【ブックレビュー】ホワイトハッカーの教科書

僕は会社での肩書が「セキュリティエバンジェリスト」（たいそうな肩書をいただいていますが、イメージとしては「セキュリティ担当」で間違いありません）であり、ITエンジニアの中でもセキュリティエンジニアの一部の領域ともいえる「ホワイトハッカー」の活動におんぶにだっこしています。彼らが何をしているかを知りたくてこの本を取りました。 セキュリティに関しては攻撃側は様々なカテゴリ、プロトコルを使用します。そのため同等の技術力を持たないといけない防御側＝ホワイトハッカーも、ネットワークからデータベース、プログラミングからハードウェアなど非常に広い範囲の知識が必要です。エンジニアとしての総合力を必要とします。さらに言えば法律も知っていないといけない。映画にもなったWinny事件やLibrahack事件、Wizard Bible事件など、世の中には「それサイバーセキュリティ犯罪ではないのでは？」と思うものでも法律の解釈が曖昧のため犯罪扱いされてしまうことがあります。そして当然ですが倫理が必要となります。ホワイトハッカーはブラックハッカーと同等のスキルを持っているわけなので、その力を正義にも悪にも使うことができるのです。 この本はホワイトハッカーになりたい人がするべきことを１から７まで順番に解説している分かりやすい本です、まさに教科書。モチベーションを維持する方法などは基本的なことですが、諸学者にとっては良い指針になります。尊敬するエンジニアをフォローして、良い刺激をもらうのはよさそう。自分もそういう人を見つけたい。著者はホワイトハッカーを自称しませんが、彼の教科書的なスキルアップに用いる習慣、Webサービスなどの紹介は特に初心者にとって良い道しるべになると思います。知らないWebサービスやインターネット大学、技術サイトもたくさん紹介されており、著者のIPUSIRONさんはこれらを利活用して優れたホワイトハッカーになっているのでしょう。逆に僕はこの本を読んで「自分の目指す場所はホワイトハッカーではないな」という結論に至りました。 読んだ感想としては「真のホワイトハッカーになるには時間が必要だが、時間は有限である」ということ。現代は時間の奪い合いであり、誘惑にあふれていますからね。一方Udemyをはじめとした学習の助けになるコンテンツもたくさん知ることができました。時間をお金で買うことも重要。

