仕事

会社がフルリモートになった。学生時代に2年ほどフルリモートでアルバイトを経験していたので、そこまで苦ではないと思っていたが、仕事以外でも気軽に外に出ることができないので、意外としんどい。なので意識的に運動をするようにしていた。
あと、リビングに机置いてフルリモートするのが、だいぶ厳しいということが分かったので、来年の契約切れるタイミングで引っ越しして作業部屋を作るぞ。

さて、技術面に関しては Kubernetes, Wazuh と戯れていた一年だった。また、AWS 周りのキャッチアップができた年でもあった。
ペパボではプライベートクラウドを運用していて、自分が普段触っている範囲もその基盤上なので、AWS / GCP などに触れる機会が少なかったのだが、今年は AWS の各種セキュリティサービスや ECS などを触る機会が少しだけあった。

クラウドプロバイダーが提供しているセキュリティサービスやそこで不足しているものを、組織の文化や技術に合う形で、自社の開発、インフラ環境にセキュリティ基盤として実装していくのは面白いと思う。

で、良い成果出したんですか？と言われると、どうなんでしょうねぇ。引き続き頑張りましょう。

OSS

リストにしてみたが、こう見ると質も量も全然だなぁ…。何か困ったら自分で作る or 直すマインドでやっているが、その割にこの量なので、新しい領域に取り組んでいないということかもしれない…。

• cxray https://github.com/mrtc0/cxray
• dependency-track-client https://github.com/mrtc0/dependency-tracker-client
• kubectl-multi-exec https://github.com/mrtc0/kubectl-multi-exec
• fish-multipass-completions https://github.com/mrtc0/fish-multipass-completions
• kubectf https://github.com/mrtc0/kubectf
• container-security-book https://github.com/mrtc0/container-security-book
• wazuh-ruby-client https://github.com/mrtc0/wazuh-ruby-client
• github-app-installer https://github.com/mrtc0/github-app-installer

Contribution

• https://github.com/pyama86/google-web-oauth/pull/4
• https://github.com/pyama86/oauth-proxy-cookbook/pull/1
• https://github.com/evryfs/helm-charts/pull/10
• https://github.com/sentry-kubernetes/charts/pull/125
• https://github.com/securego/gosec/pull/539
• https://github.com/shimoju/metabase-ruby/pull/66

登壇 / 発表スライドなど

GMO ペパボ 新卒研修 / Web セキュリティ研修

社内の新卒研修を担当した。詳しくは https://tech.pepabo.com/2020/09/09/newbie-training-2020/ を参照してください。

InfraStudy #6 / インフラ基盤技術のセキュリティとこれから

matsumotory さんからお声がけいただき、コンテナ、Kubernetes のセキュリティについて話した。動画が YouTube に上がっているのだけど、たとえ1つ2つでも低評価つくと悲しい…。 YouTuber の皆さんは鋼メンタルだ…。

セキュリティ・ミニキャンプ2020 in 山梨 / eBPF でセキュリティイベントを追いかけよう

ミニキャンプで eBPF (というか bcc チュートリアル) の話をした。

ProSec-IT / Container Security

enpit pro の一環で ProSec-IT というコースがあり、昨年に引き続き、コンテナセキュリティの話をした。

セキュリティ・キャンプ全国大会 グループワーク

毎年恒例グループワークの講師として参加。スライドとかはないです。
アウトプットしましょうとか話した割に、こうして振り返ると自分が全然できていなくて本当に良くない…。

Software Design 10月号

Software Design 10月号で eBPF について udzura さんと書いた。

https://gihyo.jp/magazine/SD/archive/2020/202010

Container Security Book

コンテナセキュリティについて、ちまちま書いている。いい加減書き上げるぞ。

https://container-security.dev/

ブログ

24記事書いた。こちらも質と量ともに良くないですね…。

• namespace 一覧とそのプロセスを表示する lsns が便利
• cxray で falco のルールを生成する
• kamus で Kubernetes の secrets や configMap を暗号化する
• Wazuh API の Ruby クライアントを作った
• Wazuh クラスタを Kubernetes で動かす
• How to Bypass Falco
• Vault の TOTP Secrets Engine を使う
• Vault の Agent Sidecar Injector を使う
• Helm Chart で生成された manifests をテストする
• Method Overwrite をリバースプロキシ環境下で悪用する
• WebKit の JSObject の Butterfly アドレスについて調べた
• Webkit の JIT の仕組みと JIT を利用した攻撃と防御について調べた
• WebKit JSC における RegExp の JIT 最適化による脆弱性を調べた
• fakeobj primitive を使った Memory Corrupution
• fakeobj を利用して任意アドレスの読み書きを行う
• 複数の Pod でコマンドを実行できる kubectl-multi-exec を作った
• wazuh の Fluentd forwarder を使って agent の任意のファイルを td-agent に送る
• procfs の hidepid オプションについて調べた
• Infra Study Meetup #6 で登壇した
• セキュリティ・ミニキャンプ in 山梨で eBPF の講義をした
• Lambda でグローバル変数を使うとどうなるか
• ping を実行するのに CAP_NET_RAW は必要なくなっていた
• ProSec-IT 2020 でコンテナセキュリティの講師をした
• Kubernetes のセキュリティを学べる kubectf を作った

