セキュリティの終わりのない道

情報処理安全確保支援士のオンライン講習を受講しました(2024年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 1年に1度の情報処理安全確保支援士（通称登録セキスペ）の更新期限が迫ってきました。去年の更新の際にはブログ記事内でこの半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。と書いていましたが、その後、2025年はとにかくセキュリティ・セキュリティ・セキュリティ。どっぷり浸かった1年間でした。おかげで？CISSPも取得できました。そのCISSPの資格を維持するためには書籍やウェビナーの参加をISC2に報告することでたまるポイントの蓄積が必要なのですが、登録セキスぺのオンライン講習も対象になるとのこと。これを活かさない手はありません。今年のオンライン講習、最初の単元は「登録セキスぺに期待される役割と知識」。昨年と同じタイトルです。概要に「専門家の抱えるジレンマ」という言葉がありますが、それを痛感した2024年のセキュリティのお仕事でした。知識はたくさん持っています。あるべき姿も見えています。しかし企業活動を行う中ではヒト・モノ・カネ・そして時間が圧倒的に足りない。目標にあるセキュリティの脅威を能動的に収集する指導・助言を求めている関係者に対してセキュリティの具体的な助言を行う自社・他社の過去の事例を教訓として、再発しないよう対策を行うこの3つにできる限り取り組むことが、セキュリティ専門家を名乗る自分のミッションだと再認識しました。上記3か条は情報処理の促進に関する法律の以下の文言を分かりやすく説明した言葉といえます。サイバーセキュリティの確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。...

2025, Mar 29 —

ウェビナー「こう出たR6秋セキスぺ解答解説」

ITエンジニア向け勉強会サービス「CONNPASS」特に転職前はお世話になりました。僕の転職後すぐコロナ禍になり、勉強会というものも出来なくなりましたが、かわりにオンラインによるウェビナーは盛んになりましたね。久しぶりにCONNPASSのイベントに参加しました。タイトルは「こう出たR6秋セキスペ解答解説」主催はJP-RISSA（情報処理安全確保支援士会）。昨年秋の情報処理安全確保支援士試験についてどのような問題が出たのかを解説するとのこと。僕が合格した当時はセキュリティスペシャリスト試験という名称でした。時が経ち、今はどのような問題が出題されているのか興味があり視聴しました。まず、午前２の難易度が上がったとのこと。過去問と同じ問題が減り、新規の問題が増えたとのことです。丸暗記で余裕、とはならなくなったのが難易度アップの理由と推測されていました。ここで「今の時代AIを使えば4択問題を大量に作ることはたやすいのでは」という面白い推測が発表者からありました。たしかに。勉強にAIが活用できるのはさんざん書いてきましたが、出題する側もAIを使うことができますものね。また、曖昧な質問の仕方や文字数制限がほぼ撤廃されたこと、実際に行うことを書かせる出題など、暗記ではなく考えを述べさせるような出題が多かったことで午後も難化。令和の中でもっとも低い合格率になった原因はここにあるのでは、と推測されていました。午後の問題は午後問１＝インシデントレスポンスログを読ませるクラウド側プロキシサービスを使うには専用のプログラムをクラウンとPCにインストールする必要があるというリアリティ DLPという用語を自分が導き出す必要あり午後問２＝ドメイン名変更を機にしたメールサービス導入ある会社が社名変更にともないドメインの変更が必要になるというストーリー...

2025, Mar 18 —

2025年1,2月の気になるインターネット記事をピックアップ

１月は行ってしまう、2月は逃げてしまう、そして3月は去ってしまう、とは昔からよく言っているものですが、本当に早いですね、ブログ記事も前のめりで更新していきます。世界が激動していて、ニュースを見るたびにうんざりなのですが、それでもLife goes onです。警察庁、中国の関与が疑われる日本国内へのサイバー攻撃に注意喚起。侵入手口など解説、CLI版VSCodeが悪用される例も中国の関与が疑われる組織的なサイバー攻撃が日本に対して行われているという警視庁のアナウンス。その攻撃キャンペーンは3つに分類されるということです。特に気になるトピックが”VS Codeを悪用した手口”であり、PDFが警視庁より公開されているので展開します。 VS Codeを悪用した手口及び痕跡・検知策 Microsoft Dev Tunnelsは、開発者がローカルで実行しているWebサービスをインターネット経由で安全に共有できるようにするサービス。開発トンネル機能は本来、ソフトウェア開発者等が遠隔地からコンピュータに接続し、リモートでソフトウェアの開発を行ったり、コマンドでコンピュータを操作するために使用されます。ローカルで開発する際、ローカルで開発環境を作ることに手間取ることは良くあることです。標的メール攻撃によりVSCodeのCLI版を標的PCにインストールしてVSCode Serverを背後で起動させ、Dev Tunnels機能で遠隔からPCを制御。やり方としてはシンプルですが、国家レベルでやっているという警告です。...

