「【ブックレビュー】サイバーセキュリティ、マジわからん」と思った時に読む本

会社におけるセキュリティ担当として活動して思うのは、いくらセキュリティ担当者が学び、規程を作成し、セキュリティを強化するツールを導入したとしても、現場で働く普通の人がセキュリティの意識が低いままでは会社全体のセキュリティのレベルが上がらない、という事実です。とはいえ、自分がかつてセキュリティ担当でもなんでもなかったときは今のような意識は持っていなかったことも事実。 本当にごく一般の方向けに、リスクを低減するために知っておいたほうが良い知識をまとめ、周知し、定着してもらう必要があります。この本はタイトル通り本来は普通の人に読んでもらいたいのですが、そもそもセキュリティを意識しながら仕事したくない、というのが一般の人の考え。このような本を手に取るとも思えません(笑) そのため、この本のレベルを何度でも何度でも口酸っぱく伝えるのが、一般社員向けのセキュリティ講習を担当するIT関連部署の社員の役目であると思います。 まず、セキュリティリスクでどのような被害が実際に起こるのか、けして他人ごとではないのですよ、ということを身近な被害からレクチャーすることは大事と思います。銀行口座から現金がインターネット経由で奪われるケースや、ランサムウェアによるインターネットサービスの利用停止、USBメモリ紛失・盗難による情報漏洩、公共交通機関や病院が攻撃されたなどは日常生活でも聞いたことがあるはずなので、興味を持ってくれるはずです。 僕はこの本で紹介されていた心臓ペースメーカーがインターネットにつながり遠隔治療や状態確認ができるようになった利便性の半面、脆弱性によりハッキングされるおそれという話しが印象に残りました。まだリアルで起きた事例ではないようですが、技術的には起こっても不思議でない話しです。一昔前なら映画や小説で書かれたようなフィクションの世界に今生きているのですね。 一般の人が被害を受ける原因の一つである、身近なソーシャルエンジニアリングについても紹介されています。タイトルを聞くだけで震える「スマホを落としただけなのに」(これ、推理小説なのですね、てっきりセキュリティをネタにしたホラー小説と思っていましたよ)。この本を読んでいて「社員の人たちはスマフォを廃棄するときどうしているのだろう?」と思いました。三大キャリアのようにしっかりした会社ならしっかり処理してくれるだろう、という信頼はありますが、中古スマフォ店で買取してもらったスマフォは本当にデータを完全消去してくれるのだろうか。 パソコンやスマートフォンには貴重な金属が使われているため、リサイクル目的で自治体がリサイクル箱を用意してくれていることがありますが、この際にちゃんと個人情報も消去してくれているのでしょうか?行政のホームページを観ましたが、そのあたりについては記載がありませんでした。そこがはっきりしないと社員にも勧めにくいですよね。 次にフィッシング対策。未だにセキュリティ事例トップ10の上位に位置します。ランサムウェアの入り口にもなりますし、そもそもフィッシング詐欺で使われる一見便利そうなソフトウェアに見せかけたマルウェア”トロイの木馬”の元ネタが紀元前のトロイア戦争にさかのぼるわけですから、人類が逃れることのできない罠といえそうです。対策がいろいろ紹介されていましたが、自分の会社の状況を元にカスタマイズすると良いでしょう。例えば以下のように。 OSを最新のセキュリティパッチを適用 怪しいメールは開封しない 添付ファイルのダウンロードもしない(通常業務において、Gmailのプレビューで閲覧できないフォーマットのファイルを開く理由はほとんどないはず) 自分達がファイルを送る場合は添付せず、Googleドライブ上にアクセス制限したファイルを置くほうが安全 メールのURLもクリックしない 万が一PCがかしな挙動になったら、速やかにネットワーク切断して情シスに連絡 このようにルールを考えていくと、ビジネスであろうと個人であろうと、もはやメールを利用すること自体に限界を感じてしまいます。実際BtoBであればSlackなどがあります。BtoCでもLINEはあります。ただ、メールアドレスは個人を識別するIDとしてあまりに普及してしまったため、今更無かったことにするのも難しいのが現実。行政関係についてはマイナンバーを認証に利用したアプリでやり取りすることができれば、というのが私見です。デジタル庁の人には頑張ってもらいたいです。...