2023, Mar 26   — 

【ブックレビュー】情報セキュリティの敗北史

僕は業務ではセキュリティを担当しているため、セキュリティに関する様々な知識を勉強してきました。しかしそのセキュリティの概念、標準、技術がどのような経緯で生まれたかについては知りませんでした。この本はコンピュータにセキュリティ脆弱性が生まれたその瞬間と、コンピュータ＋インターネットの歴史に伴いどんどん複雑・難解になっていったセキュリティにどう対峙してきたかを歴史を紐解きます。学生時代一番好きな科目が「歴史」だった僕には神本です。セキュリティ担当者でなくても、昨年の尼崎市のUSBメモリ紛失や半田病院のランサムウェアなど、今や我々の身近なニュースとして聞く情報セキュリティリスクについて豊富な比喩をもとに分かりやすく解説しており、読みやすいです。訳者のあとがきも僕の書評よりよほどちゃんとまとまっています(笑) コンピュータを用いてアメリカの軍戦略研究を目的としたランド研究所からすべてが始まります。当初ユーザ:コンピュータは1:1で対峙していました。人が考え、命令を入力するとコンピュータが計算を行う。しかし人が考えている時間はコンピュータの高価なリソースは働いておらず無駄になります。効率化を図るためにタイムシェアリング型のコンピュータが生まれましたが、これがセキュリティリスクの萌芽となりました。つまり「複数のユーザが同時に1つのコンピュータにアクセスできるようになったため、互いのプログラムを妨害したり、観てはいけない機密データが見れるようになってしまった」と。 さらにランド研究所では、研究所のコンピュータが機密業務を行っていない場合は民間にレンタルすることでコストを回収する案が生まれました。しかしそうなると今まで以上に権限の分類・機密性の確保が必要になります。CISSPの勉強でも、”MAC（強制アクセス制御）”は特にCIAのC（機密性）を守るために軍で生まれたセキュリティ施策だと学びましたが、MACの概念はランド研究所で生まれました。その一方で数学者の考えたMACを実現する”ベルーラパドューラモデル”（これもCISSPではお約束ですね）は軍人など規律を守り、命令服従、機密性が高い情報を取り扱うユーザを対象としており、民間でコンピュータを利用する一般人とはギャップがあります。一般人はそのルールが現実に即していないと受け入れてくれません。機密情報を軍関係者ほど取り扱わない民間では情報セキュリティで重視するのはCではなくI（完全性：データが改ざんされないこと）であり、せっかく政府が作った機密がかっちりしたコンピュータを保証する”オレンジブック”の条件を満たしてくれないのです。 そしてインターネットの登場はさらなるコンピュータの可能性とセキュリティ脆弱性を生み出すこととなります。世界で初めてスパムメールを送った人や世界で初めてコンピュータウィルスをばらまいた人が知られているとは。その汎用性から爆発的に普及したUNIXも、セキュリティ脆弱性については重視していませんでした。セキュリティは「正常に動かなかった場合、本来の想定とは異なる使い方をされた場合」に顕在化するものであり、非要件定義であることからどうしても優先度が下がってしまいます。ドットコム・ブームによるバブルの熱狂はさらにセキュリティの優先度を下げ、脆弱性のあるOS、ソフトウェアやブラウザを送り出してしまいます。それは消費者のニーズでしたし、企業がビジネスで成功を収めるのには必須でした。しかしブラウザ戦争やWindows95の大ヒットによりMicrosoftが天下をとり、Microsoft製品が社会のインフラの根幹を担うようになると、Microsoft製品のセキュリティ脆弱性とそれによる損害、対策にかかるコストは大きな問題となります。その結果、2022年1月15日にビル・ゲイツが全社員宛に送ったメモ「信頼できるコンピューティング」にて 「.NETを信頼できるコンピューティングのプラットフォームとして位置付けることが、あらゆる仕事よりも重要であることが明らかになった。」 「もし今、昨日の追加とセキュリティ問題の解決の選択を迫れられることがあるなら、私たちはセキュリティ問題のほうを選択しなければならない」 とセキュリティの重要性と新しいアプローチを求めることとなりました。今から20年前の記事ですが、ITmediaにちゃんと残っていました セキュリティ界隈で名が挙げられる”静的解析”・”ファジングテスト”や”SDL（セキュリティ開発ライフサイクル）”はこのマイクロソフトの信頼できるコンピューティング・イニシアチブの成果だったとは。こうした取り組みによりソフトウェアはセキュアになり、ハッカーやスクリプトキディには攻撃が難しくなってきました。勝った勝った！ ・・・とはなりませんでした。現代ではセキュリティのもっとも重要かつ弱点は「人」であることは知られています。私たちはどうしても簡単なユーザビリティを望みますが、セキュリティを向上させるにはシステムを簡単に使えないようにする必要があります。ハッカーにとってマイクロソフトの一流エンジニアと一般市民、どっちと戦うほうが得かは言うまでもありません。その結果生まれたのが皆さんにも身近な”フィッシング（詐欺）メール”。今から20年前の2003年に存在が言及されました。あるいはこちらも皆さん耳にタコなパスワード問題（弱いパスワード、パスワードの使いまわし）です。これまでユーザブルセキュリティ研究者はパスワードの代替手段を提示できませんでしたが、僕はパスキーの普及に期待しています。2023年は各Webサイトにどんどんパスキーが実装されてほしいです。 iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉 エクスプロイトやそれによる国家間のハッキング戦争についての記述もあります。この本は歴史の流れを綴っている本なので詳細については「サイバー戦争」のほうが詳しいです。エクスプロイトを高額で売買する仲介を行う企業は”死の商人”と批判されるのも分かります。ただしかつては脆弱性スキャナーも”子供に銃を与えるようなもの”と言われましたし、脆弱性を見つけて通知するハッカーは”倫理に劣る”と軽蔑されました。すべての物事に対する批判は一面的であり、裏返しの部分があることは認識しないといけません。事実エクスプロイトをセキュリティ企業や国家が買い取ることでエクスプロイトが世間に知られる前にバグにはパッチが当てられ、平和な世界が取り戻されつつあります。しかしその結果、ロマンや知的快楽を得る場所を失ったハッカーたちは「スタントハッキング」という注目を浴びるようなハッキングを行い承認要求を満たすようになります。電車や自動車のような交通手段から、医療機器までがハッキングの対象となりました。それはスキルが必要とはいえ、やっていることは炎上系Youtuberと大差ありません。悲観的な気持ちになります。 またスタックスネットがどのようなプログラムだったかについてはこの本のほうが分かりやすく説明しています。スタックスネットはワームであると同時にAPT攻撃だったのですね。巨大な資本、資金を持つ国家が行うハッキングの破壊力はあまりに暴力的です。もはや普通の情報セキュリティ対策では防御できません。 余談ですが本の中で紹介されていた”割れ窓の寓話”のエピソードはSNS上の詭弁でよく使われる技法なので知っておいたほうが良いと思いました。 さて、ここまで情報セキュリティの歴史ー敗北史を学んだところで、僕らは歴史から学ぶことはあるのでしょうか。テクノロジーの世界の進歩はあまりに早く、問題を解決したかと思うと新たな問題が生まれます。社会の根幹を担うコンピュータにはあまりに多くの分野と交差しており、過去の行いをバッサリと切り捨てることはできません。そして”今現在安全（であるように見える）”ことは”もしかしたら安全でない場所があるかもしれない”（これはセキュリティ担当者が常に心の中で持っている不安です）と同義であり、セキュアを証明するのは困難ですし、リスクを挙げていけば終わりはありません。この本で主張する「セキュリティベンダーやセキュリティ機関が正しい情報を発信していない」という点も注目に値します。僕はセキュリティ担当であり、彼らを当然信頼したいのですが、インターネットラジオ『セキュリティのアレ』で度々言及されるように、彼らも利益を得る必要があり、物事を必要以上に大きく、不安にさせるように見せたりすることはあります。...

