Web セキュリティに特化した新資格


■Web セキュリティに特化した新資格

以前、セキュリティの新資格として、

CompTIA Pentest+ について紹介したが、

これとは別に、また新たなセキュリティの資格が出た模様。

ウェブ特化のセキュリティーの新試験、第一人者が監修
https://www.nikkei.com/article/DGXMZO3874212010122018X20000/

第一人者とは、徳丸浩さんのようだ。

安全な Web アプリケーションの作り方

というバイブル的な書籍の著者としても有名な方だが、

セキュリティ関係の会社を立ち上げて、

代表取締役になっている模様。

そこまでできる人もたいしたもんだなぁと思う。

と、そんなことはさておき、今回の資格は

「ウェブ・セキュリティ試験」

という名前で、その名の通り、

ウェブサイトのセキュリティに特化した内容の模様。

試験の種類としては 2 種類あって、

基礎試験と実務知識試験ということのよう。

試験料も 1 万円と、個人でも出せない範囲ではない。

ウェブセキュリティに特化している、という点が

吉と出るか凶と出るか、という感じだが、

ウェブアプリのセキュリティ確保などは

確実に相当数の需要があるはずなので、

吉と出る可能性は十分にあると思う。



個人的には、こうした機能面・技術面に

特化した資格が出てくることは、よい傾向だととらえている。

セキュリティの資格には、これまで本サイトでも述べてきたが、

既に、国家資格である情報処理安全確保支援士や、

国際的には非常にメジャーな CISSP などが存在している。

その意味で言えば、こういった民間資格ができたからといって、

どれほど意味があるのか、という話もあるとは思う。

しかしながら、上述の資格はいずれにしても、

セキュリティに関する全般的な知識

が求められるもの。

セキュアコーディングやインシデント対応、

ネットワーク技術など、全般的に知っていることが必要となる。

しかしながら、セキュリティの専門家が

本当にすべての知識を知っておく必要があるかといえば、

もちろん持てれば理想的ではあるが、

現実的にはかなり無理があると思う。

別の記事で、

“完璧なセキュリティ人材”などいない
企業のリーダーはなぜ幻を追い求めるのか
https://www.sbbit.jp/article/cont1/35584

というのもあったが、なんでもかんでもこなせる

セキュリティ専門家なんていないのである。

例えば、インシデントハンドリングをする人に必要な能力は、

セキュリティに関する詳細な技術的知識ではなく、

関係各所との調整や、対応状況の進捗確認、

遅れが出ている場合はその影響評価とリカバリー策の検討、等々

どちらかといえば優秀なマネージャーとしての能力だと思う。

一方、脆弱性分析をする人は、そんな能力は特に不要で、
*もちろんあるに越したことはないが

脆弱性やハッキング手法に関する詳細な知識が必要となる。

結局、役割によって必要となる知識や能力は違うのだが、

現状、世の中的にも、

「セキュリティ専門家 = どの役割でも対応できる」

と思われている、またはそうあることが求められているように思う。

それは無理なのだ。

もっというと、脆弱性分析という役割であっても、

PHP コードで発生する脆弱性と、

C/C++ で生じる脆弱性は異なるため、

本当はプログラミング言語や個々の技術別に

専門家がいることが望ましいと思う。

そういう観点で考えた場合、

情報処理安全確保支援士や CISSP などは、

個別の知識や専門性ではなく、

高いレベルで広い範囲に対応できるかどうか、

を求められており、その分難易度も障壁も高いと思う。

また、その意味で言えば、

CompTIA CySA+ や CompTIA Pentest+ などは、

役割別の資格という意味で一歩前進のように思える。

が、こちらも役割別にはなっているものの、

ペンテスターといったって、

Web アプリに対する侵入テストと、

ネットワークに対する侵入テストでは、

当然求められる知識は変わってくる。

なので、やっぱり今回のような、

技術特化に近い形のセキュリティ資格ができたことは、

「少なくともその技術はあるよ」

ということを提示できる意味でも、よいのではないかと思う。



そういう風に考えているので、今後はもう少し、

技術分野別のセキュリティ資格

が増えていけばよいと思っている。

そうすれば、

1. 専門知識分野は今回のような技術分野別の資格で提示する
2. 役割を担えるかは CompTIA のような役割別の資格で提示する
3. 全体的に見れるかどうかは、情報処理安全確保支援士等で提示する

というような、レベルや役割別の住みわけが

できるのではないかと思っている。

そうすると、

セキュリティ組織のリーダー・マネージャークラスが欲しい!

