きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ:川口洋のセキュリティ・プライベート・アイズ(46)(2/2 ページ)
セミナーなどでいろんな方にお会いする中で、しばしば「川口さんはどうしてこの業界(会社)に入ろうと思ったんですか?」という質問をいただきます。今回はずばり、その疑問にお答えします。
セキュリティ情報の収集方法〜私の場合
2002年にラックに入社してから、はや11年が経過しました。企業や官公庁では情報セキュリティの重要性が理解されるようになり(まだ不十分なところもありますが)、大学や専門学校の中には情報セキュリティの学科が設けられるところも生まれ、日本語の情報も多く流れるようになりました。
「どういうところで情報収集をしていますか?」という質問もよくいただくので、私が参照するサイトをご紹介します。
まずは個人のサイトからです。
セキュリティホールmemo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
ここはもはや鉄板ですね。「個人で追いかけてみるテストです」と説明書きがありますが、もはやテストの域を超えてしまっています。
セキュリティは楽しいかね? Part 2
国内外のさまざまな事例をまとめられています。いつもお世話になっています。
piyolog
とにかく公開情報をきれいに整理してあるのがすごい。メジャーな事件の参考URLはほぼここからたどります。
まっちゃだいふくの日記★とれんどふりーく★
勉強会エバンジェリスト(?)のまっちゃさんのブログ。いろんなニュースが紹介されています。
次にTwitter。私はFacebookもTwitterもやっていませんが、@ITでもおなじみ、辻さんと根岸さんのつぶやきだけはいつも読ませてもらっています。自分が気になるジャンルを追いかけている方のアカウントを押さえておき、流れてくる情報をウォッチするとかなり効率的に情報が集まるでしょう。
辻さん(@ntsuji)
根岸さん(@MasafumiNegishi)
https://twitter.com/MasafumiNegishi
そして、セキュリティ関係団体の情報もチェックするべきでしょう。IPAとJPCERT/CCのサイトには、いろんなレポートや調査結果が掲載されるのでオススメです。
ここからセキュリティ!
http://www.ipa.go.jp/security/kokokara/
IPA 情報セキュリティ
https://www.ipa.go.jp/security/index.html
JPCERT/CC
次はメディア系ですね。このコラムを掲載している@ITは外せないところです(ステマ)。メディア系サイトには製品やサービスの広告も掲載されるので、新製品などの情報収集にも使えます。また、セミナーが開催されることもあるので、見ておいて損はないでしょう。
@IT
ITmedia
ITPro セキュリティ
http://itpro.nikkeibp.co.jp/security/
ScanNetSecurity
http://scan.netsecurity.ne.jp/
今回紹介したもの以外にも、有用なサイトは数多く存在します。自分の所属するジャンルや興味のあるジャンルのサイトを探してみてください。
セキュリティイベントにも興味を
セキュリティ業界に足を踏み入れたばかりの方には、ぜひイベントにも興味を持ってほしいところです。
例えば、これまでにコラムでも何度か取り上げた、ITシステムの総合運用能力を競う「Hardening」ですが、7月に開催が決定しました。詳細は過去のコラムを見ていただくとして、今回もまた盛り上げていくつもりです。「我こそは」という方には、ぜひご応募いただきたいところです。
【関連リンク】
我々には、まだまだやることがある。 - "Hardening One Remix"
http://wasforum.jp/2013/05/2013-hardening-one-remix/
実録、「Hardening Zero」の舞台裏
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/040a.html
そのときStarBEDが動いた――「Hardening One」の夜明け前 (1/3)
http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html
Hardening One、8時間に渡る戦いの結果は? (1/3)
http://www.atmarkit.co.jp/ait/articles/1212/12/news008.html
現在まだ学生の方には、「セキュリティ・キャンプ」にもぜひ挑戦してもらいたいです。今年もセキュリティ・キャンプが開催されることが決定し、詳細が告知されました。ぜひ問題にチャレンジし、応募してみてください。もちろん私も講師として参加する予定です。お会いできることを楽しみにしています。
【関連リンク】
セキュリティ・キャンプ
セキュリティ・キャンプ2013 開催決定! 講師WG主査宮本氏インタビュー
http://www.youtube.com/watch?v=iNuEvQgCtGQ
その他、IT業界に関係する勉強会やイベントの情報が以下のカレンダーにまとめられています。これは有志の方が日々更新してくれているものです。感謝しつつ情報を収集しましょう。
IT勉強会カレンダー
https://www.google.com/calendar/embed?src=fvijvohm91uifvd9hratehf65k@group.calendar.google.com
イベントカレンダー+ログ
これからの若者よ、めげずに頑張れ!
今回のコラムでは私がセキュリティ業界に足を踏み入れたきっかけを取り上げました。あれこれと教えてもらっていた時期が遠い昔のことのように感じると同時に、自分が次世代を育成する立場に立っていることを痛感しています。
私がセキュリティに触れるようになった2000年当時と現在とでは、社会事情もいろいろと異なっています。これからセキュリティに触れる人には今の人なりの苦労もあると思いますが、めげずに頑張っていってほしいものです。
実はちょっと寂しいことがあります。このコラムを執筆するため、懐かしいとある団体のドメインを調査したところ、所有権が移転しており、脱毛器具のレビューサイトとして表示されてしまいました。今夜は久々に昔を懐かしみながら飲みに行くのでした。
著者プロフィール
川口 洋(かわぐち ひろし)
セキュリティエバンジェリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
セキュリティエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。
2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用に関わる全ての人の能力向上のための活動も行っている。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.