今回もセキュリティ→「実践 CSIRTプレイブック」drc#31

 課題図書

 第31回のデッドライン読書会の課題図書は「実践CSIRTプレイブック」でした。

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画
サイバー攻撃はここ数年で規模、複雑さ、特徴ともに劇的に進化し続けています。検知や対応が適切であっても、その効果を維持し続けるには、さらなる取り組みと高度化が必要です。 サイバー攻撃から組織を守り、セキュリティを脅かす不正アクセス、ウイルス、標的型攻撃、情報漏洩などのインシデントに対応する専門チームであるCSIRT(Co...

 前回の「ゼロトラストネットワーク」から引き続きセキュリティ関連の書籍でした。さらに加えて、今回もオライリーのサブスクからの選書(お買い得な調達)。デッドライン読書会ってなに?については、こちらをどーぞ。

感想

 ITシステムに対するサイバー攻撃が行われ、インシデントが発生した際に活動するのがCSIRT(Computer Security Incident Response Team)。本書はシスコ・システムズ社のCSIRTの長年に溜め込んだセキュリティ監視や、インシデント対応、脅威分析、チームの運営・管理などをまとめたものです。

 自分の身近にはCSIRTの話を聞ける人もいないので(お客さんにはいた)、CSIRTがインシデント発生時に具体的にどのような活動をするのかが一部ストーリー仕立てでまとめてあり、実感を持てたことが良かった。これまで自分は隔離ネットワーク内に設置するシステムの開発やメンテを主にしていたため、サイバー攻撃とはちょっと縁遠かったせいもあります(いまやそれがサイバー攻撃とは縁遠いなんて言えないですが)。

 ちょっと余談になりますが、SIerにいて受託開発の環境下でどうにもこうにも身につく感じがしないのが、ネットワークのスキルとセキュリティのスキルだと思ってます。シミュレーションを含め「座学」で学ぶ機会はたくさんあるし、良書も多いと思います。例えば、情報処理技術者試験やCompTIAは認定試験として優秀。本だって、徳丸本(セキュアコーディングが充実)やマスタリングTCP/IP(学生の頃に読んでいたけど、いまや6版!)をはじめとてもわかり易い本がたくさんあります。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践 eBook : 徳丸 浩: Kindleストア
マスタリングTCP/IP 入門編(第6版)
TCP/IP解説書の決定版! 時代の変化によるトピックを加え内容を刷新! 本書は、ベストセラーの『マスタリングTCP/IP 入門編』を時代の変化に即したトピックを加え、内容を刷新した第6版として発行するものです。豊富な脚注と図版・イラストを用いたわかりやすい解説により、TCP/IPの基本をしっかりと学ぶことができます。...

 ただ実務経験は何事にも変えられないですよね。もちろん受託開発においてこれらの要件定義や設計がゼロになることはないです。受託範囲におけるネットワーク設計や、構築するシステムに考えられる脆弱な部分をできる限り当初に除去するといったその会社全体のサブセットでの検討が多いでしょう。実際にサイバー攻撃をうけることや、対外発表(ニュースなど))トラフィックが増大する、といったことを最前線で経験するからこそ、身につくんだと思います。(そしてその経験を蓄積していくのが本書のプレイブックだというわけです。)

 本書のタイトルに有る「プレイブック」とは、前述のインシデントが発生したときに、「いつ、誰が、どういった対応をすべきか」をまとめたノウハウ集なようなものです。構成としては、

  • レポートID
  • 実施目的
  • 結果分析
  • データクエリ/コード
  • アナリストによるコメント/メモ

となるとのこと。専用のシステムで管理するのかなーと思っていたけど、一般的なイシュー管理システムに蓄積するイメージらしい。いざというときにすぐ出せること、アップデートが容易なこと、など管理に馴染みがあるのが良さそう。

 本書の中では何度も人の育成が大事、訓練が大事っていうことが述べられていました。一つの手として、コンテストを利用するっていうのもありかもしれませんね。

SECCON2021

次回

次回は第32回!まだ決まってないぞ^^;

コメント

タイトルとURLをコピーしました