コミュニティ

セキュリティ・ミニキャンプの企画Gr ? 講師Gr? 自分がどこにいるのか分かっていないが、昨年に引き続きお手伝いした。COVID-19 の影響で色々と工夫する必要があり、atpons さんと演習環境を GCP 上に作ったりしていた。詳細は https://blog.security-camp.or.jp/posts/minicamp-covid19/ を参照してください。開催が始まった9月~10月ぐらいはひたすら Terraform や Ansible を書いたりしていた。

来年

振り返りをしていると、「本当に自分は何もしていない…」という気持ちになってきて気分が沈む…。
知り合いがバンバン活躍するのを見て焦燥感を感じているので、自分も得意な領域を武器にして、まずは三流から二流になるぞという強い気持ちです。

また、今年は健康的に過ごせたので、来年も引き続き…。2020年僕と関わりを持ってくれた皆さんありがとうございました。引き続きよろしくお願いします。

お仕事や技術の話はここまで。

買って良かったもの

COVID-19 で会社がリモートワークになり、遠出もほとんどしない年だったので、代わりにひたすら買い物をした。

TV (TOSHIBA REGZA X8400)

良いTVで PS5 をプレイしたかったので買った。ついでにレコーダーも買って、気になる番組やアニメをバンバン録画している。これまで、テレビは頻繁に見る方ではなかったのだけど、NHK や BS でそれなりに面白い番組もあるという気づきを得た。なお、PS5は当たっていない。マジでいつ買えるんだよ…

作業デスク

かなでもの で買ったデスク。「ラバーウッドテーブル　角柱 鉄脚　BLOCK＆TRAY　配線孔 フラットタイプ」というのを買ったのだけど、今サイトを見たら一覧から消えていたので写真はなしで。雰囲気は https://kanademono.design/collections/rubberwood/products/tbl-k03-bk?variant=32465592287294 に角柱 + 配線孔がある感じ。シンプルなデザインの割にしっかりしていて、かなり満足している。

ThinkCentre M75q-1 Tiny

半額になっていたので2台買った。2台とも VMWare ESXi 入れて Kubernetes クラスタを組んでいる。

iPad

GoodNotes 5 をメモで使ったり、Safari Books Online と Google Translate を半々で表示して読書している。ソファでダラダラしながら LeetCode 解いたりできて便利。

SUUNTO

貰い物。リモートワークになってから運動を意識するようになり、ランニング時などで活躍している。アプリが良くできている。

猫

かわいい。今月1歳になりました。おすすめ猫グッズ情報教えて下さい。

書籍

頂いたもの含めて多数あり、全部は書ききれないので、面白かったものをリストで。順不同。

• 実践Rustプログラミング入門 / https://www.amazon.co.jp/dp/4798061700
• Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド / https://www.amazon.co.jp/dp/4839970505
• コンテナ型仮想化概論 / https://www.amazon.co.jp/dp/4877834788
• 行動を変えるデザイン ―心理学と行動経済学をプロダクトデザインに活用する / https://www.amazon.co.jp/dp/4873119146
• 進化しすぎた脳―中高生と語る「大脳生理学」の最前線 / https://www.amazon.co.jp/dp/4062575388
• 日本人の英語 / https://www.amazon.co.jp/dp/B00QT9XB1G
• 要点整理から攻略する『AWS認定 セキュリティ-専門知識』 / https://www.amazon.co.jp/dp/B08DCLRHC7
• 理科系の読書術　インプットからアウトプットまでの28のヒント / https://www.amazon.co.jp/dp/B07K8PKVMR
• 悲劇的なデザイン　あなたのデザインが誰かを傷つけたかもしれないと考えたことはありますか？ / https://www.amazon.co.jp/dp/B078LX5GQV
• Practical Cloud Security / https://www.amazon.co.jp/dp/B07PHJVS2Y
• BPF Performance Tools: Linux System and Application Observability / https://www.amazon.co.jp/dp/B081ZDXNL3
• Kubernetes Best Practices / https://www.amazon.co.jp/dp/1492056472
• 決算書の読み方 最強の教科書 決算情報からファクトを掴む技術 / https://www.amazon.co.jp/dp/4802612621
• 福岡市を経営する / https://www.amazon.co.jp/dp/447810347X
• 三体 / https://www.amazon.co.jp/dp/B07TS9XTSD
• 三体Ⅱ　黒暗森林（上）/ https://www.amazon.co.jp/dp/B089M77R61
• 三体Ⅱ　黒暗森林（下）/ https://www.amazon.co.jp/dp/B089M7M21Q
• 今日から役立つ民法 / https://www.amazon.co.jp/dp/4816365478
• 行動分析学入門　――ヒトの行動の思いがけない理由 / https://www.amazon.co.jp/dp/B00KKYSZ4Y
• 地図の博物図鑑 / https://www.amazon.co.jp/dp/4863134649

