サイバーセキュリティを勉強するための推薦本10冊
情セキ大学院大の林教授が選んだ100冊を公開してくださればよいのに、ないのでとりあえず10冊ガチ紹介する。
1
(資格をとっていない場合のみ)なんでもよいので、情報セキュリティスペシャリストの資格受験対策本を1冊読む。あえてあげるならこの辺。
情報処理教科書 出るとこだけ!情報セキュリティマネジメント テキスト&問題集 2020年版
- 作者:橋本 祐史
- 発売日: 2019/11/28
- メディア: 単行本(ソフトカバー)
- 作者:粕淵 卓
- 発売日: 2017/12/19
- メディア: 単行本
2
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者:徳丸 浩
- 発売日: 2018/06/21
- メディア: 単行本
3
対訳ISO/IEC 27001:2013(JIS Q 27001:2014) 情報セキュリティマネジメントの国際規格[ポケット版] (Management System ISO SERIES)
- 発売日: 2019/06/20
- メディア: 単行本
4
[改訂4版]TCP/IPネットワーク ステップアップラーニング
- 作者:三輪 賢一
- 発売日: 2017/11/21
- メディア: 単行本(ソフトカバー)
5
インターネットは、図示において雲のカタチで抽象化される。これをどれだけ具体的にイメージできるかが重要である。このほか、『〇〇はなぜつながるのか』シリーズもおすすめできる。
ネットワークはなぜつながるのか 第2版 知っておきたいTCP/IP、LAN、光ファイバの基礎知識
- 作者:戸根 勤
- 発売日: 2007/04/12
- メディア: 単行本(ソフトカバー)
電話はなぜつながるのか 知っておきたいNTT電話、IP電話、携帯電話の基礎知識
- 作者:米田 正明
- 発売日: 2006/09/14
- メディア: 単行本
6, 7
C言語とJavaを覚えるとよい。書けるのなら読まなくてよい。
『やさしい〇〇』ではサイバーセキュリティの知識につながりにくいので、望洋本をおすすめする。
- 作者:柴田 望洋
- 発売日: 2014/08/09
- メディア: 単行本
- 作者:柴田 望洋
- 発売日: 2016/06/25
- メディア: 単行本
9
- 作者:サイモン シン
- 発売日: 2007/06/28
- メディア: 文庫
10
ぜんぶは読まなくてよいので、公文書の雰囲気を知っておくとよい。
主要公表資料 [内閣サイバーセキュリティセンター]
IoTペネトレーションテストの十大問題(企画編)
サイバーセキュリティは、技術を売るよりも、どうやって使うかを企画する方が面白い。
When
①TOE完成度問題
「ペネトレーションテストは完成度の高い部品でやるべきである」という理想と「出荷後や出荷直前に脆弱性が見つかっても簡単には直せない」という現実。このふたつのギャップに由来する、本質的な解決は不可能な問題。市場に出荷する1年前に、発見した脆弱性を修正をすることのできる最期の試作品がつくられることもあるが、その後で不慮の事態によって変更が生じることは避けられない。代替策として、初回起動時に強制アップデートをするという例があるが、これができる製品は限定される。
補題:修正の困難性
Webサービスの脆弱性であれば、データセンターにあるサーバのプログラムを直して対応完了にできるだろう。それでも困難な問題といえるであろうが、台数の多いIoT製品のプログラムを直すのはそれとは簡単さが全く異なる。出荷後の修正が必要な場合はリコールに発展し、その費用は莫大である。リコールをせずに修正すると、当局からリコール隠しと指摘される恐れがある。
関連する問題:開発は計画的に
特にマルチメディアの部品は開発日程が延期されがち。テスト時期に機能が未実装のことがある。
関連する問題:テストは計画的に
最期の試作品がリリースされてから、発見した脆弱性を修正することができるデッドラインまでの時間は、せいぜい1〜2ヶ月しかない。このため、ずいぶん前から計画的に実施する必要がある。黎明期においては急遽実施が決まることも多く、関係者から叱られやすい。
How
②十分性問題
「どれだけのテストケースをやれば十分と言ってよいか?」という、ペネトレーションテストにおける究極の問題である。そもそもペネトレーションテストにおいては、テストケースの網羅性を保証するのは困難であるが、一方で不十分なテストも許されることではない。これはIoTに限った話ではないが、IoTのサイバーセキュリティテストはWebの世界に比べて未成熟であるため、十分性を説明する手段が確立されておらず、より重大な問題と言える。
Why
④必要性問題