なら、

CISSP や情報処理安全確保支援士を持っていると有利!

となるだろうし、

Web アプリ開発をセキュアにできる人が欲しい!

なら、

今回のウェブセキュリティ試験合格者

が有益、というのがわかりやすくなるのではないかと考えている。

ということで、重ねてになるが、

やっぱりこういう技術分野別のセキュリティ資格が

新設されたことは、喜ばしいことであるし、

可能であればぜひ活用していきたいと思った次第。



とはいえ、セキュリティに関することならば

なんでも知っている人になりたい私としては、

今回の試験内容も気になるところ。

PHP はほぼ触ったことがないし、

Web セキュリティに関しても、基本的なことはわかっているが、

実装含めて詳細までわかっているとはいいがたい。

なので、これを機に受験してみてもよいかと考えだしている。

本試験は 2019 年 12 月ということで、

ちょうど一年あるから、準備期間としては

まだ余裕があると考えてよいかな。

といっても何を勉強すればいいんだろうか?

まぁ多分恐らく、徳丸さんの会社がかかわっている以上、

徳丸本とも呼ばれる、

これ↓

を勉強しておけばいいんだろうな。

amazon でのレビューも、数は少ないが、

わかりやすい良書、という評価ばかりだし、

値段も 4,000 円しないぐらいだから、

まずはこれ買って一通り読む、というところからかなー。

しかし、機械学習の勉強もしたいし、

Python もちゃちゃっと書けるレベルになって、

いろいろスクリプトで楽できるようにしたいし、

この資格も興味あるし、でやること山盛りだな…。

とはいえ、この年になってまだまだやりたいことがある、

というのはとても良いことだと前向きにとらえ、

一つ一つ学んでいこうかな。

しかしその前に今やるべきことを終わらしてしまわないと、

どれにも着手すらできない…。

頑張らねば。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

セキュリティにおけるトップ人材とは?


情報処理安全確保支援士関連のニュースを調べていたら、

全く関係のないこんな記事を見つけた。

NTTデータ、トップ級の技術者に年間2~3千万円給与支給する人事制度新設
https://www.zaikei.co.jp/article/20181207/482387.html