2025, Apr 27   — 

「事なき」を「得る」ための活動

見るほどに治安の悪くなっていくSNSことX(旧twitter)ですが、ふとバズっているツイートを見つけたので。 薬剤師がきちんとした仕事をすると一体何が起こるのか?_人人人人人人人人人人_> 何も起こらない  < ̄Y^Y^ Y^Y^Y^Y^Y^Y^ ̄この価値が分かる人はそう多くない。 https://t.co/5KkWNshVv4— 遊び人 (@asobinin_t) March 8, 2025 ”この価値が分かる人はそう多くない。”は余計な一言のような気もしますが、そう思いたくもなる日々を過ごしているのかもしれません。 僕もこの1年セキュリティに力を尽くしました。AWS上で稼働しているサービスのセキュリティを強化することはもちろん、会社本体の組織や従業員が利用しているツール、そして従業員の意識の向上に力を注いだわけですが、セキュリティの価値は日常ではなかなか分かってもらえません。面倒くさい、時間とお金の無駄と軽視されているなぁと思うこともあります。そして何か問題が起こった時にはじめてその価値が「見える化」しますが、だいたいは「セキュリティ担当は何をやっているんだ」と言われるのでしょうね。報われない話しです。 ただ、このような仕事は世の中には意外とたくさんあると思います。 薬剤師がきちんとした仕事をすると一体何が起こるのか?答えは「何も起こらない」この価値が分かる人はそう多くない→「『何も起こらない』のがどれ程ありがたい事かと」「正常に保つのにどれだけの費用とか苦労がかかっているのかを見えない人は一定数居る」 マイナスをゼロにする仕事って日の目を見ることはないし、大衆の目に晒される時は大抵良くないことが起きたときなんですよね 問題が発生!劇的に対応して解決!ってのはマンガやドラマではカッコいいですけどね。...

2025, Apr 19   — 

2025年3月の気になるインターネット記事をピックアップ

2024年度が終わり、2025年度が始まります、昨年はCISSPの資格取得に邁進していたのですが、今年は継続的な記事の投稿こそしているものの、自分のスキル、キャリアアップに繋がる学習をはしていません。このままではよくない。何かを始めなければならない、そんな焦りを感じる2024年3月末です。 GMOサイバーセキュリティ大会議&表彰式2025 石破首相らも警鐘、セキュリティの産官学連携に意欲──GMOサイバーセキュリティ大会議&表彰式2025 GMOサイバーセキュリティはどうやら国の偉い人とコネクションがあるようですね。石破総理のビデオメッセージに加えて、サイバー安全保障担当大臣も会場にやってきたとか。アーカイブ動画が上がっていますが、3時間も観るのはけっこうなボリュームです。 2年間で21個のセキュリティ資格を取ってわかったこと 自分はマルウェア解析のセキュリティ分野について詳しくないため、このような資格があるということ、年間を通じてマルウェア解析の学習を行うことのできるサイトがあることを知りませんでした。先ほど継続的な学習をしていない、と感想を書きましたが、ハンズオン形式の学習によって得られる資格は手を動かすことでスキルが身につくことが実感できるのが良いと思いました。 日本のサイバーセキュリティの底上げに向けた産学官連携「Japan Cybersecurity Initiative」を設立 「Google Threat Intelligence」というサービスを初めて知りました。VirusTotal(ウィルススキャン)やMandiant(脅威インテリジェンス)と連携し(ともにGoogleが買収)、総合的な情報を提供するサービスとのことです。 この記事の中で、これも初めて知ったのがGoogleがサイバーセキュリティに関する認定資格を作っていたということ。 Google 認定講座「サイバーセキュリティプロフェッショナル認定証」を受講してみた...

2025, Apr 08   — 

情報処理安全確保支援士のオンライン講習を受講しました(2024年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 1年に1度の情報処理安全確保支援士(通称登録セキスペ)の更新期限が迫ってきました。去年の更新の際にはブログ記事内で この半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。 と書いていましたが、その後、2025年はとにかくセキュリティ・セキュリティ・セキュリティ。どっぷり浸かった1年間でした。おかげで?CISSPも取得できました。 そのCISSPの資格を維持するためには書籍やウェビナーの参加をISC2に報告することでたまるポイントの蓄積が必要なのですが、登録セキスぺのオンライン講習も対象になるとのこと。これを活かさない手はありません。 今年のオンライン講習、最初の単元は 「登録セキスぺに期待される役割と知識」 。 昨年と同じタイトルです。概要に「専門家の抱えるジレンマ」という言葉がありますが、それを痛感した2024年のセキュリティのお仕事でした。知識はたくさん持っています。あるべき姿も見えています。しかし企業活動を行う中ではヒト・モノ・カネ・そして時間が圧倒的に足りない。 目標にある セキュリティの脅威を能動的に収集する 指導・助言を求めている関係者に対してセキュリティの具体的な助言を行う 自社・他社の過去の事例を教訓として、再発しないよう対策を行う この3つにできる限り取り組むことが、セキュリティ専門家を名乗る自分のミッションだと再認識しました。上記3か条は情報処理の促進に関する法律の以下の文言を分かりやすく説明した言葉といえます。 サイバーセキュリティの確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。...

