Skip to content

97 Things Every Information Security Professional Should Knowを読んだ
Compare
Choose a tag to compare
@azu azu released this 28 Sep 12:19
2
f8bdec2
This commit was created on GitHub.com and signed with GitHub’s verified signature. The key has expired.
GPG key ID: 4AEE18F83AFDEB23
Expired
Learn about vigilant mode.

97 Things Every Information Security Professional Should Know #11

97 Things Every Information Security Professional Should Know

Information Securityについての97本。
97のInfoSec版がでてたので読んだ。マインド的な話も多いけど、それぞれ1ページぐらいなのでさっと読める感じ。

以下は気になった章。

16. Four Things to Know About Cybersecurity

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch16.html

サイバーセキュリティ 4つのこと

  • hacker is not attacker
  • 脆弱性開示ポリシーは防御を強化する
  • 燃え尽き症候群が本当のリスク
  • スキルアップの機会が重要

19. Insiders Don’t Care for Controls | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch19.html

外部の攻撃者が防御システムを通過したあとは、内部(インサイダー)の脅威と何も変わらないため、インサイダー視点での組織の脅威モデルを実行する必要がある。

27. New World, New Rules, Same Principles | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch27.html

世界やルールが変わっても、原則は変わらない

28. Data Protection: Impact on Software Development | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch28.html

データには3つの状態があると考えて、それぞれを保護する話

  • Rest 保管
  • Transit 転送
  • Use 使用

https://github.com/slsa-framework/slsa でも似たような状態を考えると面白そうと思った

32. DevSecOps Is Evolving to Drive a Risk-Based Digital Transformation | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch32.html
Code Security Is Becoming Simply “Security”

34. Security Is People | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch34.html

これ本全体で一番よかったかも。
people are the weakest linkとよく聞くが、「人」「プロセス」「技術」では「人」がもっと重要であると考えることが大切。
組織は、セキュリティを実現するために存在しているのではなく、セキュリティは、組織を構成する人々によって実現される組織の目的を確保するために存在しているため。
セキュリティの解決策として強制的な制約や障害を人に持ち込むと、ただ反感を買う。なので焦点を当てるべきことは、セキュリティが個人にとって重要なのかを教えること。
受け入れられない人が出た場合は、その人が組織にあってないだけなのか、単にその対策に問題があるのかを再考する必要がある。その対策が人をどのように守るかが説明できないなら、それが必要なのかを考え直すべきである。

59. DevSecOps: Continuous Security Has Come to Stay | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch59.html
恐怖の文化 → 意識の文化 → 測定の文化 へ移行すること

70. Threat Modeling for SIEM Alerts | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch70.html

アラートの誤検知率が高くなってノイズとなる問題への対処

  • アラートを脅威モデル化
  • アラートの右側に何をターゲットとしているの名前を書く
  • 攻撃パスモデルでの可視化
  • アラートの対応へのプレイブック

87. Don’t Let the Cybersecurity Talent Shortage Leave Your Firm Vulnerable | 97 Things Every Information Security Professional Should Know

https://learning.oreilly.com/library/view/97-things-every/9781098101381/ch87.html
セキュリティエンジニアが足りないという問題。 これは教育機関では解決できない“経験“という問題があるため、既存のチームで満たす方法を考える必要がある。
ソフトウェア/ネットワークエンジニアをトレーニングする。
一番重要な教訓としてサイバーセキュリティエンジニアだけの人はいないということ。 優れたサイバーセキュリティエンジニアはソフトウェア開発やネットワークなどの経験がある。

Assets 2
Loading
0 Join discussion