AWAE、19日目

相変わらず平日は疲れていてほぼ進捗が無い。社会人が資格を取るのは苦難が多い。

セキュリティ

久々にHackerOneで一つ脆弱性を報告した。無事トリアージされ、修正が進められている。良かった。あと企業のWebサイトで2つほどXSSを見つけたのでIPAに報告した。どちらも受理された。良かった。大きな目標を持つのは良いことだけれど、大きすぎるあまり自分の無力さに打ちひしがれてしまいがち。特にプロダクトセキュリティは皆の協力が不可欠なので、個人の力は微々たるもの。それこそ節電して地球環境に寄与する、みたいな話と似ているように思う。人ひとりにできることは少ない。人によって解ける問題の量やレイヤはそれぞれ。自身のできる範囲、できるレイヤで貢献しているだけで大変偉いことだと思う。私は最近こんなことをしている。

  • 見つけた脆弱性は然るべき方法で報告する(IPA, HackerOne, etc)
  • セキュリティアドバイザリが誤っていれば修正する
  • 直せそうな脆弱性があればパッチを送る

正直技術的には大したことはやっていないが、私の活動で世界がほんの少しでも安全になれば嬉しい。人間はミスをする生き物なので、どんなに賢い人たちが作ってもまず間違いなく何かしらの脆弱性はあるだろう。人間がものを作る限り、これはきっと続いていく。セキュリティに熱意があるうちは上述の活動は続けていきたい。欲を言えば、

  • 新しい攻撃手法や防御の仕組みの考案
  • より低いレイヤの脆弱性の発見
    • ex. Ruby, Linux

みたいなことがやれたら楽しそう。明日からもやっていく。