2025, Mar 08 —

【ブックレビュー】SREをはじめよう

SRE（Site Reliability Engineering、サイト・リライアビリティ・エンジニアリング）。ウェブサイトやアプリなどのインターネットサービスを、安定して使える状態に保つための専門家集団です。エンジニアリングの力を使って、システムの監視、障害対応、パフォーマンス改善などを行い、ユーザーが快適にサービスを利用できるように裏側で支えています。僕が現在の会社に転職したのは2019年ですが、当時「SREの役割を担ってほしい」と言われた時には「なにそれ？」状態でした。 SREという用語を生み出したのは天下のGoogleで、Googleでは必要に迫られ当然のようにSRE的な業務を2000年代より社内で行っていましたが、それを体系化して書籍としたのが2016年の書籍「Site Reliability Engineering: How Google Runs Production Systems」（日本語訳は2017年発売）が出版されたことで、SREの考え方が広く知られるようになりました。この書籍は、SREの原則、プラクティス、ツールなどを網羅的に解説しており、SREの普及に大きく貢献しました。このブログはセキュリティを主題としたブログですが、SRE（Site Reliability Engineering）とセキュリティは密接に関連しています。SREは、システムの信頼性、可用性、パフォーマンスなどの維持・向上を目的とした手法です。システムの信頼性を確保するためには、セキュリティが不可欠であり、逆に、セキュリティを確保するためには、システムの信頼性が基盤となるからです。具体的には、SREは以下のような方法でセキュリティに貢献します。...

2025, Mar 01 —

【ブックレビュー】はじめて学ぶ最新サイバーセキュリティ講義

原題は “Cybersecurity Myths and Misconceptions: Avoiding the Hazards and Pitfalls that Derail Us”日本語に翻訳すると「サイバーセキュリティの神話と誤解：私たちを欺く危険と落とし穴を避けるために」となります。日本語のタイトルより内容を正確に表しています。内容自体は日本語のタイトルにあるように初心者向けの内容となっています。この本の目的は最新の技術的概念を教えることではなく、人々がそうだと「思っている」「信じている」ところに釘を刺すことです。全部で500ページ近い非常に分厚い本です。非常に長いため読むのは苦労します。ただでさえ長いのですが邦題にあるように「講義」に近いため、文章の中に時々差し込まれるアメリカンジョークが気になって。それはいいからもっと短く書いてくれ、という不満がある本です(–;)...

