かつて徳川家康は武田信玄と１０回ほど戦ったが、１度も勝つことができず三方ヶ原では討ち死に寸前にまでなった。

主君の盾となって散った忠義の家臣がいなければ彼は３０歳で死んでいたはずである。

 

しかし最終的に天下平定し戦乱の時代を終わらせたのは家康だった。信玄も信長も秀吉も京の都に幕府を開くことはできただろうが、結局応仁の乱を繰り返すことになって安定した世の中を出現させることは難しかったと思う。

 

それは、家康だけが国家という巨大な組織運営に必要なビジョンと知恵、資質を持っていたからと思います。

彼は物心がつく頃には今川家の人質だったし、明日をもしれない緊迫感の中で幼少期を過ごしたが、優れた資質の根幹は

 

「学ぶ能力」

 

にあったと思う。特に一度も勝てなかった武田信玄との対戦経験は大きなウェイトを占めており、敗走を繰り返しつつも何かを得ていたのだろう。天下人となっても武田の遺臣を結構とりたてている。

 

 

さて、国産旅客機を日本企業の連合で再挑戦するという記事がでていた。三菱ＭＲＪがなぜ失敗したのかは前にも書いたような気もするが、再挑戦するからには心して臨み、必ず成功させるべきである。

 

飛ぶ飛行機を作る技術があるということと、型式証明を得ることは全く次元が違う。三菱の失敗はここを正しく理解できない点にあったのだが、長期にわたる開発期間の中で「こんなことをしていたら型式証明をとることはできない」と気づいていた人もかなりいたと思う。

 

しかし、旧帝国大出身で航空技術の権威で偉いと言われている人たちは聞く耳を持たなかったからなのか、社内力学のなせる技か不明だが、世界の国際空港に着陸できるためにはＤＯ１７８等の要件をクリアしなくてはならない。

 

戦後日本の航空機開発をさせまいと底意地の悪いことをしてきたアメリカだが、型式証明のスキームを牛耳っているのはそのアメリカである。米国の首を縦に振らせるためには、歯を喰いしばりつつも賢くふるまうことが必須である。それには、ビジョンと知恵が求められる。

 

従来型のジェットエンジンではなく、水素エンジン　と言っていたが気持ちはわかるが、相当ハードルは高そう。

航空機開発の人たちは、自動運転の国際規格、型式認証のスキームづくりに尽力してきた自動車産業界の人たちに学ぶものも多いはず。関係者の方々の

 

「学ぶ能力」

 

が試されることになる。

SIEM製品の代表格であるSplunkで、無償Enterpriseをダウンロードしあれこれ試行錯誤をしています。

 

SPLというSplunk専用の言語があって、採取されるログの中の要素を使って選別、抽出などを行い解析に役立てることができます。

しかし、一般的にはあまり解析を導入ユーザが自ら行うことは少ないと言われています。

 

これまでのところ、MITER　ATT&CK　などが公開している過去に発生したマルウェア感染とか、サイバー攻撃の特徴とそれに基づくSPLでの抽出テンプレートのようなものがあるので、これを採取されるログに適用するのが有益と考えています。

 

一方、Splunkにはログデータを機械学習で学習、異常判別させるためのツール（Splunk Machine Learning Toolkit MLTK）というものがあり、無償で使えます。

 

そこで早速ダウンロードしてみました。中身はTensorFlow だということで、機械学習の一般的な手法、アルゴリズムがインストールされていて、サンプルデータもそこそこバンドルされています。

 

一方、ツール自体がどうこうというよりも、大量のログデータに対して、「何をもって異常と判断するか」という根本的な観点は考えなくてはなりません。データはふんだんにあるので、どうするか悩み中です。

こういう必要性に迫られ、代表的な無料フォレンジックツールであるVolatility Frameworkでなんとかお金かけずにやろうとしていますが、やっとスタートラインに立てました。

 

一番大変なのが、題材となるWindowsのダンプメモリをどこから調達するかです。VolatilityはWindowsやLinuxのメモリアーキテクチャには相当対応してますが、Win10関係はプロファイルがないものが多い。最初は自分のハウスマシンでやったのですが、最新すぎてプロファイルがない。

 

そこでVBoxに昔のWindows7をゲストOSに入れてやれば、昔のWindowsなら対応しているのではと思い環境構築。isoイメージをDLするのに12時間ほどかかりました。なんとかDLで動きましたが、ホストOSとホルダ共有ができず、おかしいなと思っていたらVBoxのAdditional CD入れればいいらしい。が、これがうまく入らずこれまた１日以上浪費しましたが、なんとかなりました。

 

winPmemも最新版はmini版しかないが、もうrawデータでもなんでもいいと思って採取でき、volatilityで動かしたら、やっとここまでとれた。これからが、本番なのですが今日はもう寝よう・・・