今日は Port139 ケーキオフに参加してきた。
諸先生方の話を聞けてとても楽しかった・・・と書いただけでは小学生の感想文になってしまうのと、いい機会なので少しまとめてみた。
まずオフの内容に関してなのだが、今回のテーマは「敵 (普通は第三者と書くべきなのだろうが、この場合こう書いたほうが判りやすいだろうし、何より自分自身にとって進入される相手は敵であるわけだし。) から侵入された場合に、如何にしてそれを判断するか」というものであった。話の流れは、まず不正とはどういうものかを示し、それらをどういう形で発見するか、というもの。結果的に Output されたものは以下の通り。

1. ログを取得するには多大な容量とパワーが必要であること
2. ログから解析するには膨大なコストがかかること
3. ログから得た結果を有効活用する場は結局裁判所であること

まず一つ目であるが、これはリクエスト、レスポンスを含んだ情報を保存するには、サイトの設計にもよるが 1 日数ギガに上るであろう、という点で運用負荷を生む。
二つ目は経験も必要になってくる。すなわち、ログから感じられる不振な匂いを感じる能力が必要だろう。また、データが膨大になればなるほど、それを探すのに時間が必要になる。解析ツールなどもあるが、結果的には解析ルールを知っている必要もあるわけだし。なので即ち経験が必要となる。
最後、結局「何が正しくて何が正しくないのか」は司法判断が必要であるということ。これだけのログを解析し、不正を正しく説明したところで、その相手 (情報が漏洩した際に、その情報を管理していた会社がいい例である) に責任能力があるかどうか判断するのは裁判官である。「知らぬ存ぜぬ」という相手に責任を問えるかどうかは、現状では判断が分かれるところ。判例が欲しい。
とまぁ、こんなところだろうか。