2025, Feb 24 —

【ブックレビュー】フロントエンド開発のためのセキュリティ入門

これまで僕が書評を書いていたセキュリティ関係の本はインフラだったり、組織に対する内容だったりと、アプリケーションの実装に関連する本は少なかったように思えます。しかしシステム開発のメーンストリームであるアプリケーションのセキュリティ対策を知識として知ることは重要ですし、アプリ開発メンバーの連携協調してプロジェクトを進めるためにも、相手が何を言っているのかを理解することは必須のスキルです。僕はかつてはソフトウェアエンジニアとしてシステム開発も携わっていたので、アプリに関する知見も多少はあります。それが今の仕事で有利に働いていることは間違いなく、この辺りは抜かりなく研鑽を続けていきたいと考えています。本書籍はWebセキュリティの必須知識である「CORS」「XSS」「CSRF」などについてフロントエンドにhtml+JavaScript、バックエンドにnode.js+expressを用いて、実際に手を動かしながらブラウザ側とWebサーバ側のセキュリティ対策の実際の方法について学ぶことができます。本書にあるように、セキュリティ対策は自分で組み込むのではなくライブラリの利用が推奨されています。なぜならライブラリは多くのすぐれたエンジニアが安全、堅牢なセキュリティ対策を作り、メンテしてくれているモノなので、個人が実装するより絶対的に安全だからです。しかしライブラリを使う場合も、根幹の部分を知ることは大切です。 XSS対策にサニタイジング、というのはもはや当たり前であり、インフラエンジニアの自分でも当然知っている話でしたが、Webサーバ側でレスポンスヘッダに「「Strict-Transport-Security」や、OORSヘッダ「Access-Control-Allow-Origin」を付与して返すことについては知識を十分に持っておらず、たいへん参考になりました。プリフライトリクエストについては最近仕事の中でアプリケーション開発者と会話で挙がったこともあり、「もっと早くこの本を読んでいれば」という感想でした。 Gemini: 具体的には、以下の条件のいずれかに該当する場合、ブラウザは自動的にプリフライトリクエスト（OPTIONSリクエスト）を送信します。リクエストメソッドがGET、HEAD、POST以外の場合（PUT、DELETE、PATCHなど）。 POSTメソッドであっても、Content-Typeヘッダーがapplication/x-www-form-urlencoded、multipart/form-data、text/plain以外の場合（application/jsonなど）。リクエストにカスタムヘッダーが含まれている場合（X-Custom-Header: valueなど）プリフライトリクエストの流れブラウザ: メインリクエスト（この場合はDELETEリクエスト）を送信する前に、OPTIONSリクエスト（プリフライトリクエスト）を送信します。このOPTIONSリクエストには、以下のヘッダーが含まれます。 Origin:...

2025, Feb 08 —

CPEはどうやってゲットすればよいのか

昨年はCISSPをゲットすることができました、このことはとてもうれしいです。しかしこの資格はゲットがゴールではありません。この後長くセキュリティのスペシャリストであるCISSPを名乗るためには継続的な学習と、その成果をCISSPを管轄するISC2に報告する必要があります。まさにセキュリティの終わりのない道。その方法について調べた結果を皆さんにも共有します。 CISSPの維持にはCPEというポイントを貯める必要があります。AI（Gemini）によると CISSPにおけるCPEとは、Continuing Professional Education（継続的専門教育）の略で、CISSP資格を維持するために必要な継続教育単位のことです。日本語では「継続教育単位」と訳されます。 ISSP資格は、取得後3年間有効ですが、その後も資格を維持するためには、3年間で120CPEクレジットを取得する必要があります。これは、資格取得後も常に最新のセキュリティ知識やスキルを維持することを目的としています。 CPEクレジットは、以下のような活動を通じて取得できます。 (ISC)² が提供するトレーニングコースやセミナーへの参加セキュリティ関連のカンファレンスやイベントへの参加セキュリティ関連の書籍や記事の執筆セキュリティ関連のボランティア活動 (ISC)² が認定するその他の活動...

2025, Jan 26 —

2024年年末の気になるインターネット記事をピックアップ

あけましておめでとうございます。2025年もセキュリティについて、引き続きインプット＆アウトプットを続けてまいります。今年もよろしくお願いします。インシデントコマンダーとは？〜現代のIT運用には必須！その役割と理由〜インシデントレスポンス対応に便利なサービスPagerDutyを提供している企業PagerDutyのブログからです。インシデント対応の勉強会というものがあるのですね。コマンダーとはコマンドー、つまり指揮官（第三次大戦を起こすのが役割ではありませんｗ）です。意思決定作業担当への指示作業要員や関連部署の招集・体制構築ステークホルダーとのコミュニケーション状況の交通整理インシデントの発生と収束の宣言ポストモーテムの作成指示リーダーとしてインシデント対応の全体を統括することが役割ですが、特に重要なのは「意思決定」とのことです。コマンダーとしての意思決定は確定的であり、CEOやCIOの判断よりも優先されるべきものなのです運用経験の長い熟練のエンジニアほど、自分で手を動かしたくなるものです。しかし、インシデントコマンダーが行うべきは解決に導くための意思決定であり、作業ではないのです何故インシデントコマンダーが必要か...

2025, Jan 12 —