課題図書
第31回のデッドライン読書会の課題図書は「実践CSIRTプレイブック」でした。
前回の「ゼロトラストネットワーク」から引き続きセキュリティ関連の書籍でした。さらに加えて、今回もオライリーのサブスクからの選書(お買い得な調達)。デッドライン読書会ってなに?については、こちらをどーぞ。
感想
ITシステムに対するサイバー攻撃が行われ、インシデントが発生した際に活動するのがCSIRT(Computer Security Incident Response Team)。本書はシスコ・システムズ社のCSIRTの長年に溜め込んだセキュリティ監視や、インシデント対応、脅威分析、チームの運営・管理などをまとめたものです。
自分の身近にはCSIRTの話を聞ける人もいないので(お客さんにはいた)、CSIRTがインシデント発生時に具体的にどのような活動をするのかが一部ストーリー仕立てでまとめてあり、実感を持てたことが良かった。これまで自分は隔離ネットワーク内に設置するシステムの開発やメンテを主にしていたため、サイバー攻撃とはちょっと縁遠かったせいもあります(いまやそれがサイバー攻撃とは縁遠いなんて言えないですが)。
ちょっと余談になりますが、SIerにいて受託開発の環境下でどうにもこうにも身につく感じがしないのが、ネットワークのスキルとセキュリティのスキルだと思ってます。シミュレーションを含め「座学」で学ぶ機会はたくさんあるし、良書も多いと思います。例えば、情報処理技術者試験やCompTIAは認定試験として優秀。本だって、徳丸本(セキュアコーディングが充実)やマスタリングTCP/IP(学生の頃に読んでいたけど、いまや6版!)をはじめとてもわかり易い本がたくさんあります。
ただ実務経験は何事にも変えられないですよね。もちろん受託開発においてこれらの要件定義や設計がゼロになることはないです。受託範囲におけるネットワーク設計や、構築するシステムに考えられる脆弱な部分をできる限り当初に除去するといったその会社全体のサブセットでの検討が多いでしょう。実際にサイバー攻撃をうけることや、対外発表(ニュースなど))トラフィックが増大する、といったことを最前線で経験するからこそ、身につくんだと思います。(そしてその経験を蓄積していくのが本書のプレイブックだというわけです。)
本書のタイトルに有る「プレイブック」とは、前述のインシデントが発生したときに、「いつ、誰が、どういった対応をすべきか」をまとめたノウハウ集なようなものです。構成としては、
- レポートID
- 実施目的
- 結果分析
- データクエリ/コード
- アナリストによるコメント/メモ
となるとのこと。専用のシステムで管理するのかなーと思っていたけど、一般的なイシュー管理システムに蓄積するイメージらしい。いざというときにすぐ出せること、アップデートが容易なこと、など管理に馴染みがあるのが良さそう。
本書の中では何度も人の育成が大事、訓練が大事っていうことが述べられていました。一つの手として、コンテストを利用するっていうのもありかもしれませんね。
次回
次回は第32回!まだ決まってないぞ^^;
コメント