本日のまとめ
hazuki氏(以下、hazuki):では、本日のまとめとさせていただきたいと思います。
まずは、セキュリティインシデントの重大性について。特に2022年は、1年間を通して非常に話題となったセキュリティのニュースがたくさんあったなと記憶しています。2022年だけではありませんが、近年はセキュリティ、サイバーセキュリティという単語が、一般的にも注目されつつあるトピックかなと思っています。なので、海の向こうの存在ではなく、対岸の火事です。
佐野健一氏(以下、佐野):そうですね。
hazuki:非常に身近なトピックなので、自組織においても自分事と捉えて対策していく必要があります。
繰り返しになりますが、Webだけではありませんが、Webは特に重要情報を扱っていて、ハッカーの標的となりやすい、入り口になりやすいところでもあります。今日1日を通して、脅威インテリジェンスについてお話をしたので、みなさまのふだんの業務のヒントになればいいなと感じています。ありがとうございます。
『NIST SP800』を押さえておけば大丈夫なのか?
hazuki:そういったところでですね、本日お話ししようと思っていた内容は以上となりますが、いかがでしたか(笑)? 佐野さん、どうでしょう。全体を通して、なにかコメント等ございますか?
佐野:打ち合わせをほぼゼロでこの会をやって、よくここまでもったぞと。
hazuki:そうですよね、でも佐野さんは社外露出をたくさんされていて、ベテランなので、お話を聞けて非常によかったです。ありがとうございます。
佐野:40より上のベテランですからね(笑)。
hazuki:ベテラン(笑)。私も若造代表として、非常にたくさん学ばせていただいたので、たくさん持ち帰らせていただきます。
佐野:お願いします。
hazuki:もし、質問などがありましたら、コメントをいただければと思います。
佐野:真面目そうな質問がありますね。「NIST SP800を押さえておけば大丈夫という考えは安易でしょうか?」
どう思いますか?
hazuki:NIST SP800は、普通に量多くないですか(笑)?
佐野:そう、そこよ。
hazuki:なので、「どれ?」というのがまずありますよね。
佐野:そうですね。
hazuki:そして、1個1個がボリューミーすぎるという。
佐野:結局、対策するには、全部ひもづいているものがあって、その中から選択してやらなきゃいけない。なので、「押さえておけば大丈夫」は、安易ではないと思います。安易ではないと思いますが、実際それを実行するのはかなり骨が折れる。
hazuki:ハードルが高い。あれもこれも、目を通すだけでなんかもう、けっこう体力を持っていかれますよね(笑)。
佐野:本当。僕はあれの構造を理解して読む時は、紙で読んでいました。
hazuki:わかります。印刷をして、赤ペンを持って精読というか、教科書的な感じで、勉強という感じで読んでいました。
佐野:違う文章に飛ぶから、そっちを手元に持っておかないと、本当に読み解けないですよね。
hazuki:そうですよね。調べながらみたいな、ですね。
セキュリティを学ぶ上でおすすめの本は?
hazuki:(コメントを見て)「本のお話がありましたが、セキュリティの勉強をする上でおすすめの本」。
佐野:逆にこれはhazukiさんのほうかな。僕は実践でやっていくタイプというか、セキュリティ業界が長いので、正直僕はこれから始める人が読む本にはあまり詳しくないですね。
hazuki:そうですよね。セキュリティと言っても自分がどういうポジションでセキュリティに関わっているのかでぜんぜん違いますよね。
佐野:そうですよね。例えばWebの方々だとしたら、やはり有名なのは「徳丸本」ですかね。
hazuki:そうですね、「徳丸本」(笑)、やりました。正式名称が『安全なWebアプリケーションの作り方』でしたっけ?(※正確には『体系的に学ぶ 安全なWebアプリケーションの作り方』)
佐野:そんな感じです。
hazuki:水色の本ですね。
佐野:はい。
hazuki:CDが付いていて、それを入れて確か、「やられサーバー」みたいなものを自分のパソコンに作って、実際に手を動かしながら勉強するという本でバージョン2が出ているのですが、分厚くなって再登場しています。
佐野:へぇ。なるほど。
hazuki:言語はPHPでした。
佐野:ほぉほぉ。
hazuki:もっとフロントエンド側のセキュリティの勉強をしたいという方は、確か『Webブラウザセキュリティ』というブラウザセキュリティの有名な本があります。(※正確には『Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを理解する』)
こちらは確か「ツバメ本」って言われていたような気がします。
佐野:すごい、詳しいですね。
hazuki:勉強は好きでよくするんですが、テッキーな情報だけ持っているからといって会社を守れるかといったら、それだけじゃないなというのは日々痛感していますね。
高尚な話が多いというか、マネジメント系の知識も必要だなと思うことが多いですし、法律も理解しないといけないとか、もうやることが多すぎて、セキュリティ担当は死ぬまで勉強だなと思います(笑)。
佐野:そうですね、残念なことに。
hazuki:残念なことに(笑)。
佐野:状況がいろいろ変わってきますからね。
hazuki:そうですよね、確かに。技術の発展でクラウドセキュリティという分野が出たりとか、本当ですね。
佐野:そのへんがハードルが高い原因でもあるのかな。
hazuki:確かに、そうかもしれないですね。
40代とか50代とかのおじさまたちで特に「インフラ時代からずっとITをやっています」という方は、OSのセキュリティの構造とかにすごく詳しかったりして。ちょっと世代が違うと、「もうおじさんたちにはかなわないな」って思うことがありますね。
佐野:そうですね。だから50代ぐらいかな。機械語の時代からやっているみたいな人たちってもう、すごい元気ですよね。
hazuki:いや、すごいですよね(笑)。知らないよっていうことを知っていて、みなさん。
佐野:そうです、そうです。
hazuki:技術の発展とともに年齢を重ねている感じが、すごくかっこいいなって(自分の目に)映っています。
佐野:そうですね。
hazuki:確かに、(コメントを見て)「フルスタックエンジニア少なくなった」って。そうですね、あれもこれもっていうのは、もうハードルが高いというか、本当に純粋にリスペクトって感じですね(笑)。
佐野:そう思います。
hazuki:では、お時間もそろそろいい頃合いになってきましたので、あらためて、ちょっとここで締めたいと思います。
本日は7時半から1時間ばかり、「Webエンジニア向けセキュリティ勉強会!」を開催させていただきました。ゲストとして、サイファーマの佐野さんにもジョインいただきまして、本当にありがとうございました。大変勉強になりました。
佐野:ありがとうございました。
hazuki:本日ご参加いただいた方のなにかヒントになれば非常にうれしいなと思っていますので、引き続きみなさん、セキュリティの勉強をがんばっていきましょう!
佐野:がんばっていきましょう!
hazuki:はい、ありがとうございます。では、私と佐野さんからのパートは以上となります。