おー、すげー。

いいなー。

いいなー、なんて言いつつ、

自分の会社に同じ制度ができたとして、

トップ級技術者に認定される可能性は

多分みじんも存在しないが、

それでもとてもよいことだと思ったので、

ちょっと取り上げてみた。

実際、海外他社に人材を引き抜かれているから、

給料を上げて流出を止めよう、という話らしい。

正直、人材を引き留めるには最も正しい方法だと思う。

社会人として、働くことに生きがいを見出すのは大事なこと。

でも、何のために働いているのか?といえば、

恐らくほとんどの人にとって、それはお金を稼ぐためであろう。

で、どうせお金を稼ぐのであれば、

自分が楽しいと思えること、成長できること、

などを仕事にできればなおよい、というのはあると思う。

が、いくら楽しくて成長できたとしても、

一切お金が入ってこないならば、

当然ほとんどの人がそんな仕事を続けられないはず。

働くということのベースは、あくまでお金を稼ぐことにあるはず。

であれば、当然賃金が高いに越したことはないと考えている。

ちょうど時期的にプロ野球選手の FA 移籍が

巷をにぎわしているが、

より高い評価をする球団

を選択することは、プロとして何らおかしくないと思う。

これは、一般の社会人であっても、

全く同じことが言えるはずだと思っている。



もちろん、例えば企業に勤めるサラリーマンの場合、

少々仕事をしていない時期でも給料がもらえたり、

能力的にかなり厳しい状況であっても、

(会社にはよるが)簡単に首を切られない、等々、

恩恵を受けている人もいるはずなので、

一概に給与がすべてだというつもりはない。

ただ、同じような仕事であるのにもかかわらず、

より高い給料の職場があるなら、

そちらを選びたくなるのは人情だろう。

職場を変わるということは、それまで築いてきた

人間関係や信頼関係をまた一から作り直さないといけなかったり、

うまく力を発揮できなければすぐに給料を下げられたり、

といった、デメリットももちろんあるだろう。

が、働く人間にとって、儲けや給与というのは

やはり大きな要因であって、給与が多ければ

多少デメリットが大きくても職場を変えよう、

という人が多くなるのは自明の理かと思う。

そういう中、各企業の取り組みとしてよく聞こえてくるのは、

福利厚生が充実

というのがメインのように思えている。

社員食堂がある、おいしい、ただで食べられる、とか、

カフェがある、リラックススペースが充実している、とか。

もちろん悪いことではないと思うのだが、

それよりも給料上げるほうが手っ取り早いとやっぱり思う。

そりゃぁ会社側からしたら、いったん上げると

下げにくいというのもあるだろうし、固定費を増やしたくないし、

というのはもちろんあるのだろうが、

なんだか小手先のごまかしにしか思えないのである。

福利厚生でもこれなら人材を引き留めるいい案になるな、

と思えるのは、個人的には今のところ、

会社に託児所が存在する

ぐらいじゃないかと思っている。
*あくまで個人的な感想ではあるが。



そんな中、今回の NTT データの取り組みは、

他企業への普及、という意味でもかなり期待している。

結局、労働者を引き留めたいのであれば、

やっぱり相応の対価を払うのが一番だ、

ということが浸透してくるといいと思う。
*これも完全に個人の価値観だが。

優秀な人材を確保しておきたければ、

それなりの待遇が必要なんだ、ということが

社会全体に広まっていけば、

今まで大きな会社に入ったことで安心し、

可もなく不可もなく過ごしてきた人も、

「自分の能力を上げれば高い給料をもらえる!」

と頑張るケースも増えてくるんじゃないかと思う。

そうなれば、既存人材の能力向上にもつながり、

優秀な人材の確保だけでなく、

優秀な人材が継続的にかつ自発的に育ってくる、

というような環境にもなりえるのではないかと思う。

まぁ、そんなにうまくいくとは思えないが、

昨今の AI ブーム、ロボットブームが進んでいけば、

当然のごとく人が必要となる仕事は減っていくと思われる。

そんな中、自分自身の能力を高めれば

より高い給料を得られる、という形になれば、

今今くすぶっている人たちも、

一念発起して頑張る、

なんてことになるのではないだろうか。

もちろん全員がそうなるとは思えないが、

そういう流れができてくれば、

人材の多様化や高度化などにも寄与するのではないか。

そうそう簡単な話ではないと思うが、

この記事をみて、そうなればよいなー、と思った。



しかしながら、どんな能力を身に着けておけば、

今回のような状況が浸透していった際に

トップ人材

と思ってもらえるんだろうか?

当然いろんな分野があって、

そのそれぞれで違うんだろうが、

セキュリティだとどうなるのかね?

