2025年1,2月の気になるインターネット記事をピックアップ

１月は行ってしまう、2月は逃げてしまう、そして3月は去ってしまう、とは昔からよく言っているものですが、本当に早いですね、ブログ記事も前のめりで更新していきます。 世界が激動していて、ニュースを見るたびにうんざりなのですが、それでもLife goes onです。 警察庁、中国の関与が疑われる日本国内へのサイバー攻撃に注意喚起。侵入手口など解説、CLI版VSCodeが悪用される例も 中国の関与が疑われる組織的なサイバー攻撃が日本に対して行われているという警視庁のアナウンス。その攻撃キャンペーンは3つに分類されるということです。特に気になるトピックが”VS Codeを悪用した手口”であり、PDFが警視庁より公開されているので展開します。 VS Codeを悪用した手口及び痕跡・検知策 Microsoft Dev Tunnelsは、開発者がローカルで実行しているWebサービスをインターネット経由で安全に共有できるようにするサービス。開発トンネル機能は本来、ソフトウェア開発者等が遠隔地からコンピュータに接続し、リモートでソフトウェアの開発を行ったり、コマンドでコンピュータを操作するために使用されます。 ローカルで開発する際、ローカルで開発環境を作ることに手間取ることは良くあることです。標的メール攻撃によりVSCodeのCLI版を標的PCにインストールしてVSCode Serverを背後で起動させ、Dev Tunnels機能で遠隔からPCを制御。やり方としてはシンプルですが、国家レベルでやっているという警告です。...

2025, Mar 08   — 

【ブックレビュー】SREをはじめよう

SRE（Site Reliability Engineering、サイト・リライアビリティ・エンジニアリング）。ウェブサイトやアプリなどのインターネットサービスを、安定して使える状態に保つための専門家集団です。エンジニアリングの力を使って、システムの監視、障害対応、パフォーマンス改善などを行い、ユーザーが快適にサービスを利用できるように裏側で支えています。僕が現在の会社に転職したのは2019年ですが、当時「SREの役割を担ってほしい」と言われた時には「なにそれ？」状態でした。 SREという用語を生み出したのは天下のGoogleで、Googleでは必要に迫られ当然のようにSRE的な業務を2000年代より社内で行っていましたが、それを体系化して書籍としたのが2016年の書籍「Site Reliability Engineering: How Google Runs Production Systems」（日本語訳は2017年発売）が出版されたことで、SREの考え方が広く知られるようになりました。この書籍は、SREの原則、プラクティス、ツールなどを網羅的に解説しており、SREの普及に大きく貢献しました。 このブログはセキュリティを主題としたブログですが、SRE（Site Reliability Engineering）とセキュリティは密接に関連しています。SREは、システムの信頼性、可用性、パフォーマンスなどの維持・向上を目的とした手法です。システムの信頼性を確保するためには、セキュリティが不可欠であり、逆に、セキュリティを確保するためには、システムの信頼性が基盤となるからです。 具体的には、SREは以下のような方法でセキュリティに貢献します。...

2025, Mar 01   — 

【ブックレビュー】はじめて学ぶ最新サイバーセキュリティ講義

原題は “Cybersecurity Myths and Misconceptions: Avoiding the Hazards and Pitfalls that Derail Us”日本語に翻訳すると「サイバーセキュリティの神話と誤解： 私たちを欺く危険と落とし穴を避けるために」となります。日本語のタイトルより内容を正確に表しています。内容自体は日本語のタイトルにあるように初心者向けの内容となっています。 この本の目的は最新の技術的概念を教えることではなく、人々がそうだと「思っている」「信じている」ところに釘を刺すことです。全部で500ページ近い非常に分厚い本です。非常に長いため読むのは苦労します。ただでさえ長いのですが邦題にあるように「講義」に近いため、文章の中に時々差し込まれるアメリカンジョークが気になって。それはいいからもっと短く書いてくれ、という不満がある本です(–;)...

2025, Feb 24   — 

【ブックレビュー】フロントエンド開発のためのセキュリティ入門

これまで僕が書評を書いていたセキュリティ関係の本はインフラだったり、組織に対する内容だったりと、アプリケーションの実装に関連する本は少なかったように思えます。しかしシステム開発のメーンストリームであるアプリケーションのセキュリティ対策を知識として知ることは重要ですし、アプリ開発メンバーの連携協調してプロジェクトを進めるためにも、相手が何を言っているのかを理解することは必須のスキルです。 僕はかつてはソフトウェアエンジニアとしてシステム開発も携わっていたので、アプリに関する知見も多少はあります。それが今の仕事で有利に働いていることは間違いなく、この辺りは抜かりなく研鑽を続けていきたいと考えています。 本書籍はWebセキュリティの必須知識である「CORS」「XSS」「CSRF」などについてフロントエンドにhtml+JavaScript、バックエンドにnode.js+expressを用いて、実際に手を動かしながらブラウザ側とWebサーバ側のセキュリティ対策の実際の方法について学ぶことができます。本書にあるように、セキュリティ対策は自分で組み込むのではなくライブラリの利用が推奨されています。なぜならライブラリは多くのすぐれたエンジニアが安全、堅牢なセキュリティ対策を作り、メンテしてくれているモノなので、個人が実装するより絶対的に安全だからです。しかしライブラリを使う場合も、根幹の部分を知ることは大切です。 XSS対策にサニタイジング、というのはもはや当たり前であり、インフラエンジニアの自分でも当然知っている話でしたが、Webサーバ側でレスポンスヘッダに「「Strict-Transport-Security」や、OORSヘッダ「Access-Control-Allow-Origin」を付与して返すことについては知識を十分に持っておらず、たいへん参考になりました。 プリフライトリクエストについては最近仕事の中でアプリケーション開発者と会話で挙がったこともあり、「もっと早くこの本を読んでいれば」という感想でした。 Gemini: 具体的には、以下の条件のいずれかに該当する場合、ブラウザは自動的にプリフライトリクエスト（OPTIONSリクエスト）を送信します。 リクエストメソッドがGET、HEAD、POST以外の場合（PUT、DELETE、PATCHなど）。 POSTメソッドであっても、Content-Typeヘッダーがapplication/x-www-form-urlencoded、multipart/form-data、text/plain以外の場合（application/jsonなど）。 リクエストにカスタムヘッダーが含まれている場合（X-Custom-Header: valueなど） プリフライトリクエストの流れ ブラウザ: メインリクエスト（この場合はDELETEリクエスト）を送信する前に、OPTIONSリクエスト（プリフライトリクエスト）を送信します。このOPTIONSリクエストには、以下のヘッダーが含まれます。 Origin:...

2025, Feb 08   — 

CPEはどうやってゲットすればよいのか

昨年はCISSPをゲットすることができました、このことはとてもうれしいです。 しかしこの資格はゲットがゴールではありません。この後長くセキュリティのスペシャリストであるCISSPを名乗るためには継続的な学習と、その成果をCISSPを管轄するISC2に報告する必要があります。まさにセキュリティの終わりのない道。その方法について調べた結果を皆さんにも共有します。 CISSPの維持にはCPEというポイントを貯める必要があります。AI（Gemini）によると CISSPにおけるCPEとは、Continuing Professional Education（継続的専門教育）の略で、CISSP資格を維持するために必要な継続教育単位のことです。日本語では「継続教育単位」と訳されます。 ISSP資格は、取得後3年間有効ですが、その後も資格を維持するためには、3年間で120CPEクレジットを取得する必要があります。これは、資格取得後も常に最新のセキュリティ知識やスキルを維持することを目的としています。 CPEクレジットは、以下のような活動を通じて取得できます。 (ISC)² が提供するトレーニングコースやセミナーへの参加 セキュリティ関連のカンファレンスやイベントへの参加 セキュリティ関連の書籍や記事の執筆 セキュリティ関連のボランティア活動 (ISC)² が認定するその他の活動...

2025, Jan 26   — 

2024年年末の気になるインターネット記事をピックアップ

あけましておめでとうございます。2025年もセキュリティについて、引き続きインプット＆アウトプットを続けてまいります。今年もよろしくお願いします。 インシデントコマンダーとは？〜現代のIT運用には必須！その役割と理由〜 インシデントレスポンス対応に便利なサービスPagerDutyを提供している企業PagerDutyのブログからです。インシデント対応の勉強会というものがあるのですね。 コマンダーとはコマンドー、つまり指揮官（第三次大戦を起こすのが役割ではありませんｗ）です。 意思決定 作業担当への指示 作業要員や関連部署の招集・体制構築 ステークホルダーとのコミュニケーション 状況の交通整理 インシデントの発生と収束の宣言 ポストモーテムの作成指示 リーダーとしてインシデント対応の全体を統括することが役割ですが、特に重要なのは「意思決定」とのことです。 コマンダーとしての意思決定は確定的であり、CEOやCIOの判断よりも優先されるべきものなのです 運用経験の長い熟練のエンジニアほど、自分で手を動かしたくなるものです。しかし、インシデントコマンダーが行うべきは解決に導くための意思決定であり、作業ではないのです 何故インシデントコマンダーが必要か...

2025, Jan 12   — 

【ブックレビュー】自由とセキュリティ

今年最後の記事は、普段と少し経路の違うブックレビューとなります。 タイトルは「自由とセキュリティ」。タイトルを見たファーストインプレッションは「自由とセキュリティって対立するものなの？」でした。僕がいつも担当しているセキュリティは所属している企業のセキュリティ。確かにその現場では、個人の自由と組織のセキュリティは相反するかもしれません。セキュリティは個人の勝手なオペレーションを許さず、好き勝手に入れたソフトウェアを許さず、知らぬ間に使っているクラウドサービスを許さない、自由（無秩序）と反する行為です。 しかし企業活動と、この本が記す社会での一般的な活動は異なります。例えば、業務のメール内容を閲覧することはプライバシーに違反しているとは言えない、という考えがあります。しかし国家にそれをやられたら拙いと感じるのは明らか。 この本ではセキュリティを 「生命や生活の安全をもたらす」 モノと定義づけられています。セキュリティとは秩序であり、一つにまとまる意思である、と。一方でセキュリティのために個人は自由や権利を制限されても良いのか、秩序という名の牢獄となり、人々のセキュリティを低下させていないのか。先日崩壊したシリアの政権は不当逮捕や民衆への迫害で秩序を維持していましたが、それが人々にとって安心な社会だったとは思えません。 僕ら大衆は社会のセキュリティのために自由を制約するべき、と自分たちで考えることもあります。分かりやすい例はコロナ禍での行動制限です。あの行動制限は法律にのっとったものではなく、”お願い”でした。行動制限が法律で設定できた場合それこそ自由の危機ですが、あの当時は僕ら普通の国民が自分の行動を制限し、飲みに行かず、遊びに行かずの生活を送っていました。それこそが社会のセキュリティを維持し、自分達にメリットがあると考えたからです。 この本では「権力者がセキュリティを維持することを名目に、個人の自由意思を制限することについて」過去・現代の哲学者がどう考えてきたのかを6人の言説を基に考察しています。 先ほど書いたようにこの本で言う「セキュリティ」は「社会的秩序」と置き換えるこのができる用語なので、私たちコンピュータセキュリティ担当者がこの本を読むと、イメージしにくい話かもしれません、しかし歴史が好きな自分は興味深く読みました。 筆者に近しい考えを持つイギリスの哲学者であるジョン・スチュアート・ミルの「ソクラテスやキリストは社会では”異端”として殺されたが、それが多数決だから正しい行いだったと言えるのか」という話はなるほどです。ミルは多様性や少数意見は「社会の発展のためにも許容されなければならない。多数派は受容しなければならない」と強く主張します。セキュリティという画一性を非常に恐れていたことが分かります。 一方で「リヴァイアサン」を記したホッブスは異なる考えです。権力が王権から議会を行ったり来たりする時代に生きたホッブスは、権力を前にした個人の自由に対する無力さを持っていたと思われます、「脅されて選んだ自由もまた自由」「水は上から下にしか流れない」など、その考えは権力寄りです。リヴァイアサンの画をよく見ると、巨大な支配者の身体は複数の個人で構成されています。自分の権利を譲渡していることを意味します。ホッブスは社会のセキュリティを重視しており、個人の自由を捨て、社会秩序を維持することを是とします。 ルソーは「社会契約論」の中で、ミルともホッブスとも異なり”自由も保持する、セキュリティも守る”と主張します。自由という概念が「他者に依存しない」という考えは古代ギリシャの時代からある伝統的な考え方で、貧民が富豪から直接お金を受け取ると、そこには上下関係、従属関係ができますが、間に組織（国家と言い換えてもよい）が挟まれば他者には（表面的には）依存しなくなる、そういう形態をルソーは提唱したように読んでいて思いました。ルソーは人民が自由を主権として持っていると主張する一方で、社会のセキュリティに関しては厳格な面を持ち、必ずしも「ホッブス＝権力側の都合、ルソー＝民の意志を重視」という単純化はできません。 20世紀に活躍した哲学者バーリンの思索は、我々と時代が近いからこそ、現代に私たちが感じている社会の構造的問題を前にして、自由を主張することが簡単でないことが共感できます。今はインターネットにより世界中の社会状況が分かる時代です。それまでの歴史から現状までまったく違う世界各国において矛盾のない統一的な見解を出すことの難しさ。バーリンも「自分の議論は究極的・最終的・唯一の回答のようなものがあるという考え方への批判が根っこにある」と主張していました。一元的な解への信仰こそ殺戮を産むと。これは間違いないですね。「自分が絶対的に正しい」という考え程恐ろしいものはないですからね。 カール・シュミットは戦後日本の思想家や現代中国政府にも影響を与えているとされています。ナチスドイツに協力した、あるいは協力せざるをえなかった彼は過去何回か著作物を改定し、過去の主張を無かったことにするなどの行いもしている複雑な人です。彼もまたホッブス同様、自身が生きた当時の状況、ワイマール共和国が自由な国であった故の政治的停滞に対して、セキュリティの強化と第三の道による打開策があるべきだと考えました。それがナチスと親和性があったとことで戦後は批判されます。しかし現代でもどうしても議論による解決がぜんぜん進まない場合、えいやっとちゃぶだい返ししたり、ことを単純化することで強引な解決方法を計ろうという意見は出てきます。この本は過去の哲学家の文献を紹介しますが、けして歴史的事実ではなく、今私たちの周りで起きている議論とも通じる話です。 シュミットはホッブスを強く支持していましたが、ホッブス同様、自分の生存を脅かされる状況であり、下手なことを書けば命が危ないという背景があるところで政権に好まれるような論陣を張りました。彼への批判はもっともなのですが、安全な場所にいる我々が好き放題批判するのはずいぶんな話です。...

