（修正履歴）一部追記しました。@ 2019.02.10 現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。 時間軸による検知レイヤーモデル 色々な考え方があるますが、検知のインプットは大き…

カンファレンスでもらった"Threat Hunting for Dummies"を積読していたのですが、時間ができたので読んで見たのでメモをまとめます。EDRで有名なCarbon Black社が書いているので、クオリティも十分でした。 www.carbonblack.com Threat Huntingの定義と目的 …

CISSP（Certified Information Systems Security Professional）という試験は、セキュリティの経験と全般的な知識を持っていることを示す資格です。一般的かつセキュリティと重要な資格である一方、独学用の勉強リソースはあまり多くないと言わざるを得ませ…

久しぶりに記事を更新したいと思います。本日は、Webアプリケーションについての思考実験をしてみたいと思います。 既にご存知の通り、Webアプリケーション診断の脆弱性スキャナとして、様々な製品が登場しています。 IBM AppScan HP WebInspect Rapid7 AppS…

ssmjpにて、Red Teamに関するプレゼンテーションをさせていただきました。資料を公開しました。（公開を忘れていました。すいません） www.slideshare.net

以前某論文誌にサイバーリスク保険について書いたことがあるのですが、最近またサイバーリスク保険について説明する機会があったので、ブログにまとめておこうと思います。 論文執筆時の情報を元にしているため、古い記載がある可能性があります。ご容赦くだ…

昔からセキュリティ製品評価をしていると、自動遮断・自動連携など自動化のうたい文句にしていることが非常によくあります。最近は米国のカンファレンスに頻繁に参加していますが、多くの製品のキーワードとして「自動化」は目玉機能として紹介されます。 し…

※ セキュリティの7Sについて追加しました。 企業において、セキュリティ上一番えらい役職をCSOとかCISOと呼びます。（以降、基本的にCISOで統一します） CSO(Chief Security Officer・最高セキュリティ責任者) CISO(Chief Information Security Officer・最…

米国金融系企業の中で現在話題となっているトピックの一つに、ニューヨーク州金融サービス局が提案しているサイバーセキュリティに関する規制が挙げられます。 全文翻訳したので、内容をごらんになりたい方は以下のリンクへどうぞ。 （翻訳・法律の専門家で…

先日、Philadelphia InfoSec Meetupに参加してきました。今回は、Empower Security AcademyというWashington D.C.をベースとした人がセキュリティの基礎とAPI・Wiresharkについて話してくれました。 www.meetup.com 内容がビギナー向けなコンテンツでしたが…

今日はすこし趣向を変えて、格言からセキュリティを考えてみたいと思います。 私がセミナーで講演をする際には、よく格言を色々引用することが多いのですが（そしてあまり好まれないのですが）、色々と示唆に含む発言も多いので個人的に好きなものを列挙して…

2016/08/13 書き忘れた項目があったため、追記しました。 今日は米国流ペネトレーション・テストについての実情についてまとめてみたいと思います。 日本におけるペネトレーション・テストとは？ ざっくりとまとめると、日本におけるペネトレーション・テス…

米国に赴任して以降、米港における人材育成方法にかなり興味を持って色々見ています。今回のエントリーでは、米国におけるセキュリティ人材の育成方法について書いてみたいと思います。 米国の人材育成の特徴 色々な人に話を聞く限り、米国には（日本人が想…

2016/08/11に記事の一部を更新しました。 サイバー・デセプション（Cyber Deception）というキーワードをご存知でしょうか？ 最近ガートナーが発表した「企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10」にも登…

大学で一番面白かった授業の教授は誰かと聞かれれば、科学哲学を専門としている村上陽一郎先生の名前を挙げるのですが、STS（科学技術社会論）の授業で取り扱われていた安全学という学際的なアプローチが非常に印象に残っています。 安全学とは？ 詳しい説明…

以前の記事では、ペネトレーション・テスターの資格について考察しましたが、今回はフォレンジックやインシデント・レスポンスの資格について考察してみたいと思います。（昔はフォレンジックをかなり専門的にやっていたのですが、最近はまったく携わってい…

セキュリティを組織に定着させるためには、組織文化が大きく絡むと考えることが多いのですが、セキュリティ＆組織文化分析なんというテーマの研究があまり見当たりませんでした。その一方、「組織文化の分析と適用すべきアジャイル手法の選択」なんという面…

某学会に参加したときに知った概念でインセンティブ・セキュリティというものがあります。意外と知られていないので、少し考えをまとめたので記載をしてみたいと思います。 インセンティブとは？ そもそもインセンティブとは、何でしょうか。簡単に言えば、…

日本企業がセキュリティ診断をする場合、ベンダーに依頼することが一般的だと思います。 ベンダー選定時には、コスト・品質・評判など色々な判断基準はあるかと思いますが、特に品質は難しい問題です。「高品質なのか？」、「値段に見合う品質なのか？」とい…

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。 日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。（評価には個人の意見がかなり含まれてい…