2023, Mar 19   — 

【ブックレビュー】AWSで実現するモダンアプリケーション入門

この本を手に取った理由は、この本が紹介しているであろう内容がまさに今仕事で必要だと考えていたからです。 ベンチャーが早期にビジネスを立ち上げ、一刻も早く収益を得るためにはとにかく「動くシステムをすぐ作る」ことが重要でしょう。 EC2をフロントに、バックをRDSに・・・というオンプレの構成をそのままクラウドに乗せ換えるのはよくあります。 しかし組織やビジネスの拡大により、競争力を高めるためにもモダンアプリケーション化を目指す必要があることを日々痛感しているため、うってつけの教材になることを期待して購入しました。 Sample Book Storeという、先上げたようなクラシックな形のサービスをモダンにしていこうという本のスタンスはリアリティがあります。 The Twelve-Factor Appとそれを発展させたBeyond the Twelve-Factor Appを用いて、AWS上のサービスを使ってのモダンアプリケーション作成の技法を知ることができます。 読んでいくと、自分が今面倒見ているシステムはすべてが古臭いということはなく、ちゃんとベストプラクティスに則ってモダンになっている箇所も存在したことが分かりました。前の担当者をありがたがると同時に、自分もさらにモダン化を進めなければという気持ちになります。 読んでいて特に驚いたのは複数のデータベースを利用する技。登録はイベント単位でDynamoDBに入れて、それをストリーミング＆成形してRDSに格納することで、Insertの時間短縮と検索クエリの高度化を図るというアイディアは「モダンだ！」と思いましたね。下手するとデータの整合性がむちゃくちゃになってしまうので緻密なテストが必要ですが、チャレンジする価値はあると思いました。...

2023, Mar 12   — 

【ブックレビュー】CISSP Realistic Practice Test 5

-How To Think Like A Manager for the CISSP Exam 先日の記事で書いたように、今年の朝活はまずこの本を試してみます。 Amazonの日本語ブックレビューには「こんなに難しい問題は出ない」「ちょっと哲学的で深読みを求めすぎる感じ」「実際の試験はこれよりもシンプル」「引っ掛け問題なんじゃないかと深読みしている時間もない」「この本を読んで自信を失わないでほしい」とあります が、自分としては昨年CISSPの試験対策員使ってきた問題集に「こんなに簡単な問題は出ない」「深読みが必要では」と思ったので、むしろこの本を読んで実試験に近いかどうか、確かめたくなりました。 本自体は英語ですがDEEPLがあります。kindleでは著作権対策か、文章がコピペできない書籍もありますがこの本はコピペできました。コピペできない場合はGoogleレンズで翻訳するなどどうとでもなるのですが、DEEPLが使えるのは便利。ただしkindleは著作権対策なのか、コピペできる文字数に制限があります。対策はあるので自分で調べてくださいw この本の前書きに書かれている以下文言には完全同意です。...

