セキュリティ はじめの一歩

Transcript

1. セキュリティ はじめの一歩

2. 自己紹介（超短縮版） 2 名前：ニキヌス（X:@nikinusu） 所属：金融JTCのシステム子会社 嫌いなもの：しいたけ

3. 今日話すこと 3 ⚫ 「しろおび」と一口に言っても、セキュリティキャリアを目指したい人、目指してないけど興味は ある人、様々かと ⚫ セキュリティの仕事の種類や学習分野を伝え、学びはじめとしてどんな「はじめの一歩」が考え られるかをお話しします。

4. 目次 4 1. セキュリティのお仕事 2. セキュリティどこから学ぶ？ 3. 自分はこうだった 4. パターンを考えてみよう

   5. まとめ

5. セキュリティのお仕事 5 （直接的にせよ、間接的にせよ） 脅威から、守るべきものを守るお仕事 国、社会、企業、ビジネス、個人の安全や権利、生命etc サイバー攻撃や内部不正

6. セキュリティのお仕事 6 セキュリティと一口に言ってもエンジニア、経営・管理、コンサル、監査、教育、営業など多種多様。 まずは入口が広めな3種 + プラス・セキュリティ人材を知っておく。（簡単という意味ではない） 種類 何をする？ 脆弱性診断士／ ペネトレーションテスター

   攻撃者の視点から実際に攻撃を試み、システムの弱 点を探す セキュリティ監視／運用エンジニア 攻撃を受けているような不審な兆候がないか、シス テムのログを監視・分析し、検知時に初期対応する セキュリティシステムエンジニア／ アーキテクト セキュリティ対策の導入や、セキュリティ要件を満 たすシステムの設計・実装を行う プラス・セキュリティ人材 セキュリティ以外の業務を持ちながらセキュリティ の知識とスキルを併せ持ち、担当業務に活かす 他にも死ぬほどある マルウェアアナリスト、フォレンジックエンジニア、インシデントレスポンダー／ハンドラー、脆弱性研究者／エクスプロイト開発者、セキュリティ製品・サービス開発者、スレットハンター、CISO、セキュリティマネー ジャー、セキュリティプロジェクトマネージャー、セキュリティ戦略プランナー、リスクマネジメント専門家、セキュリティポリシー策定者、セキュリティコンサルタント、コンプライアンスアドバイザー、セキュリティアーキテクチャ コンサルタント、セキュリティオーディター、システムリスクアセッサー、コンプライアンスアナリスト、スレットインテリジェンスアナリスト、サイバー犯罪アナリスト、OSINTアナリスト、セキュリティアウェアネストレーナー、セ キュリティ教育プログラム開発者、セキュリティコミュニケーションスペシャリスト、サイバーセキュリティ法務専門家、デジタルフォレンジック法務アドバイザー、プライバシーオフィサー、インシデントマネージャー、クライシ スコミュニケーションスペシャリスト、ビジネスコンティニュイティプランナー、セキュリティソリューションアドバイザー、ベンダーマネジメントスペシャリスト、セキュリティ製品評価者、セキュリティソリューションセールス、セ キュリティマーケティングスペシャリスト、セキュリティ製品マネージャー、サイバーセキュリティ人材開発マネージャー、セキュリティ人材リクルーター、スキルアセスメントスペシャリスト 参考：セキュリティエンジニアの知識地図 （技術評論社）

7. セキュリティどこから学ぶ？ 7 どんな技術にもセキュリティは関わるため入口は無限だが、代表的なのは以下5種類？ （セキュリティ人材400人くらいと飲みまくった情報交換した感覚） 分野 内容例 セキュリティ共通 • リスク管理 •

   情報セキュリティの3要素（CIA） • デジタルアイデンティティ（認証・認可） • 暗号 • 各種攻撃手法や用語理解 ネットワーク • ネットワークの基礎知識 • プロトコルごとのセキュリティ面の長短 • ネットワークレイヤごとの攻撃手法 • ネットワークセキュリティ対策の種類 • セキュアなネットワーク構成 エンドポイント • 各OSにおけるセキュアな設定 • 取得すべきログ • セキュリティパッチ適用 クラウド • クラウド基礎知識（責任共有モデルなど） • クラウドの攻撃手法、おこりがちな設定ミス • 各クラウドプラットフォームのセキュリティ機能 システム開発 （特にWebアプリ） • セキュアな設計 • セキュアコーディング • アプリケーションレイヤの攻撃手法

8. セキュリティどこから学ぶ？ 8 自分の知る限り ＆ できるだけ日本語で学べるもの 分野 書籍・教材 資格 コミュニティ セキュリティ共通

   • セキュリティ1年生 図解でわかる！会話でまなべる！（翔泳社） • セキュリティエンジニアの知識地図（技術評論社） • この一冊で全部わかるセキュリティの基本 第2版（SBクリエイ ティブ） • 7日間でハッキングをはじめる本（翔泳社） • はじめてのデジタルアイデンティティ（技術評論社） • IPA 情報セキュリティ10大脅威 解説書 • MIXIさんの研修資料 • TryHackMeやHackTheBoxなどのハンズオン系 • ISC2 CC • CompTIA Security+ • 情報セキュリティマネジメント試験 • 情報処理安全確保支援士 • しろおびセキュリティ • Security for beginners • ひよこまめ教習所 • WEST-SEC ネットワーク • ネットワークはなぜつながるのか（日経BP） • マスタリングTCP/IP―入門編―（オーム社） • CompTIA Network+ • Cisco CCNA • ネットワークスペシャリスト ？？（詳しくない） エンドポイント • 高度サイバー攻撃への対処におけるログの活用と分析方法 （JPCERT/CC) • Active Directory勉強会 第6回目 Active Directoryセキュリティ について学ぶ回（Yurika Kakiuchiさん） ？？（詳しくない。MD-102やLPICあた り？） • Japan Microsoft Endpoint Configuration Manager UG(AD勉強会） クラウド • AWSではじめるクラウドセキュリティ（テッキーメディア） • クラウドの設定ミス対策ガイドブック（総務省） • クラウドセキュリティを支える技術と運用の最前線（大島 悠司 さん） • クラウドベンダのセキュリティ系の資 格（AWS SCS、AZ-500など） • CloudSec JP • Security JAWS システム開発 （Webアプリ） • OWASP Top10 • 安全なウェブサイトの作り方（IPA） • 体系的に学ぶ 安全なWebアプリケーションの作り方（SBクリエ イティブ） • セキュリティ・バイ・デザイン導入指南書（IPA） • ウェブ・セキュリティ基礎試験(徳丸基 礎試験） • SecuriST 認定セキュアWebアプリケー ション設計士 • SecuriST 認定脆弱性診断士 ？？（詳しくない）

9. まずはありがとう 9 でも多すぎてやる気しないんですが？

10. セキュリティ はじめの一歩 10 そんなあなたに①：MIXIさんの新人向け研修 控えめに言って神教材 https://zenn.dev/mixi/articles/95e0d0477c1ed7

11. セキュリティ はじめの一歩 11 そんなあなたに①：MIXIさんの新人向け研修 控えめに言って神教材 https://zenn.dev/mixi/articles/95e0d0477c1ed7 もっと簡単に！なら… ・Youtube「まさるの勉強部屋」 ・ポッドキャスト「セキュリティのアレ」 ・Ｘでpiyokangoさんや徳丸さんをとりあえ

    ずフォローして眺めてみる、とかでも。

12. セキュリティ はじめの一歩 12 そんなあなたに②：手を動かしたい人はひよこまめ教習所 → TryHackMe（※有償あり） https://cyber-hiyokomame.connpass.com/

13. セキュリティ はじめの一歩 13 教科書的：「Junior Pentester」Learning Path 1.サイバーセキュリティ基礎 2.ペネトレテスト基礎 3.Webハッキング基礎 4.Webセキュリティテストツール（Burp

    Suite）の使い方 5.ネットワーク探索・攻撃 6.脆弱性の調査・悪用 7.攻撃フレームワークツールの利用 8.権限昇格手法 実践的：「Offensive Pentesting」 Learning Path ・LinuxやWindowsサーバの探索・侵害・権限昇格 ・バッファオーバーフロー攻撃 ・Active Directory環境の攻撃手法など https://tryhackme.com/ そんなあなたに②：手を動かしたい人はひよこまめ教習所 → TryHackMe（※有償あり）

