wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

セキュリティ・キャンプの応募で一番困ったことの1つ

Security

個人的には、「やる気はあります」とだけ書かれていて、こちらからの設問にほとんど答えていない応募が一番困りました。
これは、「やる気」を見るための応募用紙に単に「やる気はある」と書かれても、どこでそれを測ればいいのかわかりようがないためです。

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜まとめ

Security

ネガティブなことも書いたが、どちらかというと「買ったはいいけど期待外れ」というのを防ぎたいと思ったので、オレなりに著者陣の主張を読み解いたまでのことである。

で…本書で述べている内容は掛け値なしに貴重なものであり、これまであちこちで局所的/散発的に公開されてたり、暗黙知になっていたものを、パワーをかけてまとめ、世に送り出してくれたことに拍手を贈りたい。

内容自体は(実地で対応したことある人ならばわかると思うが)非常に具体的かつ平易に書かれているので、インシデント対応を行う役割についたんだけど、それどうやるの?的な人がいたら、その人にまず読ませてみるというのがよいだろう。
そして、この書籍を参考に演習を組み立ててみるなどのことも、かなり有用だ。

いずれにしても、(読まないより読んだほうがいいけど)読んだだけではなく、その内容を(実地というよりは)訓練を通じて実施できるようにしておき、いざ本番となったらある程度動けるようにしておくと、よりよいのではないか?と考える。

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜たぶんスコープ外だけど、期待しちゃいけない点

Security

本書に、チームビルディングやチームマネジメント、ケイパビリティ、チーム成熟度などの話を期待してはいけない。

1章「事故対応の司令塔「CSIRT」とは」で、「何よりまずは CSIRT を立ち上げる」とあるが、正直なところ、このとおりのアクションを取れる企業/組織は、現時点では(たぶん)あまりない。もちろん、考え方などで参考になるところも多いのだが、企業ごとにチームを結成するためのハードルが違ってくるので、(あたりまえのことと言われるかもしれないが)こういうやり方もある、ということで参考にとどめるべきであろう。

で…本書は「現場対応」に力点を置いて書いているということもあるが、対応するチームをどう切り回していくか?を知りたい方々にはあまり参考にならない。
そもそも「どう対応するか」というプロセスと、プロセスで使われるツール、そして留意点が書かれている書籍なので、対応する前にどう(ゼロから)チームを組み立て、運営していくかについては(1章に部分的に書かれてはいるものの)参考にはできないと思ったほうがよい。

むしろCSIRTをどうやって立ち上げるか?などの話は、現時点で最も参考になると思われる文書類は、日本シーサート協議会がリリースしているCSIRTスタータキットJPCERT/CCがリリースしているCSIRTマテリアルなどがある。

また、CSIRTの窓口を作る際には、手前味噌であるが「世の中CSIRTという文字列が…」が多少の参考になると考える。

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(2)〜まずは良い点

Security

事故を類型化し、具体的にどうするか?が、かなりわかりやすく書いてあるのは非常に良い。

本書は「セキュリティ事故現場での対応」にフォーカスを当てたものであり、著者陣の安定感もあって、非常に安心して読める内容である。
生々しい(よもすると読み解きづらい)事故の事実そのものではなく、事故をある程度定型化した上で、どのような対処が望ましいか(もしくはどのような対応が必須か)を説いている。

具体的には、2章〜4章で、発生してしまったインシデントに応じて、「マルウエアから組織を守る対応術」「狙われ続けるWebサイトを守る対応術」「内部不正の対応術」というようにインシデント対応あるある的な対応の類型が書かれており、さらに5章「平時に進める脆弱性対策」で脆弱性対応の重要性を説いており、(すべてではないにしても)真面目に取り組めば成果が出る(そして定時に帰れるかもしれないくらいのインパクトが出るかも)という感じになる。

この書籍をもとにして、演習や訓練を実施するというのもよいと考える。

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(1)

Security

インシデント対応関連の和書は珍しく、著者に知った方々がちらほらいらしたので、ゲットの上読んでみた。
良い書籍だけど、やっぱり難点も出てくる。