漫画

今年新たに読み始めたものと読み終わったものを挙げる。ジャンプなど、いわゆる本誌は読んでないです。

鬼滅の刃

人にオススメするほど面白いとは思わなかった。特に最後の後日談は一体何なんだ… 読者層が幅広いから、ああいう展開にしたのだろうかと思わざるを得ない。あと、時代設定が大正時代なのである程度は仕方ないとはいえ、長男や家族はこうあるべき！みたいなシーンはちょっと……。

炎炎の消防隊

アニメの主題歌が Aimer だったので観始めたら面白かったので買った。話のテンポは良いが、謎のお色気シーンはいらない…

呪術廻戦

五条先生がカッコよくて読んでる。乙骨先輩がまだ全然出てきていないから、どこまで続くんだろうなぁ。自身の能力を開示することで、戦闘を有利に進めることができるなどの設定をもっと活かしたバトルを展開してほしい。

チェンソーマン

今読んでる漫画の中では一番面白いと思う。マキナさん……

約束のネバーランド

そういう終わりか〜〜〜という感じ。面白かったけど、ウーン。

BURN THE WITCH

初巻から伏線ありまくりで続きが気になる。今度は BLEACH みたくダラダラ続けないでほしいな……。

怪獣8号

こちらもまだ話数が少ないので何とも言えないが、続きが気になる。もっと元怪獣死体処理班らしい戦い方を期待している。

五等分の花嫁

ニチャァって顔しながら読んでた。

グラップラー刃牙

履修していなかったので。中学生の頃読んでたら筋トレにハマっていたと思う。
読み終わったあと、Netflix で刃牙のアニメ観ながら筋トレしてた。

ゲーム

Switch と PS4 だけ。

ペルソナ5スクランブル

これまでのペルソナシリーズのRPGとは異なるアクション中心の戦闘システムは良かった。ストーリーも後日談という形の続編で面白かった。

Xenoblade DE

名作。やっぱり Xenoblade2 みたいなガチャシステムはいらんのや!
追加ストーリーもしっかりボリュームあって満足。

世界のアソビ大全51

ボドゲ好きなので買った。これだけのボリュームを暇つぶしに遊べるのはお得。

ギアクラブアンリミテッド

なんか 90% OFF ぐらいで200円で買えたので買ったが、めちゃくちゃ重いしレースもあまり面白みを感じない。

が、テキストが HTML としてパースされていて面白かったので、それだけでも満足。

テキスト部分HTMLとしてパースされた #NintendoSwitch pic.twitter.com/k7XVXQsOZ8

— Kohei MORITA (@mrtc0) November 28, 2020

桃鉄

5年以上は長くて苦痛。

One Step From Eden

ロックマンエグゼ大好きマンなので買ってみたが、なんか思っていたのと違った。確かに面白いけど敵強すぎじゃないか…? 全然勝てなくて1週間ぐらいでやめた。

十三機兵防衛圏

今年やったゲームの中で一番面白かった。
SFゲーでめちゃくちゃ面白いけど ADV が苦手な人は合わないかも。ストーリーは13人の登場人物をそれぞれ進めていき、謎が明かされていくのだが、まぁ〜〜〜時系列が複雑で真面目に追いかけるのは超大変だった。戦闘は程よく爽快感があり、出現する敵に合わせて出陣キャラや配置を変える必要があるなど、それなりに楽しめた。今からやる人はネタバレ見ない方がいい(公式もそう言ってる)。

Watch Dogs Region

Watch Dogs シリーズ3作品目。2でドローンやガジェットを操作出来るようになり、かなり面白くなっていたのだが、Region では物足りなさがあった。AI が高度に発達した近未来が舞台… と言いつつあまりAI要素がない、ロードが長い、翻訳が雑、バグが多い、全体的にヌルゲーなどなど不満点が多くて残念。主人公がいないので、NPC のミッションをクリアして仲間を増やすことで、ゲームを有利に進めることができるのだが、いかんせんヌルゲーなので、特にスカウトせずに適当なキャラのみで進めていける。一体なんだったんだこのシステムは…。クリア後のバグリーの話は面白かった。

ドラゴンボール　カカロット

すぐ飽きた。ドラゴンボールをちゃんと履修していないのでハマらなかったのかもしれない。

FINAL FANTASY VII REMAKE

最後にザックス出てきて泣いちゃった…

サイバーパンク2077

今やってる。スゲー落ちる、なんかオブジェクトが変になる以外は気にならない。セーブデータが8MB超えると破損するからアイテムを取りすぎるなってどういうことだってばよ…。

終わりに

今年はちょっと散財気味だったので、来年は落ち着いて過ごしたい。あと PS5 早く…….