ほぼ毎日自己研鑽3日目~早くも「ほぼ」と付けて良かったと思う~
1年間ゲームに熱中し、本職を忘れていたセキュリティエンジニアの奮起日記
経緯と企画内容は1日目の記事を参照ください。
3日目の学習
色々あり、3日目にして間が空いてしまいました。
2日目で進めなくなった「Security Principles」ですが、課金したので3日目は続きをやりたいと思います。
学習用の書籍はあまり躊躇せずに買えるのですが、学習用でもサブスクは躊躇してしまい、なかなか課金出来ませんでした。
書籍も積読状態ですので、どこかで読み進めたいなとは思っています。(何年も思い続けている)
Security Principles
THMのSecurity Principlesルームをやりました。
以下の二つのワードについて記載したいと思います。
- 多層防御
- ISO/IEC 19249
多層防御
以前は出口と入口を重点的に防御する境界防御が主流で、内部ネットワークは信頼し外部ネットワークから守っていました。
現在はクラウドサービスを利用するのが当たり前になり境界が曖昧になりました。
その結果、境界防御では守れないケースが増えてきたため、多層防御やゼロトラストが主流になりつつあります。
ゼロトラストもバズワード化しつつあるので、ガイドライン等をベースに考え方を理解する必要があります。
- NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳 | PwC Japanグループ
- ゼロ トラスト ガイダンス センター | Microsoft Learn
- ゼロトラストアーキテクチャ 適用方針 (digital.go.jp)
ISO/IEC 19249
最小特権や要塞化(攻撃面の最小化)はセキュリティ対策の基本としてよく聞きましたし、認識していました。
しかし、これらの背景として「ISO/IEC TS 19249:2017 Information technology — Security techniques — Catalogue of architectural and design principles for secure products, systems and applications」というのがあるのは初めて知りました。(勉強始めて良かった)
セキュリティ業務ではガイドラインや規格を根拠に説明するケースは多いので、メモとして残しておきます。
購入は以下のページから出来そうです。
ISO/IEC TS 19249:2017
Least Privilege(最小特権)
動作する権限を最小化することです。
とりあえずadmin権限で動かそうとかしてはいけません。
Attack Surface Minimisation(攻撃面の最小化)
使用していないソフトウェアのアンインストールやサービスの停止、不要なポートを閉じたり攻撃しにくいような設定にしたり、脆弱性対策したりですね。
Centralized Parameter Validation(一元化されたパラメーター検証)
パラメータ検証(入力値チェック)は一元化したライブラリ等でやりましょうという話。
Centralized General Security Services(一元化された一般的なセキュリティサービス)
セキュリティサービスの集中化。例えば認証を集中させるようなADサーバーはこれに該当すると思います。
Preparing for Error and Exception Handling(エラーと例外の処理の準備)
障害が起こった際にフェイルセーフになるよう設計すること。
例えばファイアウォールが停止した際に、全ての通信を通過させるのではなく停止させる。
おわりに
知っていた事の背景を知れたのは非常に良かったです。
車輪の再開発にはなりますが、初心に帰って学びなおすのも得るものがありますね。
ただ、学ぶ事よりもアウトプット(文章を書く)のが非常にしんどいです。
学習にアウトプットが重要なので頑張りますが、文章が上手になれば少しは楽になるのでしょうか。
これも続けていった結果、成長したのか最初の方のブログと比べてみたいですね。
アウトプットについては以下の書籍が面白かったです。
学びを結果に変えるアウトプット大全 (サンクチュアリ出版)
この記事を書いた人
本職はセキュリティエンジニアで過去には脆弱性報告をしていたり、セキュリティ系の資格を持っていたりします。
好きな分野はログ分析です。
文章を書くのが苦手なので四苦八苦しています。
[広告]当サイトはさくらインターネットのレンタルサーバーを利用しています。
