久しぶりの更新ですが、3/27に翻訳本『ハッキングAPI ―Web APIを攻撃から守るためのテスト技法』（オライリージャパン）が発売されます。 www.oreilly.co.jp 手元には、見本誌も届きました。 本書は、Corey Ball氏の著作である『Hacking APIs: Breaking Web …

（久しぶりの更新になりますが）あけましておめでとうございます。本年もよろしくお願いします。 既に、多くの方にTwitterでリツイートや「いいね」をいただいたり、予約した、購入した*1と嬉しいご連絡をいただいていますが、1/19に技術評論社様より拙書『…

最近、いくつか新しいフレームワークが登場しており、その概要をまとめました。 D3FEND Matrix MITRE社より、新しいフレームワーク D3FEND Matrix が登場しました。 d3fend.mitre.org MITRE社のフレームワークといえば、MITRE ATT&CK MatrixやActive Defense…

Internet Week 2020で『C12：脅威インテリジェンスの実践的活用法』というタイトルで講演をしてきましたので、講演資料を公開します。 スライドは以下で公開されていますので、よろしければご参照ください。（Internet Week 2020） 過去実施した金融ISACの講…

翻訳本『初めてのマルウェア解析～Windowsマルウェアを解析するための概念、ツール、テクニックを探る ～』（オライリージャパン）の発売日が１２月１５日に決定しました！！ 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テク…

2015年頃に脅威インテリジェンスという概念に出会ってから、色々調べて、講演・ブログで調査結果や自分の考えを公開してきましたが、一度その内容を体系的な資料として整理したいと考え、『脅威インテリジェンスの教科書』という形で執筆・整理したので、公…

先日オンラインで開催された『金融ISAC アニュアルカンファレンス 2020』において、『2019年度金融ISACアワード（個人賞）』を頂戴しました。ありがとうございます！！ 受賞に伴い、アワード受賞記念講演として、『Intelligence Driven Securityの＜ことはじ…

前回（その２）は、リスク分析について深くご紹介しました。 www.scientia-security.org 大きく、６種類のステップでやることをご紹介します。 Step 1 : 資産の特定 Step 2 : 脅威の特定 Step 3 : 脆弱性の特定 Step 4 : 残存リスクの特定 Step 5 : 発生確率…

前回は、リスクの定義、リスクマネジメントプロセスについて紹介しました。 www.scientia-security.org 前回のポイントは、リスクの定義です。改めて復習しておきましょう。 リスク = 発生確率 × 影響度 = 脅威 × 脆弱性 × 資産 今回は、リスクマネジメント…

CIS Controlsとは、CIS（Center for Internet Security）が管理しているサイバーセキュリティのフレームワークで、CSC（Critical Security Control）とも呼ばれます。 通常、セキュリティを担当するように言われた際、自分だけで考えていくと多くの考慮漏れ…

セキュリティの世界にいると、「リスク分析」や「リスクベースアプローチ」という単語を非常によく耳にします。「リスク」という概念は、セキュリティに限らず様々な局面において登場しますが、意外とその定義は難しく、明確なイメージを持っている人は少な…

先日開催された、Intenet Week 2019の「D2-3 組織を更に強くする「攻めの」サイバー攻撃対策」のセッションで機会をいただき、講演をしてきました。 スライドは以下で公開されていますので、よろしければご参照ください。（Internet Week 2019） www.slidesh…

『The Sliding Scale of Cyber Security』とは、Robert M. Leeにより提唱された概念で、サイバーセキュリティ態勢の成熟度を表すモデルです。このモデルによると、サイバーセキュリティの成熟度を脅威対応の観点からみて、５段階（Architecture・Passive Def…

（変更履歴）ある目的で執筆していたのですが、諸般の事情で執筆を中断したので、ブログに投稿しました。 攻撃者（Adversary）や脅威を理解する上でインテリジェンス技術の幅は様々であり、OSINTやAttributionなどの技術的分析手法や、ダイアモンドモデルな…

