You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
これ本全体で一番よかったかも。
people are the weakest linkとよく聞くが、「人」「プロセス」「技術」では「人」がもっと重要であると考えることが大切。
組織は、セキュリティを実現するために存在しているのではなく、セキュリティは、組織を構成する人々によって実現される組織の目的を確保するために存在しているため。
セキュリティの解決策として強制的な制約や障害を人に持ち込むと、ただ反感を買う。なので焦点を当てるべきことは、セキュリティが個人にとって重要なのかを教えること。
受け入れられない人が出た場合は、その人が組織にあってないだけなのか、単にその対策に問題があるのかを再考する必要がある。その対策が人をどのように守るかが説明できないなら、それが必要なのかを考え直すべきである。
59. DevSecOps: Continuous Security Has Come to Stay | 97 Things Every Information Security Professional Should Know
Information Security(情シスとかが近い話?)についての97本。
97のInfoSec版がでてたので読んだ。マインド的な話も多いけど、それぞれ1ページぐらいなのでさっと読める感じ。
以下は気になった章。
16. Four Things to Know About Cybersecurity
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch16.html
サイバーセキュリティ 4つのこと
19. Insiders Don’t Care for Controls | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch19.html
外部の攻撃者が防御システムを通過したあとは、内部(インサイダー)の脅威と何も変わらないため、インサイダー視点での組織の脅威モデルを実行する必要がある。
27. New World, New Rules, Same Principles | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch27.html
世界やルールが変わっても、原則は変わらない
28. Data Protection: Impact on Software Development | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch28.html
データには3つの状態があると考えて、それぞれを保護する話
https://github.com/slsa-framework/slsa でも似たような状態を考えると面白そうと思った
32. DevSecOps Is Evolving to Drive a Risk-Based Digital Transformation | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch32.html
Code Security Is Becoming Simply “Security”
34. Security Is People | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch34.html
これ本全体で一番よかったかも。
people are the weakest linkとよく聞くが、「人」「プロセス」「技術」では「人」がもっと重要であると考えることが大切。
組織は、セキュリティを実現するために存在しているのではなく、セキュリティは、組織を構成する人々によって実現される組織の目的を確保するために存在しているため。
セキュリティの解決策として強制的な制約や障害を人に持ち込むと、ただ反感を買う。なので焦点を当てるべきことは、セキュリティが個人にとって重要なのかを教えること。
受け入れられない人が出た場合は、その人が組織にあってないだけなのか、単にその対策に問題があるのかを再考する必要がある。その対策が人をどのように守るかが説明できないなら、それが必要なのかを考え直すべきである。
59. DevSecOps: Continuous Security Has Come to Stay | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch59.html
恐怖の文化 → 意識の文化 → 測定の文化 へ移行すること
70. Threat Modeling for SIEM Alerts | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch70.html
アラートの誤検知率が高くなってノイズとなる問題への対処
87. Don’t Let the Cybersecurity Talent Shortage Leave Your Firm Vulnerable | 97 Things Every Information Security Professional Should Know
https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch87.html
セキュリティエンジニアが足りないという問題。 これは教育機関では解決できない“経験“という問題があるため、既存のチームで満たす方法を考える必要がある。
ソフトウェア/ネットワークエンジニアをトレーニングする。
一番重要な教訓としてサイバーセキュリティエンジニアだけの人はいないということ。 優れたサイバーセキュリティエンジニアはソフトウェア開発やネットワークなどの経験がある。
The text was updated successfully, but these errors were encountered: