2024年年末の気になるインターネット記事をピックアップ

あけましておめでとうございます。2025年もセキュリティについて、引き続きインプット＆アウトプットを続けてまいります。今年もよろしくお願いします。

インシデントコマンダーとは？〜現代のIT運用には必須！その役割と理由〜インシデントレスポンス対応に便利なサービスPagerDutyを提供している企業PagerDutyのブログからです。インシデント対応の勉強会というものがあるのですね。コマンダーとはコマンドー、つまり指揮官（第三次大戦を起こすのが役割ではありませんｗ）です。

意思決定
作業担当への指示
作業要員や関連部署の招集・体制構築
ステークホルダーとのコミュニケーション
状況の交通整理
インシデントの発生と収束の宣言
ポストモーテムの作成指示

リーダーとしてインシデント対応の全体を統括することが役割ですが、特に重要なのは「意思決定」とのことです。

コマンダーとしての意思決定は確定的であり、CEOやCIOの判断よりも優先されるべきものなのです運用経験の長い熟練のエンジニアほど、自分で手を動かしたくなるものです。しかし、インシデントコマンダーが行うべきは解決に導くための意思決定であり、作業ではないのです

何故インシデントコマンダーが必要か成長段階の運用チームでは、しばしば「全員でサッカーボールを追いかける」かのような状況が発生します作業担当者は作業に集中し、ステークホルダーとのコミュニケーションはインシデントコマンダーが担う必要があるのです

手を動かせることは当たり前として、敢えて自分で手を動かさず、他メンバーに任せる。自分の日々の業務にも通じるものがあるかもしれないと読んでいて思いました。タスクは山ほどあるのですが、自分というポジションを見つめ直し、自分が何をやるべきか、何をやらないべきかを2025年は考えていきたいです。

セキュアなWeb APIの作り方 OWASPというとWebアプリケーションのセキュリティに関する課題解決を目指す非営利団体で、OWASP Top10というWebアプリケーションの脆弱性の流行トップ10を毎年公開することで有名ですが、Web API版OWASP Top10もあるとのことです。 Web APIにおけるSSL/TLS証明書の有効化、そのうえでebAPIにおける認証・認可についての説明を解説しています。

OAuth2.0 = 認可
OpenID Connect 1.0 = 認証

認可サーバとしてKeycloakを利用しています。アプリ開発メンバーがKeycloakを使っているのを見たことはありましたが、どのようなものかよく知らなかったので本記事で学びがありました。便利な機能が揃っているOSSなのですね。昨年7月に「OAuth徹底入門」という本を読み、この中で紹介されていたOpenId Connectも学んだのですが、Web APIもOAuth+OpenID Connect認証認可に使えるのですね。

「セキュリティに興味があるのですがどうしたらいいかわからない」という方向けに私が提供できるコンテンツを紹介しますタイトルそのものの内容ですが、実際に参考になる書籍を紹介してくれているのはとてもありがたいです。7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性は話題になった本です。一方ハードニングファン★リファクタは防御側に立った本になります。今年はこの両者を学ぼうと思います。

セキュリティエンジニアって200職あんねん（分類とキャリアの話）昨年取締役より「セキュリティおじさん」を拝命した僕ですがwセキュリティってそもそも何ぞや、を自分の中で確たる回答を持たなければならない、と思っています。しかしセキュリティの範囲は広大です。タイトルは比喩で実際に200職あるわけではないですが、それくらい多種多様という意味です。先ほどの本でも攻撃側と防御側に立った本が紹介されて今滋賀、この記事も同様にオフェンシブとディフェンシブに分けた上で、その内容を上流＝ポリシーの策定や、と下流＝運用後の防御策やインシデント対応、で分けています。分かりやすいです。記事の最後に、セキュリティの資格が上流オフェンシブ/下流オフェンシブ/上流ディフェンシブ/下流ディフェンシブ、で分けられていましたが、CISSPはいずれにも含まれていないのでしょうか…。

AWS 環境における Generative AI とセキュリティのジレンマ最近 Amazon Qに対して、AWS のリソースの設定を自然言語で確認すると、その設定を返してくれるようになりましたが、GuardDutyにとってAmazon Qのふるまいはスキャン行為そのもののため誤ってアラートを上げる、という話になります。もしGuardDutyが呼び出し元にフォーカスし、Amazon Q から呼び出されたのかとか、信頼されているアプリが呼び出されたのかで Severity をコントロールするようにしないとこの誤検知は減らないわけですが、その一方で、悪人がAmazon Qを利用した攻撃を行った場合一律で除外してしまうと拙いよね、という話でした。完璧はないということですね。

サイバー犯罪の最前線で戦う部隊　脅威情報分析の役割とは？学校における回覧板の回覧から飲食店でのオーダー、政府からのワクチン接種のアンケートなど、今や日本の基幹インフラと言えるLINE（LINEヤフー）、この会社のセキュリティは当然日本でも最高レベルでしょう。ハッカーにとっては宝の山。毎日のように攻撃を受けているとのことです。セキュリティを見ている人たちにとっては本当にたいへんでしょうね…。脅威情報の分析を行う専門チームを社内に擁するのはさすがLINEヤフー。LINEヤフーの規模になると警察とも連携しているというのは驚きです。LINEヤフーレベルにもなれば、ダークネットやテレグラムなどで攻撃者のやり取りを覗いてトレンドをチェックしたりするのですね。読み物としてとても興味深かったです。

「セキュリティ」とはなにか自分に似たような役割の人の記事のため参考になりました。

「なぜセキュリティをやるのか」「どこまでやるのか」を言語化すること

プロダクトに関するセキュリティは「プロダクトセキュリティ」、コーポレートIT / 情シス管掌の範囲は「コーポレートセキュリティ」のように分かれがちです。しかし、これって分かれていては本来はダメで、ひとつのテーブルの上で「組織のセキュリティ」として一緒くたに語られるべきものだと考えています。ひとつのテーブルの上で「いま優先して行うべきことはなにか？」を議論できる世界が理想的です（弊社ができているとは言っていない）

「従業員はセキュアな行動を意識的 / 無意識に行える状態」、かつ「組織もそのような行動を称賛・支援し、意思決定を行える状態」にどの程度なっているかを可視化して、ギャップを埋めていこう

御意！

私のセキュリティ情報収集法を整理してみた（2025年版）最後はこちらの記事を。タイトルから分かるように、2024年版もあります。海外のセキュリティまとめサイトはたくさんあるのですね。日本語という井の中の蛙でしたので知りませんでした。翻訳の精度が挙がったものの、やはり外国語の壁は高いです。しかしこのサイトの方がおっしゃるように、まとめサイトのトップページをGoogleChromeの翻訳機能で日本語訳するだけでも、世界で何が起こっているのかを知ることができるので良いと思いました。

おススメの上記サイトをさっそく巡回サイトとして登録しました。