（変更履歴）過去のThreat Huntingに関する記事をいろいろ改善しながら執筆していたのですが、諸般の事情で執筆を中断したので、ブログに投稿しました。 Threat Huntingとは、セキュリティベンダーがシグニチャを提供するまでのゼロデイ期間において攻撃が行…

Cyber Deceptionとは、組織のネットワークに対してDecoy（おとり）を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を…

以前紹介したSANSの"Cyber Threat Intelligence Consumption"では、Strategic Intelligenceとは、経営層に向けたインテリジェンスとされています。経営層（Senior Management）に対する脅威インテリジェンスについて考えてみたいと思います。 なぜ経営層にイ…

2020/03/21に追記しました。 「サイバー脅威インテリジェンス」、あるいは「脅威ベースのペネトレーションテスト」など、セキュリティの世界では脅威（Threat）という概念が多数出てきます。しかし、脅威（Threat）について具体的な説明があまり知られていな…

（変更履歴）Political Attributionについて付け加えました。 Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。 攻撃者も人間である以上、アイデンティティ（攻撃の目的）、動機、攻撃手口などを持っているはずです。それらを洗い出すこと…

OSINT（Open Source Intelligence）は、公開情報から様々な情報を集める技術です。 最近では、@Sh1ttyKids氏がOSINT技術を活用して日本のアンダーグランドコミュニティの情報をまとめています。 www.recordedfuture.com 年始にかけて、すこしOSINT技術を調査…

以前の記事でCISOの役割という記事を書きました。 しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。 www.scientia-security.org CISOに関するフレームワーク …

（追記）2019年02月12日に追記を行いました。 リスク分析は、セキュリティ戦略策定の上で欠かせない基本的なアプローチです。 以前、日経SYSTEMSの記事「セキュリティコスト ５つの掟」（2018年10月号）にて、 一部のインタビュー記事が紹介されましたが、そ…

あけましておめでとうございます。 ご縁があり、翻訳させていただいた『インテリジェンス駆動型インシデントレスポンス』が12/26（水）に発売されました。ぜひ書店やAmazonでお買い求めください。（公開するの忘れてた...） www.oreilly.co.jp この本のセー…

先日開催された、Intenet Week 2018の「D2-3 知れば組織が強くなる！ペネトレーションテストで分かったセキュリティ対策の抜け穴」のセッションで機会をいただき、講演をしてきました。 スライドは以下で公開しましたので、よろしければご参照ください。 Int…

ドメインは、企業ブランドを守る上で非常に重要な情報資産です。有名な企業のドメインを乗っ取ることができればフィッシング攻撃などへの悪用は非常にやりやすくなります。 今回は、ドメイン保護手法について、予防・検知・対応の観点から整理をしていきまし…

金融庁より、TLPT（Therat-Lead Penetration Test）というキーワードが登場してきています。また、TIBER（Threat Intelligence Based Ethical Red Teaming）という概念が欧州系金融系を中心に話題になっています。 今回は、その動向と読むべき資料について整…

色を使ってセキュリティチームの性質を説明することがよくあります。 例えば、攻撃技術（Offensive Technology）を専門とするチームをRed Teamと呼び、一方、セキュリティ監視やインシデント対応を行うセキュリティ運用チーム（Security Operation）のことを…

#ssmjp ４月に参加してきました。 ブログ枠で参加したのでアップデートしました。（勘違いして、アップロードできていなかったので、アップロードしました。ご迷惑をおかけしました。） 講演１：私の情報収集法 最初のスピーカーは「タイムライン・インテリ…

Offensive Countermeasures（OCM）とは、2009年にSANSインストラクターであるJohn Strand氏らが提唱した概念です。当時はあまり流行した考え方ではなかったと思いますが、Threat IntelligenceやThreat Huntingへの注目と合わせて、再度注目を集めている概念…

2018/01/09 金融庁関連の話題を追加しました。 少し前ですが、２０１７年８月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーシ…