2024年1月の気になるインターネット記事をピックアップ
仕事がとても忙しい1月でした、心身とも疲労困憊です。とはいえ「疲れている」は「頑張らない」の理由にはならないですし。むしろ如何にして疲れを受け流すかのスキルを身に着けたいところですね、(残念ながら)良い年なんですし。
月末にまとめて読もうとピックアップしてあった記事を紹介します。
- 障害対応の心構え 転職サイトWantedlyのエンジニアブログ。具体的な障害対応手順はGitHub上に公開されており、こちらは基本的な心構えについて記されています。
「深夜にたまたま少し挙動がおかしい可能性に気づいた」というような場合にすでに就寝している自分のリーダーを起こす、というようなことがあっても構いません。 仮にそれが誤報であったとしても「勇気を持ってレポートしたこと」は称賛されるべきです。 繰り返しになりますが過剰反応になること一切恐れず、逆に一切過小反応にならないようにしましょう。
はじめて障害を起こしてしまった人には「はじめての障害おめでとう」と冗談をいうくらいでも丁度よいです
誤報を出した人に掛ける言葉 まずは報告してくれたことに対する感謝を伝えましょう。 加えて「誤報で良かった」ことを伝えましょう。 スタンプなどで「よかった」「ありがとうございます」などを押すだけでも 報告者の心理的障壁が下がります。
心理的安全性と相互の信頼があってこそですね。最悪なのは「難かこれおかしいような…でも手を煩わせるのも悪いし、問題ないだろう、たぶん…」というやつです。往々にしてそういうのが悲劇を起こします。** 過剰反応くらいでちょうどよい **
今自分は会社のセキュリティ担当として、会社内のすべてのモノ(組織体制、従業員、提供サービス、保有資産)へのセキュリティ強化を達成したい、と考えています。こちらの筆者の「セキュリティマネージャ」の役割はまさに自分がやりたいこと。しかし記事を読むと、スキルもさることながら会社の組織体制・人脈などそういう点をよく考慮しないと達成できないとあります。コミュ力…。
- 【雑記】セキュリティ担当の喧嘩術 こちらの記事のタイトルに引き付けられたのが、このブログを知るきっかけでした。僕はセキュリティ担当ですが、別の業務との兼業です。そしてセキュリティはとても大事なのに、ヒト・カネ・モノを出してもらえない。何故ならそれ自体は防衛・保険であり利益を産まないから。その割に何かあった時は責められるという、報われない役割でもあります(T_T)同意してくれるセキュリティ担当もいるのではないでしょうか。 しかしそれでもセキュリティ担当としての矜持を持つのであれば、何をすればよいのでしょうか。
セキュリティ担当にとってビジネス観点を踏まえても譲れないものがあり戦う場合、以下が目指すべき「勝ち」の形だと思います。
・相手が納得感を持ち、自分の足で改善の道を歩んでくれること ・セキュリティはやっぱり軽視できないな…と思ってもらえること ・次はセキュリティ担当に相談しようと思ってもらえること
読んでいくと、やっぱりコミュ力が重要なのですね、と。Amazon Primeでとりあえずダウンロードした「君が信頼されないのは話が「ズレてる」だけなんだ」に手を付けないと・・・。
-
セキュリティガイドライン類 インデックス 筆者がまとめてくれているガイドライン類、必要に応じてこのページを見直すと仕事が捗りそう。
-
DMARC をなめるな 今月神奈川県公立高校入試のインターネット出願で障害1週間、Gmailにメール届かずというニュースがありました。 今や当たり前のように使っているEメール、ましてGmailはその利便性から自分含め多くの人が使っている「生活インフラ」です。しかしメールの送信ってけっこう面倒で(メールサーバを立てる自信は自分にはありません…)昨今は迷惑メール対策で「SPF」「DKIM」そして「DMARC」など、いろいろな対応をしなくてはなりません。設定をミスるとメールが飛ばなくなる問題があります。 この記事にあるようにDMARC設定は「Gmailがやれと言うから仕方なく……」設定したのですが、システムの送信元メールアドレスにGmailを使う以上「メールが飛ばない」という悪夢のシチュエーションが頭に浮かびます。何が怖いって「送られるor送られない」ではなく「通常送られるが、特定の条件のメールは送られなかったり、一定量以上のメールを送ろうとしたら拒否される」などのパターンがありえること。もう一度会社のメール周りを見直さなければ、という気持ちになりました。
-
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか? 上記ニュースに関連したGigazineの記事。初心者向けにまとめられています。登録セキスぺの試験では前提として問われる内容です。電子メールは現代ではSlackやLINEのようなコミュニケーションツールに取って代わられてきていますが、その最大の理由が「いらないメールを受信しすぎる」なんですよね。迷惑な宣伝広告メールならまだしも、なりすましなどをやってくるメールは悪意しかないのですから。手紙を郵便ポストに投函するのに比べ、電子メールは送信コストが著しく低く、これが詐欺メールが無くならない理由となっています。それでいて今でもランサムウェアなどセキュリティ事故の最大の理由が電子メールに添付されるファイルや、メールに書かれているURL先の詐欺サイトなのです。電子メールは人類にとってもはや利益より害のほうが多いツールなのかも(–;)
-
2週間の独学でCISSPに合格した話 2022年に超がんばって、10万円払った末に玉砕した僕からすれば「そんなうまい話があるかッ」って感じですが。内容読んでも「ほんとかよ…」という結論しか無い。今年再チャレンジしたいと思っていますが、やはりネックはこの受講費。円安のためどんどん値上がりしています。やるからには合格したい、そのための策を引き続き調べていきます。
-
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ 自社のセキュリティを守るための施策をいくつも実行していますが、オフェンシブ、つまり攻撃者側の視点も大事ということを教わりました。これら攻撃者の侵入のフェーズはCISSPでも試験問題として取り上げられます。攻撃者が利用でき、同時に防御側も対策できているかチェックできるツールも多々あるのですね。考えなければならないことが山ほどある…
今年はSecurity-JAWSにも参加してみようかな。
しかし、 「構成ミスの割合が最も高い AWS サービスの Top 10」。CloudFormationとS3は分かるけど、CloudTrailの構成ミスでセキュリティ事故ってどういうことだろう。ログ出力先s3がパブリックになっていたとか?
- パスワードはおしまい! 認証はパスキーでやろう パスキーについてはこちらのブログではずっと追い続けているトピックですが、最近はMicrosoft Authenticaterの登場や、GitHubでも対応され、自分も利用しており、いよいよ普及が進んでいる気がします。 この記事の注目点は、今まで利用する側として接していたパスキーをサービス提供側として実装する方法が紹介されているのが素晴らしいと思いました。
Passkeyは決して完璧ではありませんが、おそらく現在人類が持っている最もマシな認証方式です。
”セキュリティクリアランス”というあまり聞き覚えのない用語が目に着いたので。 セキュリティ・クリアランスとは?なぜ日本で必要性が高まっているのか?トレンドマイクロが分かりやすく説明してくれていますが、安全保障などに関わる機密情報にアクセスできる資格者を政府が認定する制度。スパイに情報を盗み出されたら大変ですからね。 せっかくなので参議院常任委員会調査室・特別調査室の議事録を読んでみました。国防というだけでなく、国際協力でミッションを遂行する場合(例えば宇宙開発など)、セキュリティクリアランス制度が整っていて、きちんとした人でなければ一緒に仕事ができない、というのはあるでしょうね。公的機関から仕事を受注する場合こういうPDFとにらめっこするので。
SIEMとは、ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです引用元ゼロトラストセキュリティに必要な要素とされています。SIEMの導入にはお金と手間がかかるのですが、AWS上サービスのOpenSearchを使って実現しようという話。TISも昨年記事を書いていました。SIEM on Amazon OpenSearch ServiceはAWSがOSSとして公式にGitHub上で提供しているサービスです。こんなものがあったとは。OpenSearchのコストの兼ね合いもあり、小さな会社が導入するのは少し難しいかもしれませんが、知っておいて損はない内容でした。