昨年は こちら。

仕事

昨年と引き続きフルリモート。
まだ評価資料を作っていないので、ちゃんと振り返っているわけではないのだが、今年もセキュリティ対策室の行動指針のもと、以下のような施策を行ってきた。

• Semgrep などを用いた SAST の導入
• 脅威モデリングの実施
• Wazuh 周りあれこれ
• Splunk を使った外部サービスの監査ログ収集と SOAR の実装

他にも Gatekeeper など細かい話もあるのだけど、そのへんは GMO Developer Day 2021 - DevSecOps 推進の取り組みの紹介で。

来年も色々やりたいことはあるのだが、AppSec Metrics みたいなのを記録して、そのデータをもとにセキュリティの改善ができている、できていないを判断できるようにしてみたいな、などの野望を持っている。

プライベート

会社がフルリモートに移行し、妻も在宅なので、仕事をするには部屋が狭いということで、福岡市西区に引っ越した。
引っ越しついでに車も買った。自分は免許持ってないが…。
10月末には結婚もした。といっても2年以上同棲していたので、特に生活が変わったわけでもない。妻は名字が変わって諸々の手続きが大変そうだった。

登壇やイベントなど

ありがたいことに様々な方面から登壇のお誘いがあり、毎月のようにイベントに出ていた。
特に何か取り組んだことやその成果を発表する、というわけではなかったので、来年はそういうことを発表できるようにしていきたい。

OWASP Fukuoka Meeting #1

第14回 コンテナ技術の情報公開会@オンライン

/dev/hardening - Hardening Drivers Conferences 2021 / OWASP Evening

Infra Study 2nd #4「セキュリティエンジニアリングの世界」

GMO Developers Day 2021

ProSec-IT / SEKKUN 2021

CloudNative Days Tokyo 2021

セキュリティ・ミニキャンプ オンライン 2021

インフラを構築していた。詳細は セキュリティ・キャンプ ブログ で公開される予定。

セキュリティ・キャンプ 全国大会 2021 オンライン

グループワークの講師を @kazu1130_h さん / @kitokjp さんとしていた。

寄稿

Software Design 2021年12月号の特集「しくみから理解するDocker コンテナを安全に利用するために知っておきたいこと」に20ページほど寄稿した。

https://gihyo.jp/magazine/SD/archive/2021/202112

読者の感想は2月号に掲載されるので、反応はそれ待ち…。現場猫シール効果で売れたのではないかと思う。

OSS

あまり作っていない。コントリビュートも仕事で困った/気づいた範囲で細々と…という感じ。

• https://github.com/mrtc0/bouheki
• https://github.com/mrtc0/openv
• https://github.com/mrtc0/brewbar

報告した脆弱性

• CVE-2021-27671 / comrak の XSS - https://github.com/kivikakk/comrak/releases/tag/0.9.1
• mistune の XSS - https://github.com/lepture/mistune/releases/tag/v2.0.0rc1
• Golang net/url で Cache Poisoning につながる可能性 - https://github.com/golang/go/issues/25192#issuecomment-789799446
• Red Hat 管理のサービスの脆弱性 - https://access.redhat.com/articles/66234
• Ubiquiti 製品の脆弱性(2つ) - https://hackerone.com/mrtc0?type=user

他、いくつかの Web サービスで見つけて報告したものが2,3個あるけど、公開許可を取っていないので、ここには書いていません。

ブログ

全然書けていない。技術メモ的な場所である Scrap には、始めた当初は書いていたが、今や全然書いていない。もっと雑に書く習慣や仕組みを作らないといけない。

• falco で特定のイベントを検知したら対応するインシデントプレイブックを自動で実行する
• コンテナやコマンドなどのリソース単位で外部への意図しない通信をブロックする
• Hugo で Section ごとに RSS を生成する
• Kubernetes 1.22 のセキュリティ周りの変更
• GitHub Actions Self-hosted Runner と Falco
• falcosecurity/client-go を使ってイベントを取得する
• proxy-wasm-rust-sdk を使って Proxy-Wasm を体験する
• Windows のイベントログを Splunk に転送する
• Splunk Enterprise を Kubernetes 上で動かす
• rook-ceph で an operation with the given Volume ID … already exists で PVC が作れない
• Microsoft Intune でデバイス管理してみる
• プライベートネットワークのリソースを取得する際に Preflight リクエストを送信する提案
• Cross-Origin-Embedder-Policy: credentialless が Ship された
• BCC でコンテナのイベントをフィルタできるようになっていた

コミュニティ

OWASP Fukuoka

OWASP Fukuoka の Chapter Leader になった。といっても配信に顔を出す程度のことしかしていない。Chapter Leader とはいえ、せっかくグローバルなコミュニティに属しているので、来年は何かしら動いていきたい。

セキュリティ・キャンプ

来年から SCSC (セキュリティ・キャンプ ステアリングコミュニティ) 企画グループのリーダーとして活動することになった。
セキュリティ・キャンプをより良いものにしていくので、「こういうのがあったらいいなぁ」などあれば @mrtc0 までご連絡ください。

来年

色々反省点があり、来年はマジで頑張るぞという気持ちです。来年もよろしくお願いします。