2023, Mar 05   — 

ChatGPTから、Auto Scaling Group と Target Groupの使い方を教わった

2022年はAIの1年でした。実在する風景のような画像を生成できるStable Diffusion、イラストを生成するMidjourney、「こんなプログラムが欲しい」と頼むとコードを自動生成するGitHub Copilotなど、次々とこれまで人間が時間をかけて想像の果てに生み出してきた成果物を一瞬に生成するソフトウェアが誕生しました。それによる功罪が騒がれているのは周知のとおり。素人がイラストをパッと作れてしまう、という問題だけでなく、「フェイク映像で世論を操作する」「悪用目的のプログラムを作ってもらう」など人々の生活に危険を及ぼすなど。 そして2023年世界を騒がれているのが「ChatGPT」。ChatGPTについては既に多くのニュースサイト、個人サイトで取りあげられてい増すので、解説はそちらに任せます。 ChatGPTとは？始め方や使い方、料金も紹介【2月3日更新】 ちょっと遅れての利用開始ですが、先日僕も触ってみました。触るきっかけは、AWSにおける「AutoScalingGroup」と「TargetGroup」の違いがよく分からなかったからです（僕はこれでもAWS Solution Architect Professionalなのですが・・・）Googleで検索しても、なかなか「これだ」と腑に落ちる解説をしているサイトはありませんでした。AWS公式は例のごとく技術仕様を淡々と説明していて、こちらには寄り添っておらず。 というわけで、ChatGPTに相談してみました。 AWSのTargetGroupの機能を教えてください Amazon Web Services (AWS)...

2023, Feb 21   — 

【ブックレビュー】マルウェアの教科書

昨年発売された「マルウェアの教科書」年末年始の課題図書として読みました。 近年病院や行政をターゲットに騒がれている『ランサムウェア』やロシアーウクライナ戦争で行われている相手コンピュータの”破壊”を目的とした『ワイパー』など現代はマルウェア（広義のコンピュータウィルス）が蔓延しているのは周知のとおり。僕らの知らないところで世界各国の情報機関がマルウェアを作り、忍び込ませていたことは先日紹介した「サイバー戦争」にて紹介されていました。この本はそんな「マルウェアの時代」（いやな時代ですね）において「敵を知る」ことの手助けとなる、マルウェアの種類、手口、対策などをプロが解説しています。 一応セキュリティを担当しているので、第1章の概要や第2章のマルウェアの種類については知っていました。しかしこの本は警察関係者とも連携しているプロのマルウェア解析技術者が書いているということもあり、マルウェアの実装方法も詳しく書いています。マルウェアがどのようにアンチウィルスソフトをかいくぐっているかの具体的なテクニックには、敵もコンピュータのことを熟知していることが分かり唸らされました。”ＯＳの言語設定を調べ、ロシア語だったら動作しない”という挙動は、「サイバー戦争」でプーチンのブラックハットハッカー集団への命令と合致しており、さもありなんという感じです。 本に紹介されているMicrosoft Sysinternalsというツールをインストールし、このパソコンで永続的に動作するプログラムを調べてみました。大半は自分の把握していたモノでしたが、Lenovoのアプリケーションが稼働しているのは知りませんでした。公式の説明によるとHDDの不審な挙動や電力を監視するためのツールということですが、ネット界隈ではマルウェアだ、という記載も。むむむ・・・。 ランサムウェアがどのような画面を表示させるか、どのように具体的に脅迫してくるかは意外とネットでは画面付きで紹介されていないため、筆者のように安全な環境でランサムウェアを起動させ、そのスクリーンショットを掲載してくれるのは新鮮さがあります。また、マルウェア解析技術技法の基礎についての記述は、「デバッガーでプログラムを走らせるときには問題ない挙動をするプログラム」という実際のマルウェアの挙動がどのように実装されるのかを追体験でき、それをパスする方法も記されているのでホワイトハットハッカーを目指す人にとっては大いに参考になると思います。真にスキルあるエンジニアはレイヤーが低い・物理に近い層についての知識を持つのだな、と。ソフトウェアエンジニアならばアセンブリ言語であり、インフラエンジニアならばデータリンク層や物理層の知識ですね。 この本を読んで思ったのは、ホワイトハットハッカーもブラックハットハッカーも持っている技術は同レベルなのだろう、と。あちらの対策にこちらが対策を立て、それに対してさらに対策を立て…が繰り返されているのだろうと。この本に書かれているマルウェアを作る/見抜くテクニック業界では初歩の初歩で、さらに高度な攻防が繰り返されているのでしょう。アンチウィルスソフトメーカーの技術者や公的機関に所属するエンジニア、ホワイトハットハッカーの皆さんはサイバー空間における警察官そのもの。その活動には頭が下がります。 特に興味深かったのは「敵を知る」の章。ランサムウェアは現在RaaS（ランサムウェア・アズ・ア・サービス）と呼ばれ、サービス化していることは知られていますが、ランサムウェア開発組織内に広報・人事・教育のような担当部署が存在し、上司が部下のモチベーションを伸ばすためのマニュアルが存在するなど企業のようであることです。ブラックハットハッカーも当たり前ですが人間であり、政治信条を持ち、労働環境や収入に不満を持つのは僕たちと同じです。セキュリティリスクの最も弱い部分、突かれる部分は”人間”ですがそれは攻撃者側に対しても同じと思われます。

