2023年末の目についた記事をピックアップ
2022年の秋からはじめたこのブログも今年で3年目に入ったということですか…早すぎる。 2024年は元旦から大地震、2日目は羽田空港で航空機事故と、なんで年の初めからこんなことが…と思わせられました。SNSは荒れているし、心穏やかに過ごしたいのであれば、テレビもネットも見ない、そんな年末年始でした。
そんな中でもセキュリティに関するニュースは抑えていましたので、気になる記事を紹介します。
パスキーについては昨年このブログでも何回も紹介していますが、改めて「パスキーとは何ぞや」という疑問に分かりやすく回答してくれています。
重要なのは以下。
パスキーを同期することは、一定のセキュリティを保ちつつ、ユーザー体験を悪化させずに実現できる絶妙なソリューションなのではないかなと思います
パスキーも完全無欠ではなく、粗を探せば問題点は出てきます、がそれが現在のID+パスワードでのユーザ認証を続ける理由にはなりません。セキュリティを強化するツールはこれまでもいっぱいありましたが、パスキーは「使い方が簡単」という点で普及のポテンシャルは高いと思います。パスキーの2024年になってほしいですね。
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 昨年発行が終了したWEB+DB PRESS。その最後の本に記載されていた記事です。僕も読みました。
パスキーは、ユーザーのデバイスと認証サーバーの間とで公開鍵暗号方式で認証を行う「パスワードレス認証」のひとつであり、ユーザーがデバイスを所有していることと、PINコードやFaceIDなどの生体認証を組み合わせて認証することから「多要素認証」でもあります。
パスキーはパスワードのように認証情報をやり取りするのではなく、公開鍵方式で認証します。そして手元の鍵を生態認証で本人確認することから、「あなたが所有しているもの」+「あなた自身であるもの」の二段階認証を実現しているため、セキュリティ的に強固なのです。
私のセキュリティ情報収集法を整理してみた(2024年版) 記事タイトルからも分かるように2023年も同じ記事を書いている方です。やっぱりセキュリティの情報は海外のほうが早く(日本は海外のトレンドが遅れてやってきます。言語が英語ではないのが関係しているのでしょうか…?) 日本語のサイトに限って言えばIzumino.jp セキュリティ・トレンドというサイトがおススメのようですが、古のBBSのようなcgiで作られているので見た目が古臭いのが欠点か。
僕も会社のRSSFeedでセキュリティの情報を収集しているので、いずれ(ネタが無くなった際)紹介できればと思います。
自らを強いエンジニアにするための3つの習慣 1年の計は元旦にあり、と言いますが大きな目標を立てるのであればこのような挑戦的な記事を読んで自分の血肉としたいですね。
「職務履歴書を作り定期的に更新する」たしかにこれ大事ですよ!日々の仕事の処理に一生懸命で、気が付けばどの道を歩んできたか忘れてしまうものです。後から自分が何をやってきたのかを振り返るのに便利ですし(転職活動の時苦労しました) 「強いエンジニアを真似る」なにも世界的に有名なエンジニアでなくても、会社の中でも尊敬するエンジニアはいるはず、自分も「この人のお勧めするもの、言うことは先入観なくやってみよう」という人がいますもの。 「代表作を持つ」。自分だったら「会社のPマーク更新を行いました」とか「会社が提供するサービスのインフラを実装しました」とかかな。
セキュリティエンジニアを3年続けて分かったおすすめ勉強法 セキュリティエンジニアという一言のカバーする範囲は広いですが、本記事が紹介するのは脆弱性診断やペネトレーションテストをターゲットとしています。ペネトレーションテストの腕を養うオンライントレーニングサイトがあるなんて知りませんでした。
情報処理安全確保支援士の登録は社員の信頼性を担保するために会社負担で行うものであり、個人で15万/3年の負担は大きい割に恩恵がなにもありません。
🤔
以上、年末年始に気になった記事のピックアップでした。他人のふんどしで相撲を取ってしまいましたが、AWS セキュリティ専門知識の勉強方法など、今年もセキュリティに関する情報を発信していきますので読んでいただけると幸いです。