主に費用に関わる背景から、ペネトレーションテストの必要性を問われる頻度は高い。やったほうが良いのは議論の余地がないが、その分の費用は最終的にお客様が負担することになる。法律で必須となっているわけではないので、実施するための確固とした理由がない。一方で、必須にされてもそれはそれで困る。
What
⑤どれ問題
複数のシステムを組み合わせた製品では、製品全体をテストするのが難しい場合がある。その場合に、全体のうちのどのシステムをテストすべきか、システム単位だけで全体はやらなくてよいのか、といった決めねばならぬ問題が生じる。
関連する問題:リバエン禁止条項
構成部品の納入元とリバースエンジニアリングを禁止する契約をしている場合、テストができない。
⑥バリエーション問題
通称、バリ問題。関連する一連の製品群において、複数のバリエーションがあるときに「最初に開発される製品が最も豊かな機能を有しているとは限らない」という事実に由来する問題。最初に最も豊かな機能の製品でテストできれば、以後に再テストの必要性はないが、往々にそうではないため、その度に再実施の検討が必要になる。そして、それは悩ましい。
⑦TOE破壊問題
評価者は、評価対象の製品をおもちゃと同じと思っているかのようだ。少なくとも製品への愛情は有していないし、値段や価値はわかっていない。このため評価対象を貸す前に、破壊の可否を強く意識づけるべきである。評価対象に対して不可逆なテストをする前には、発注者に必ず確認をさせる。
How much
⑧費用妥当性問題
コンペティタが少なく、且つどの企業も確固たる見積の根拠を有していないため、費用が営業担当者のひと声によって決まりやすい。見える化も難しい。
Who
⑨評価者選定問題
評価者のスキルを定量化するための指標がない。経済産業省が基準を公開しているが、IoT向けのものはない。海外において評価会社の一覧を公開しているものはあるが、日本にはない。「有名なところにやってもらったほうがいいんじゃないか」という有声を重視する風潮。あまり厳しい要求をすると、受注できる人がまったくいなくなるか、そこまでいかなくとも選択肢がなくなってしまう。よく言ってナレッジベース、悪く言って好き勝手にテストすることしかしない。ロジカルシンキングができない。読むひとのことを考えずに報告書を書く。途中で評価者が退職する。などの一連の問題の総称。
関連する問題:エコシステム未成熟問題
ペネトレーションテストに代表されるテストや評価は、新興サイバーセキュリティ企業にとってとっかかりにしやすいサービスである。さらに、サイバーセキュリティの専門家を名乗る者が、コメントとして「ペネトレーションテストが必要」と言いやすいがため、業界のガイドラインに書かれやすい。一方で、新興企業のサービス提供レベルは一般に低い。品質にかかる企業内ルールがない。また第三者であるがゆえに、各製品の開発者においては常識や共通認識とされる知識を有さない。これにより、ガイドラインでは必要と謳われるのにも関わらず、実際にはサービス提供側の体制が整っていない状態が生じる。
第三者開示
発注者が報告書を第三者へ開示するのに、事前に承諾を求められることがある。競合他社への開示や、「○○社に評価してもらっています」と公表されるのを躊躇することまでは同意できる。一方で、そうでもないのに開示されて困るようなテストをしてはならない。
再テスト時の評価者
初回のテストで脆弱性が発見された場合に、修正後の再実施において同じ評価者がテストする必要かあるかという疑問が生じる。答えは、テストの位置づけによって決まる。通常は、初回のテストの際に、再現性手順を評価者が示していれば、開発者にも再実施できるので、同じ評価者による再実施は必要ない。ただし、監査の位置づけでテストする場合に限っては、再実施も開発者以外の評価者が実施するべきである。またこの場合は、評価者が誰なのかを社外に公告できることが条件である。
関連する問題:対策要否の判断が悩ましい
評価者からの指摘において、業界相場に比べて過剰な対策を推奨していたり、攻撃者による悪用が困難であったり、果ては事実と異なる推測で書かれていたりすることがある。そんな指摘であっても、発注者は報告書を読み込んで対策要否を考えなくてはならない。どうやら彼らには、指摘は多ければ多いほうがいいという勘違いと、0件では報告書を発行できないというプライドがあるらしい。しかもこの問題は、テストの終盤で明らかになるためタチが悪い。
重要インフラサービス障害
2016年度下期以降に発生した『重要インフラサービス障害』とみられる事例を収集します。ただし、網羅性はありません。
なお個人としては、"障害"という単語は民間企業では使わないようにと指導を受けているため、重要インフラサービス障害という呼び名は好きではありません。故障といえばよいのでは?