2023, Feb 14   — 

【ブックレビュー】HOW TO THINK LIKE A MANAGER FOR THE CISSP EXAM

-How To Think Like A Manager for the CISSP Exam 先日の記事で書いたように、今年の朝活はまずこの本を試してみます。 Amazonの日本語ブックレビューには「こんなに難しい問題は出ない」「ちょっと哲学的で深読みを求めすぎる感じ」「実際の試験はこれよりもシンプル」「引っ掛け問題なんじゃないかと深読みしている時間もない」「この本を読んで自信を失わないでほしい」とあります が、自分としては昨年CISSPの試験対策員使ってきた問題集に「こんなに簡単な問題は出ない」「深読みが必要では」と思ったので、むしろこの本を読んで実試験に近いかどうか、確かめたくなりました。 本自体は英語ですがDEEPLがあります。kindleでは著作権対策か、文章がコピペできない書籍もありますがこの本はコピペできました。コピペできない場合はGoogleレンズで翻訳するなどどうとでもなるのですが、DEEPLが使えるのは便利。ただしkindleは著作権対策なのか、コピペできる文字数に制限があります。対策はあるので自分で調べてくださいw この本の前書きに書かれている以下文言には完全同意です。...

2023, Feb 07   — 

kindle unlimitedで読むことのできるCISSP本を調べてみた

この記事を書いている1月上旬。2023年の朝活を何をしようか品定めをしているところです。ちょうどkindle unlimitedを（再）契約してセキュリティ関連の本を探していたところ、CISSP関連の本も多数読み放題であることが分かったので、昨年11月にCISSPを受験して不合格だった僕がw試験対策に使えるかをざっと調べてみることとしました。良い本があれば朝活に使うということで。 僕の昨年利用した学習コンテンツについては以前書いた記事にまとめていますのでそちらも見てください。 結論を知りたい方は記事最後までスライドしていただきたいです。 CISSP試験対策ノート１（その5まであります）: 一問一答式で学習を最適化！ CISSP チカラの2000題: 一問一答式で学習を最適化！ CISSに出てくる単語をGoogle検索すると著者のWebサイトが引っかかります。問題をツイートしているtwitterアカウントもあります。どうもそれをまとめた書籍のようです。 出題される問題の形式には近いです。実際CISSPでは「○○（単語）とはなにか」のような暗記問題はほとんど出てこないです。「リスク分析を行っているチームは、リスクから生じ得る財務上の損失を予測している。潜在的な影響を評価するためチームは何をするか？」のような問題が出題されます。 ただ、日本語の品質はあまりよくありません。そしてたしかにこの2000題を完全丸暗記すればCISSP合格には近づくと思いますが、ただひたすらに問題が羅列されており、解説や回答が別ページに掲載されているわけでもないことから、正直学習用には使いにくい印象です。 Essential CISSP Test...

2023, Jan 31   —