2024, Dec 22   — 

【ブックレビュー】OSINT実践ガイド

毎年恒例、「ITエンジニア本大賞」。このニュースを聞くと、もう1年も終わりかと遠い目になります(–;) https://www.shoeisha.co.jp/campaign/award/ 今年はやはり生成AI、LLMの本が多いですね。僕も実家に新しいPCを買った時に、Google Geminiを親に教えました。僕の親は今はもうリタイアしていますが日本のコンピュータの普及の歴史と一緒にエンジニアの道を歩んだ人、コンピュータについては同じ年齢の人と比べて詳しいと思います。LLMを使い始めて「恐ろしい時代になった」と言っていました。調べもののスピーディーさが段違いだと。僕もそう思います。 今回は唯一エントリーされているセキュリティに関連する書籍「OSINT実践ガイド」についてのレビューになります。 「OSINT」というと聞いたことがない用語でしたが、「オシント」と読み、Open Source Intelligence の略です。 一般に公開されている情報源からアクセス可能なデータを収集、分析し、意思決定に役立てるための諜報活動の一種です。 この情報源は攻撃側も同じ情報を持っており、攻撃に利用しようとします。まさに「敵を知る」こともできるでしょう。敵を知れば敵がどのように攻撃してくるかを予測することができ、防御一辺倒だった状況から「この攻撃が我々に対して行われるかもしれない」と、自分達で能動的にセキュリティを強化する「攻めのセキュリティ」を行うことができます。 インテリジェンスとは元々軍事用語です。余談ですが、セキュリティの世界では最高のセキュリティが求められる軍事から転用された用語が少なくありません。様々な「データ」を意味のある「情報」としたうえで、その情報を分析し、自分達の意志判断の手助けとなるモノを「インテリジェンス」と言います。情報をインテリジェンスにすることは簡単ではなく、専用のベンダー（インテリジェンスベンダー）もいます。 様々なインテリジェンス手法がありますが、OSINTはその中のひとつで、オープンなソースから情報を収集する活動です。 かつて第二次世界大戦などでは雑誌や新聞がOSINTの対象でした。現代のデジタルOSINTはGitHub上のソースコードやSNS、Webサイト、脆弱性データベースやPoC（Proof of...

2024, Dec 15   —