2025, Mar 29   — 

ウェビナー「こう出たR6秋セキスぺ解答解説」

ITエンジニア向け勉強会サービス「CONNPASS」特に転職前はお世話になりました。僕の転職後すぐコロナ禍になり、勉強会というものも出来なくなりましたが、かわりにオンラインによるウェビナーは盛んになりましたね。 久しぶりにCONNPASSのイベントに参加しました。タイトルは 「こう出たR6秋セキスペ解答解説」 主催はJP-RISSA(情報処理安全確保支援士会)。昨年秋の情報処理安全確保支援士試験についてどのような問題が出たのかを解説するとのこと。 僕が合格した当時はセキュリティスペシャリスト試験という名称でした。時が経ち、今はどのような問題が出題されているのか興味があり視聴しました。 まず、午前2の難易度が上がったとのこと。過去問と同じ問題が減り、新規の問題が増えたとのことです。丸暗記で余裕、とはならなくなったのが難易度アップの理由と推測されていました。 ここで「今の時代AIを使えば4択問題を大量に作ることはたやすいのでは」という面白い推測が発表者からありました。たしかに。勉強にAIが活用できるのはさんざん書いてきましたが、出題する側もAIを使うことができますものね。 また、曖昧な質問の仕方や文字数制限がほぼ撤廃されたこと、実際に行うことを書かせる出題など、暗記ではなく考えを述べさせるような出題が多かったことで午後も難化。令和の中でもっとも低い合格率になった原因はここにあるのでは、と推測されていました。 午後の問題は 午後問1=インシデントレスポンス ログを読ませる クラウド側プロキシサービスを使うには専用のプログラムをクラウンとPCにインストールする必要があるというリアリティ DLPという用語を自分が導き出す必要あり 午後問2=ドメイン名変更を機にしたメールサービス導入 ある会社が社名変更にともないドメインの変更が必要になるというストーリー...

2025, Mar 18   — 

2025年1,2月の気になるインターネット記事をピックアップ

1月は行ってしまう、2月は逃げてしまう、そして3月は去ってしまう、とは昔からよく言っているものですが、本当に早いですね、ブログ記事も前のめりで更新していきます。 世界が激動していて、ニュースを見るたびにうんざりなのですが、それでもLife goes onです。 警察庁、中国の関与が疑われる日本国内へのサイバー攻撃に注意喚起。侵入手口など解説、CLI版VSCodeが悪用される例も 中国の関与が疑われる組織的なサイバー攻撃が日本に対して行われているという警視庁のアナウンス。その攻撃キャンペーンは3つに分類されるということです。特に気になるトピックが”VS Codeを悪用した手口”であり、PDFが警視庁より公開されているので展開します。 VS Codeを悪用した手口及び痕跡・検知策 Microsoft Dev Tunnelsは、開発者がローカルで実行しているWebサービスをインターネット経由で安全に共有できるようにするサービス。開発トンネル機能は本来、ソフトウェア開発者等が遠隔地からコンピュータに接続し、リモートでソフトウェアの開発を行ったり、コマンドでコンピュータを操作するために使用されます。 ローカルで開発する際、ローカルで開発環境を作ることに手間取ることは良くあることです。標的メール攻撃によりVSCodeのCLI版を標的PCにインストールしてVSCode Serverを背後で起動させ、Dev Tunnels機能で遠隔からPCを制御。やり方としてはシンプルですが、国家レベルでやっているという警告です。...

2025, Mar 08   — 

【ブックレビュー】SREをはじめよう

SRE(Site Reliability Engineering、サイト・リライアビリティ・エンジニアリング)。ウェブサイトやアプリなどのインターネットサービスを、安定して使える状態に保つための専門家集団です。エンジニアリングの力を使って、システムの監視、障害対応、パフォーマンス改善などを行い、ユーザーが快適にサービスを利用できるように裏側で支えています。僕が現在の会社に転職したのは2019年ですが、当時「SREの役割を担ってほしい」と言われた時には「なにそれ?」状態でした。 SREという用語を生み出したのは天下のGoogleで、Googleでは必要に迫られ当然のようにSRE的な業務を2000年代より社内で行っていましたが、それを体系化して書籍としたのが2016年の書籍「Site Reliability Engineering: How Google Runs Production Systems」(日本語訳は2017年発売)が出版されたことで、SREの考え方が広く知られるようになりました。この書籍は、SREの原則、プラクティス、ツールなどを網羅的に解説しており、SREの普及に大きく貢献しました。 このブログはセキュリティを主題としたブログですが、SRE(Site Reliability Engineering)とセキュリティは密接に関連しています。SREは、システムの信頼性、可用性、パフォーマンスなどの維持・向上を目的とした手法です。システムの信頼性を確保するためには、セキュリティが不可欠であり、逆に、セキュリティを確保するためには、システムの信頼性が基盤となるからです。 具体的には、SREは以下のような方法でセキュリティに貢献します。...

2025, Mar 01   — 

【ブックレビュー】はじめて学ぶ最新サイバーセキュリティ講義

原題は “Cybersecurity Myths and Misconceptions: Avoiding the Hazards and Pitfalls that Derail Us”日本語に翻訳すると「サイバーセキュリティの神話と誤解: 私たちを欺く危険と落とし穴を避けるために」となります。日本語のタイトルより内容を正確に表しています。内容自体は日本語のタイトルにあるように初心者向けの内容となっています。 この本の目的は最新の技術的概念を教えることではなく、人々がそうだと「思っている」「信じている」ところに釘を刺すことです。全部で500ページ近い非常に分厚い本です。非常に長いため読むのは苦労します。ただでさえ長いのですが邦題にあるように「講義」に近いため、文章の中に時々差し込まれるアメリカンジョークが気になって。それはいいからもっと短く書いてくれ、という不満がある本です(–;)...

2025, Feb 24   —