ほぼ毎日自己研鑽2日目～Try Hack Meをやっていたら出来なくなった～

１年間ゲームに熱中し、本職を忘れていたセキュリティエンジニアの奮起日記
経緯と企画内容は１日目の記事を参照ください。

2日目の学習

2日目もTry Hack MeのSecurity Engineerラーニングパスに取り組みます。
Try Hack Meの説明は１日目の記事を参照ください。

Security Principles

途中まで進めて放置し、再開しようとしたら「The Security Principles room is for subscribers only.」と出て続けられなくなったため、2日目は途中までの学習となりました。

学習出来たところまでで気になったワードは以下です。（Edgeブラウザの翻訳）

• セキュリティは流行語になっています
• 敵を知ることは必須です
• 完璧なセキュリティを実現することは不可能です。100%安全なソリューションはありません。
• CIA
• DAD
• Bell-LaPadula model
• Introduce ISO/IEC 19249
• 信憑性と否認防止がなければ、ビジネスは実行できません

セキュリティは流行語になっています

セキュリティに興味を持つ人が増えてきたのは嬉しい事ですが、セキュリティ業務から入るのは険しい道だと思っています。
安全にビジネスを遂行するためにセキュリティが存在するので、開発現場、運用の現場、経営、事務作業等の業務を把握したうえで、どういったら業務効率を落とさずに安全に出来るのか。
どうしても制限をかけなければいけない部分については、現実的な代替案を出せるのか。
という事が重要だと考えます。
そのためには何かしら一つの分野を経験してからプラスセキュリティとして取り組み、それでもなおセキュリティの道に進みたければ専任になる方が良い気がしています。

敵を知ることは必須です

「敵を知り己を知らば百戦危うからず」という孫氏の兵法はセキュリティ系のセミナーでは良く聞きますね。
敵を知るのは手法だけでなく、考え方を知ることが重要だと考えています。
手法はあくまでも手段でしかなく、その手段が使えなければ別の手段を使うだけなので、攻撃アクターが何を目標とし、どういった行動を取るのかという考え方の部分ですね。
高度標的型を防ぐ事は困難ですが、ばらまき型や無差別な攻撃、特定の業界を狙った攻撃は対策する事である程度回避しやすいと思っています。
例えば、この範囲の攻撃アクターであれば、この対策をすれば諦める（他の目標を探す）だろうと考えて対策に掛かるコストと効果を測って対応の優先順位を決めます。
「まずは同業他社より少し上のセキュリティレベルを目指すとよい」と言われますが、それは敵の考え方を踏まえたうえでの対策です。

完璧なセキュリティを実現することは不可能です。100%安全なソリューションはありません。

部下を育成する時に、「セキュリティのセミナーで”100%防げる” ”完全に防げる”と言ったらそのセミナーは信じなくて良い」と伝えています。
これはマーケティング用語でしかなく、セキュリティ対策に100%防げる銀の弾丸はありません。
どんなに良い製品であっても、この言葉が出てくる営業（それを許す組織）の話は信用出来なくなってしまいます。
むしろ防げない部分を説明してくれると信頼出来ます。
そうすれば防げない部分をどう防げば良いか検討出来るからです。

CIA

情報セキュリティの3要素である機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の頭文字を取ったものですね。
これは考え方の基礎になります。
一般的にセキュリティといったら機密性が重視される傾向があると感じますが、セキュリティエンジニアとしては完全性、可用性もセキュリティインシデントとして考慮出来る必要があります。
Try Hack Meでは例題を元に、C、I、Aのどれが適切か選択するような問題もあり良いなと感じました。
CIAどれがクリティカルなのか意識しながら取り組むと良いと思っています。

DAD

恥ずかしながら、このワードを見てピンときませんでした。
ここの学習をしようとしたところ、進めなくなったので、2日目の記事はこの辺にしたいと思います。

おわりに

知っている事であっても、改めて考え方を整理出来るので良いですね。
多忙な日々に追われていると忘れてしまいますが、意識を改め直して取り組みたいと思います。

この記事を書いた人

本職はセキュリティエンジニアで過去には脆弱性報告をしていたり、セキュリティ系の資格を持っていたりします。
好きな分野はログ分析です。