1年間ゲームに熱中し、本職を忘れていたセキュリティエンジニアの奮起日記
経緯と企画内容は1日目の記事を参照ください。
色々あり、3日目にして間が空いてしまいました。
2日目で進めなくなった「Security Principles」ですが、課金したので3日目は続きをやりたいと思います。
学習用の書籍はあまり躊躇せずに買えるのですが、学習用でもサブスクは躊躇してしまい、なかなか課金出来ませんでした。
書籍も積読状態ですので、どこかで読み進めたいなとは思っています。(何年も思い続けている)
THMのSecurity Principlesルームをやりました。
以下の二つのワードについて記載したいと思います。
以前は出口と入口を重点的に防御する境界防御が主流で、内部ネットワークは信頼し外部ネットワークから守っていました。
現在はクラウドサービスを利用するのが当たり前になり境界が曖昧になりました。
その結果、境界防御では守れないケースが増えてきたため、多層防御やゼロトラストが主流になりつつあります。
ゼロトラストもバズワード化しつつあるので、ガイドライン等をベースに考え方を理解する必要があります。
最小特権や要塞化(攻撃面の最小化)はセキュリティ対策の基本としてよく聞きましたし、認識していました。
しかし、これらの背景として「ISO/IEC TS 19249:2017 Information technology — Security techniques — Catalogue of architectural and design principles for secure products, systems and applications」というのがあるのは初めて知りました。(勉強始めて良かった)
セキュリティ業務ではガイドラインや規格を根拠に説明するケースは多いので、メモとして残しておきます。
購入は以下のページから出来そうです。
ISO/IEC TS 19249:2017
動作する権限を最小化することです。
とりあえずadmin権限で動かそうとかしてはいけません。
使用していないソフトウェアのアンインストールやサービスの停止、不要なポートを閉じたり攻撃しにくいような設定にしたり、脆弱性対策したりですね。
パラメータ検証(入力値チェック)は一元化したライブラリ等でやりましょうという話。
セキュリティサービスの集中化。例えば認証を集中させるようなADサーバーはこれに該当すると思います。
障害が起こった際にフェイルセーフになるよう設計すること。
例えばファイアウォールが停止した際に、全ての通信を通過させるのではなく停止させる。
知っていた事の背景を知れたのは非常に良かったです。
車輪の再開発にはなりますが、初心に帰って学びなおすのも得るものがありますね。
ただ、学ぶ事よりもアウトプット(文章を書く)のが非常にしんどいです。
学習にアウトプットが重要なので頑張りますが、文章が上手になれば少しは楽になるのでしょうか。
これも続けていった結果、成長したのか最初の方のブログと比べてみたいですね。
アウトプットについては以下の書籍が面白かったです。
学びを結果に変えるアウトプット大全 (サンクチュアリ出版)
本職はセキュリティエンジニアで過去には脆弱性報告をしていたり、セキュリティ系の資格を持っていたりします。
好きな分野はログ分析です。
文章を書くのが苦手なので四苦八苦しています。