ちょっと話題の記事

[レポート]セキュリティのアレ ~ 知識と技術とあと2つ ~ – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「セキュリティのアレ ~ 知識と技術とあと2つ ~」セッションのレポートです。
2021.10.19

CODE BLUE 2021の下記セッションのレポートです。

セキュリティのアレ ~ 知識と技術とあと2つ ~

私たちは長年、攻撃手法やインシデントなど様々な情報を収集し、知識を身に付けアウトプットしてきました。またペネトレーションテストやフォレンジックなど技術に関しても慣れ親しんできました。皆さんも形や色は違えど知識と技術の研鑽をされてきた、もしくは、その最中でしょう。でも、それだけでは足りないような気がしませんか。

このパネルでは、知識と技術を最大限に活かしていくために必要だと私たちが考える、「知識を活かす分析の着眼点」と「技術を活かす技術以外のもの」について議論していきます。

ポッドキャスト「セキュリティのアレ」 https://www.tsujileaks.com/

Presented by :
根岸 征史 - Masafumi Negishi
辻 伸弘 - Nobuhiro Tsuji
piyokango - piyokango

レポート

  • 「知識を活かす分析の着眼点」と「技術を活かす技術以外のもの」についてのパネルディスカッション

これからの分析の着眼点

  • piyokangoさん:今回は情報収集とは別の観点で話をしたい
    • 情報を集めるだけで終わっている場合があるが、情報収集で終わりではない
    • 一つの脆弱性を分析しても見えてこないことがあり、これからは他の情報を組みわせて分析することが求められる
  • 根岸さん:業務ではIoTのBotやDDoS攻撃の観測をしている
    • 自分の会社が攻撃を受けた場合は全体像が分かるが、そうでない場合は全体として何が起きたが終わらない場合はある。他の人にはどう見えたかが気になっている
    • 集めた情報を基に次への備えを共有したりするが、他の人はどう見えているのか気になる
    • 観測しているデータは同じでも結果は異なると思っている
    • 答えが分からないこともあり、難しい
  • 辻さん:情報収集の先を見ることも大事だが、根岸さんやpiyokangoさんのレベル観点の話だと思う
    • 情報収集にもまだまだ重きをおく必要もある
    • 脆弱性の対処の優先度付けなどは経験があるためできること
    • その基礎を作るためには情報収集のスキル(基礎体力)も重要
  • (3分程度の一時離席のため聞くことができなかった時間)
  • piyokangoさん:基礎体力があれば、分析も良くなる
    • 分析の話に移ると、分析のオリジナリティが重要だと思う
    • みんな既に自分のオリジナル要素を持っているはずなので、そのオリジナル部分を言葉にできるかは考えてよい
    • 情報を読む側にもオリジナリティがあるはず
    • 辻さんの場合は色々な発信のチャンネルがあることもオリジナリティ
  • 辻さん:根岸さんがおっしゃっていた他の人の観点が気になる話もオリジナリティに関連すると思う
    • 情報は出すところに集まると思うので、出すことでも基礎体力も鍛えられる
  • 根岸さん:piyokangoさんは自分の考えを入れないように発信しているが、自分の考えを入れることは冒険だと思う
    • 社内や外部に表明するのはハードルが高いと感じる人は多いと思う
  • 辻さん:自分なんてと思い、言いにくい人もいると思う
  • 根岸さん:自分のオリジリティを無自覚にするのではなく、意識してやることが重要との理解であっている?
  • piyokangoさん:その通り。筋トレも意識してすることが大事なのと同じ
    • インターネット上の情報を自分なりに検証するだけでも鍛えられ方が違うと思う
    • 分析の着眼点としては、オリジナリティを入れることだと思う
    • 天気予報の仕事に憧れており、同じようにセキュリティでもやりたい
  • 辻さん:相手が何を気にしているかを意識して伝えるということですね
  • 根岸さん:受け取った人がどう解釈して、どう判断すればよいかに必要な情報を提供できているのかという話か
  • 辻さん:確かにいきなりCVE番号を提示されても「何それ」と思う方もいると思う。何をすればよいか分からない
    • 1時間話して、最後に「危ないの、危なくないの」と言われた経験があり、どうサジェストできるのかは重要だと感じた
    • 分析内容を聞く相手のことを考えないといけない

技術者に求められる技術以外のアレ

  • 辻さん:技術に一番詳しい人が社内で職人みたいな扱いになっているのはダメだと思う。周囲に分かりやすいように伝えることも必要
  • 根岸さん:専門領域が広がっていて、専門性も深くなっており、専門分野が細分化されている
    • 技術者として高い専門性が求められる一方で分かりやすく伝えるスキルも必要なのは大変
  • piyokangoさん:橋渡しというキーワードが注目されている
    • 橋渡しをする人が間に入れば良いのでないか
  • 辻さん:その考えもあるが、技術者が適切に評価されてほしいという思いもある
    • 橋渡しをする人が上から評価される結果になってしまうのではないか
    • 相手が分かってくれないことを相手のせいにせずに、自分のプレゼンスキルとしたほうがよい。でないと、もったいない気がする
    • SNSではフィードバックがもらえるので、分かりやすく伝える練習となり、検証にもなる
  • 根岸さん:情報を外部や社内に発信するときにスキルが必要となってくるのか
  • 辻さん:インシデントが起きたときに、技術者だけではなく、会計担当者などの方々も関係する
    • 誰がその方々に伝えるのかと考えると、セキュリティ部門の人達が分かりやすく伝えることは当たり前にやっていく必要があると考えている
    • 経営層にも何をするべきかの情報が必要となる
  • piyokangoさん:聞いている通り大事だと思う
    • 自分の持っている殻を破ることも必要かもしれない
    • 技術者は専門性だけでよいのか、と思うところはある
    • 専門性が高めるほど狭まってしまうこともある
    • その殻を破ることも意識している
    • 世の中の出来事もセキュリティの背景として存在しているので、触れるようにしている
  • 辻さん:自分の専門以外のこと(つらいこと)もやっていくことで、筋トレと同じように鍛えられる
    • 他の分野のことや興味がセキュリティ分野で役立つこともある
  • 根岸さん:そういうことができない人はどうすればよいのか
  • 辻さん:できる人と関わればよい

まとめ

  • 今日の議論が答えというわけでないが、一つでもなにか得るものがあればと思う

感想

技術力/専門性だけではなく、定期的にその他のことについても考えていく必要があると感じたセッションでした