希望で都内一流ホテルとか
・仲人がどーだとか
・やっぱり職場の上司をよばないととか
奥さんと奥さんの家族のことを考えると、ヒッソリやるのはは難しいのかもしれませんね。
・・・でもでも、期待してるぜ「どんぐり婚」!

シスログ(syslog)の管理 〜 Vol.1 現状 〜

sl4nt.gif
syslog-ngの事を書きたかったんですが、「まず現状をまとめて・・・」とかってはじめたら結構なボリュームになってしまったので、今日はまず現状だけをまとめました。
もちろん、これがベストプラクティスであるとはおもってません。ただこういった運用の土台の話は意外に表に出てこないので参考までに晒してみます。
「他のところではこんな事してるんだ。」という1つの事例と考えてください。
実際にやった事があるのは以下の様な環境
ネットワークデバイスとサーバあわせて200台ほどのシスログを1つのシスログサーバに集めて集中管理する。
クライアント側
・被監視サーバはWindowsとUn*x系が半々。
・Windowsのイベントログをsyslogサーバへ飛ばすためntsyslogを使う。
・Un*x系のサーバは標準のsyslogdを使用。
サーバ側
一般的にswatch等が有名だがGUIがあったほうがいいだろうという理由からsl4ntを採用。
・シェアウェアだが1万円位で使い勝手がよく、安い買い物だったとおもう。
・作っているのは(多分)ドイツかオーストリアの個人でタイムゾーンに関するバグをレポートしたら翌日には直してくれた。
sl4ntに警告を発する条件をあらかじめ仕込んでおく。するとその条件を満たすメッセージが発生した場合に管理者に通報される仕組み。
問題点と現在の対応
・クライアント→サーバ間は所詮はUDP。メッセージの到達が保障されていない。
対応:特になにもせず。

TCPで送る、十分な帯域を確保する等の対策はあるが、今のところ「ロストしたらごめんね」というスタンス。
UDP以外にもこんな解析結果もあり少なくともlinuxのsyslogdも「ロストしたらごめんね」というスタンスで作られているらしい。
この辺は「100%信頼できる訳ではない」というのをチームとして認識した上で、そのまま使うのが一般的な企業における現実的な対応ではないかとおもう。
・溜まったシスログデータのハンドル
結構シリアスな問題。
データがデータベースに収まる場合バックアップ、削除、検索等の作業はデータベースの機能やSQLで簡単にできる。
そんな環境になれているとプレーンテキストで書き出されるログってのが扱いにくくてしょーがない。
対応:
日毎にディレクトリ・ファイルを分け検索を高速化
削除はオリジナルのスクリプトを使用
バックアップは○eritasのツールを使用(差分バックアップ可能)
・データ量が多い
上とも関連するが、syslogはもともとデータの圧縮なんて考慮していないのでクライアントからサーバーへの通信量・サーバのデータ保存スペースが肥大化する。
対応:
サーバーへ転送するログのPriority、Facilityを細かく設定し転送量削減。
サーバ上の古いシスログデータは圧縮する。
(元がプレーンテキストなので10分の1以下に圧縮可能)
・sl4ntの日本語対応が不十分
日本語のシスログメッセージが化けて届く
対応:
日本語OSはほとんど使っていないので放置。
些細な点だけど
・アプリケーションによっては重要ではないメッセージのプライオリティが全てErrorだったり、大事なメッセージがinfoであがってきたりする。
もちろんメッセージの中身を精査すればいいんですが「精査が必要=シスログサーバに転送しないといけない」な訳で。
・クライアントの時刻同期は必須
unix系,ネットワーク機器ならntpdate、Windowsならnet timeで
・ntsyslogのバグ?
Windowsのシステムログの内容がサーバに転送されないケースがちらほら。
・Windowsのシステムログでディスクフルがあがらない?
ディスク領域がフルに近いのにシステムログにエラーがあがらないのを目撃。
(まぁディスクフルの状態なのでロギングが出来てなくても文句は言えませんね)
まぁそんなこんなで色々考え出すとsyslogの長所である手軽さが薄れていってしまうというのが、ここ最近の印象です。

Oct 21, 2004

セキュリティエンジニアの倫理観

isc2.gif
タイトルが珍しくお堅いです。
ISC2というCISSPというセキュリティ技術者向け資格を運営している団体が
公にしているCode of ethics(倫理規定)は以下の通り。
ISC2 Code of Ethics Overview
- Act honestly, justly, responsibly, and legally, and protect society.
- Work diligently and provide competent services and advance the security profession.
- Encourage the growth of research – teach, mentor, and value the certification.
- Discourage unnecessary fear or doubt, and do not consent to bad practices.
- Discourage unsafe practices, and preserve and strengthen the integrity of the public infrastructure.
- Observe and abide by all contracts, expressed or implied, and give prudent advice.
- Avoid any conflict of interest, respect the trust that others put in you, and take on only those jobs you are fully qualified to perform.
- Stay current on skills and do not become involved with activities that could injure the reputation of other security professional.

面白いですね。
今の仕事はセキュリティ半分・運用管理半分なんですが、特に運用の方の仕事は
倫理観が求められます。倫理規定1番目の
- Act honestly, justly, responsibly, and legally, and protect society.
正直に、公正に、確実に、法に則り行動すべし。

っていうのはそんな当たり前のことを改めて思い起こさせてくれます。
原文の方は韻をふんでて洒落てますね。
大きいフォントで印刷してデスクに貼っておこっと!
特に3番目の
- Discourage unnecessary fear or doubt, and do not consent to bad practices.
不要な恐れや疑いを捨てる。悪い習慣に迎合しない。

は身につまされるものがあります。
・一度動き出したシステムには手を入れるべきではない
・予算がない
・既存システムへのインパクト
・時期尚早
・時間がない
・人間は間違える生き物
・枯れたプラットフォームサイコー!
とか色々言い訳をしつつ管理者は変化を敬遠しがちです。
変化を恐れず、常に周囲の環境をよくしていけるエンジニアでありたいと思います。