14. 自分はこうだった 14 メインフレームからの転向はキツい…／ 組織の初期段階から関われたので幅広く経験できた 業務経験 Proxyログ分析 NW監視機器導入 メールフィルタ導入 インシデント対応マニュアル作成 ログ分析基盤構築

    EDR導入 セキュリティロードマップ作成 セキュリティチェックリスト作成 クラウドセキュリティ要件作成 コンテナセキュリティ要件作成 セキュアな開発プロセス推進 DDoS対策導入 Proxy NW NW メール IR ログ EDR 戦略 ポリシ クラウド コンテナ SSDLC 資格取得 （セキュリティ担当になる前） IPA セキュリティスペシャリスト ISMS審査員補 CISA CISSP CRISC CCSP AWS SCS PMP CSSLP リスク 管理 全般 全般 プロマネ リスク 管理 クラウド クラウド SSDLC はじめた頃 最近 その他学習 ガイドライン読み込み TryHackMe ログ調査のハンズオン その他もろもろ書籍 社外交流 べス プラ 攻撃 手法 DFIR 法律 など 他社 事例 英語（見事に挫折） （ 自 分 的 な ） し ろ お び 期 全般

15. 自分はこうだった 15 ベテランが口を揃える「自分のキャリアは再現性がないからなぁ…」 → その時代、環境だからこそ出会えたもの、やれたことはある → 逆に、今しかできない学び方（豊富な学習教材、インターン、AI活用etc）もある どの道がベストか？にこだわるよりも 時代・組織・本人の志向により出会う”偶然”と大切に向き合うことが共通点に見える。

16. パターンを考えてみよう 16 手当たり次第に焦って手をつけるだけ、はもったいない。（長距離マラソンだから精神衛生も大事） 今、セキュリティキャリアに いる？ いる いない 目指したいセキュリティキャ リアが明確？ 明確じゃない・目指していない

    明確 ①担当するセキュリティ業務から しっかり学ぶ ②進みたい職種の関連技術を学ぶ （NW/クラウド/開発/AIなど） + 「セキュリティ共通」 ③「セキュリティ共通」を眺めつつ、 今の担当業務（セキュリティではない） からしっかり学ぶ

17. まとめ 17 ⚫ 何か学びたいけどどれか一つ！なら「セキュリティ共通」を幅広く ⚫ やりたいことが明確！ならその関連技術と「セキュリティ共通」を ⚫ どこから学んでも間違いはない。焦らず「今学べること」に集中しよう。

18. ありがとうございました。

19. おまけ：自分が仕事で重視する4つのスキル 19 大事なのは「ビジネスをセキュリティ面から支援すること」 そのためには、専門知識から知識を活かすスキルまで幅広く必要 • コミュニケーション • ロジカルシンキング • 本質の理解

    • 説明、プレゼン • 継続学習 ソフトスキル、性質 • 自社環境の鳥瞰 • 各システムの構成 • 各種プロセス、ルール • 組織体制、役割 自社環境や文化 • サイバー攻撃、リスク傾向 • 法令、規制動向 • セキュリティ技術動向 • 他社動向 • フレームワーク、ガイドライン セキュリティ • ネットワーク • サーバ • API • クラウド • システム開発 テクノロジー全般

20. おまけ：自分が仕事で重視する4つのスキル 20 大事なのは「ビジネスをセキュリティ面から支援すること」 そのためには、専門知識から知識を活かすスキルまで幅広く必要 • コミュニケーション • ロジカルシンキング • 本質の理解

    • 説明、プレゼン • 継続学習 ソフトスキル、性質 • 自社環境の鳥瞰 • 各システムの構成 • 各種プロセス、ルール • 組織体制、役割 自社環境や文化 • サイバー攻撃、リスク傾向 • 法令、規制動向 • セキュリティ技術動向 • 他社動向 • フレームワーク、ガイドライン セキュリティ • ネットワーク • サーバ • API • クラウド • システム開発 テクノロジー全般 -----------テック系----------- レッド系（攻撃） • サイバー攻撃の手法 • ペネトレーションテスト ブルー系（防御） • ログ分析 • インシデント対応 • フォレンジック • マルウェア解析 ----------ガバナンス系---------- • 法令、規制 • フレームワーク、ガイドライン