2016-09-05 CAFISセンタ故障
2016-10-12 都内大規模停電
2016-11-04 JR東日本 高崎線運転見合せ
2016-11-08 博多駅前崩落
2016-11-11 ANA荷物搭載トラブル
2016-11-24 相模原市消防局 119番通報不具合
2016-12-04 埼玉県越谷市で車が電柱2本を倒して道路を塞ぎ駅伝大会が延期
2016-12-11 気象庁 ホームページコンテンツの更新不具合
2017-01-01 日本気象協会 川崎市土砂災害警戒情報誤配信
2017-01-02 米国税関 システム障害による入国手続き遅延
2017-01-27 JR九州鹿児島線 信号機故障(午前)、運行管理システム障害(午後)
2017-04-15 日本カードネットワーク決済トラブル
2017-05-27 British Airways ロンドン出発便が全欠航ー攻撃、一部で視聴不能に
2017-06-29 カブドットコム証券がサイバー攻撃により36分間ログイン不可
2017-07-09 JAL国際線システム不具合
2017-10-23 JR東日本 宇都宮線信号故障
2018-01-26 コインチェック仮想通貨流出事件
2018-09-06 北海道胆振東部地震による大規模停電
2018-10-09 東京証券取引所システム障害
2018-12-06 都営浅草線全線運休
2018-12-06 ソフトバンク通信不具合
2019-02-02 日本カードネットワーク決済トラブル
2019-02-15 新幹線券売機トラブル
2019-06-01 横浜シーサイドライン逆走衝突事故
2019-06-07 大阪市システム障害
2019-09-09 台風15号による大規模停電
2020-02-23 名古屋高速道路の事務員の新型コロナウイルス感染による料金所閉鎖
2020-02-23 日本IBMデータセンタの電源障害で住信SBIネット銀行/地方銀行のサービス停止
2020-1-01 東証/名証/札証、終日全銘柄取引停止
あったかい温泉がでる手水舎 まとめ
神社やお寺にある手水舎に、温泉が引かれているところをまとめます。 湯量が豊富な温泉にしかできない贅沢ですので、必然としてよい温泉地に存在します。
ほかにもあったら教えてください。
場所 | 所在地 | 最寄り駅 |
---|---|---|
川湯神社 | 北海道川上郡弟子屈町 | JR釧網本線川湯温泉駅からバス |
北向観音 | 長野県上田市 | 上田電鉄別所線別所温泉駅 |
諏訪大社上社本宮 | 長野県諏訪市 | JR中央線上諏訪駅からバス |
八剱神社 | 長野県諏訪市 | JR中央線上諏訪駅 |
諏訪大社下社秋宮 | 長野県諏訪市 | JR中央線下諏訪駅 |
湯前神社 | 静岡県熱海市 | JR東海道線熱海駅 |
熊野神社 | 静岡県足柄下郡湯河原町 | JR東海道線湯河原駅 |
修禅寺 | 静岡県伊豆市 | 伊豆箱根鉄道駿豆線修善寺駅からバス |
下呂温泉神社 | 岐阜県下呂市 | JR高山線下呂駅 |
三朝神社 | 鳥取県東伯郡三朝町 | JR山陰線倉吉駅からバス |