一週間のふり返り(8/4-8/10)

・脆弱性対応におけるリスク評価手法のまとめを読んだ
https://note.com/salt_ninja/n/ne98442bebd96
CVSSとSSVCは名前が線対称になっているけど
やっぱり揃えたんだろうか。
CWEとCVEの違いは、CWE（Common Weakness Enumeration）はソフトウェアの弱点リスト、CVE（Common Vulnerabilities and Exposures）は特定の脆弱性の識別子。Enumerationは「列挙」、Exposuresは「露出」。
Weaknessは潜在的なセキュリティリスク、Vulnerabilityはそのリスクが具体的に悪用可能な状態。
CWEは脆弱性が生じる前の弱点を管理して、CVEは実際に発生した脆弱性を管理する。
いま忍たまがやってないから？うまくキャラクターを当てはめられない。確か山重鳥の「わかるとはどういうことか」という本に「わかるの第一歩は、言葉とイメージが結びつくこと」と書いてあったのでイメージを持つために忍たまのキャラクターを当てはめて考えている。忍たまに置き換えて表現しないと、調べたことを書き写しているだけのような気がして不安になる。

・「依存症ビジネスのつくられかた　僕らはそれに抵抗できない」を読んだ。
https://www.diamond.co.jp/book/9784478067307.html
目標、フィードバック、進化の実感、難易度のエスカレートのサイクルで依存症はつくられる。予防は早いうちに、やりたくなったら気を紛らわせる。「しない」と自分に宣言する、フィードバックを無効化するなど。
スマホをだらだらいじってしまうのが嫌で読んだ。習慣づけのサイクルは「合図」「儀式」「報酬」とのこと。

・午前Ⅱ問題を解いている。
ICMP flood 攻撃とSmurf攻撃のちがいは、Smurf攻撃はターゲットのIPアドレスを送信元として偽装してブロードキャストアドレスにICMP Echo Request を送信する。ICMP floodはターゲットに対してICMP Echo Requestを大量に送信する。
小さいスマーフがみんなの力を合わせて物事を成し遂げることが由来。時代がもっとあとならミニオンズ攻撃になってたかもしれない。

・買うか迷っていた技術評論社の過去問題集を店頭でめくってみた。
もっとストイックに過去問と過去問解説だけの冊子かと思っていたらそうでもなかった。買わずに今ある午後問題集を利用することにする。ipaのサイトに載っている過去問を印刷して解くのもいいんだけど、かさばるし散らばるから管理が大変。実際午後問題は4問のなかから2問を選択して回答するので、問題選択からシミュレーションするためにも1回分全部がまとまってる過去問題集が欲しい。