本サイトでも取り扱っている、

「情報処理安全確保支援士」

などは、国家資格でもあることから、

国内であれば、そこそこ評価されてもよいように思う。

ただ、トップ人材と言われるほどか、と言われると、

うーん、どうなんだろう。

一般の技術者よりは、

セキュリティに関する知識を持っている

ということはちゃんと示せるとは思う。

ただ、この資格さえ持っていれば、

なんでもかんでもできるようになるか、といえば、

答えは当然 No だ。

やはり実践を経験しているかどうかとか、

そういうところが大きくなってくると思う。

セキュリティに関して、

トップ人材、

と言われるためには、

インシデントが発生してもその人がいれば安心、と

思われるぐらいの問題解決能力を持っているとか、

この分野に関しては世界の研究者からも認められている、

とか、あるいは、

セキュリティに関して企業としてどうしていくか、

みたいな大きな絵が描けるとか、

そういうレベルじゃないとダメなんだろうなぁ。

まぁ、当然ながらそう簡単なことではなさそうだ。

でも、現状では、そういうレベルの人でも

通常の技術者よりちょっと給料が高い、

というぐらいだと思えるので、やっぱり

トップ人材にはちゃんと相応の対価を支払う、

という流れはよいと思う。

また、資格を持っていたってトップ人材とは言えない、

という風に述べたが、

トップ人材になるための第一歩として、や、

セキュリティを強みとしていくきっかけとして、

という意味では、情報処理安全確保支援士などは

ちょうどよいのではないかと思う。

とまぁなんだかよくわからないことをグダグダ書いてきたが、

今回の NTT データさんの取り組みが、

・高い能力を持った人には相応の対価が支払われる社会

になっていく一つのきっかけになればよいと思った。

そしてまた、企業で働く人間としては、

そういった人材だと思ってもらえるように、

自らの能力をきちんと磨いていく必要があると改めて思った。

このサイト開設を通じ、自分自身でもいろいろと

楽しみながら勉強し、知識や経験を上げる、

ということはこれまで多少なりとできてきたと思っているが、

今後もどんどん新しいことに挑戦し、いずれは

トップ人材

として認められるようなレベルに達せられればと思っている。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

サイト開設からの軌跡(一年六ヶ月経過)


■サイト開設からの軌跡(一年六ヶ月経過)

サイト開設から一年と六か月。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この十八ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4

ここ数ヵ月、ほとんど記事をかけていない。

記事にしたいことがないわけじゃないのだが、

いかんせん時間が取れない。

もうしばらくこの状態は続きそう。

今のうちに、やりたいことをきちんとまとめておこう。

PV 数は前月よりも減ったとはいえ、

一日平均 400 PV 以上をキープできたのはうれしい。

前月は、情報処理安全確保支援士試験があったため、

それ関連の記事が一時的に伸びていた。

それがなくなることが想定された今月は、

もっと減るのではないかと思っていたが、

その他の記事が伸びてきたこともあり、

9 月段階よりも増加となったのはありがたい。

この傾向が続いてくれるとよいのだが。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
ライブカメラ(監視カメラ)を作る!
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –

となり、前回二位の

過去最低の応募者数 – 情報処理安全確保支援士試験 –

は、六位に逆戻り。

情報処理安全確保支援士試験が終わったため、

検索数はやはり落ちているのだろう。

また、他の情報処理安全確保支援士試験関連記事も、

PV 数は大幅減。

完全に季節ものであるため、

このあたりはまぁ当然の結果かと思う。

一方、他の記事をみてみると、

・一位 PV 数が 200 PV 増
・二位 PV 数が 200 PV 減
・三位 PV 数が増減ほぼなし

と、結構きれいに増減なし。

相変わらず本サイトにおける Top 記事である、

専用カメラモジュールを使う

がまた伸びてきたのはありがたい話。

この調子で伸びて行ってくれることを願うばかりだ。

一方、主力になってほしいと常に期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

が各々四位、十位と二記事も Top 10 入り。

前者は前月より 100 PV ほど増加。

後者はほぼ増減なし。

前者はようやく主力化が見えてきたかな?

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(未)
現状、時間がとれておらず、
残念ながらまだ着手できていない。
次にやるのはまずこれかなー。

・Burp Suite の使い方(中止)
Kali Linux に入っているものを使い、
初期設定まではしたものの、
OWASP ZAP 同様の自動スキャンを実施するには、
ライセンス費用が必要な Pro を購入する
必要があることが判明。
趣味として払うには、私にはちと高いため、
こちらは一旦中止しようと思う。

・CTF 関連(未)
着手したいしたいと思いつつも全然だな。

・Bug Bounty Program(未)
こちらも全く。

■linux
・HTTPS/FTPS 化(未)
・SSH 公開鍵設定(未)
まぁこれはどこ見てもあるからいいかなぁ…。
やられ環境を安全化する際に検討してみよう。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。
具体的にどうする、がちょっと見えていないので。
ただ、後述する機械学習のとっかかりとして、
まずはやってみてもいいかも、とは思っている。

・機械学習(未)
書籍学習に入りたいのだが、
他に学習することがあり、現在も未着手。
一応記録として残しておこう。

■情報処理安全確保支援士
・記事再整理(継続)
今のところリライト全然できてない。
が、別にいいような気もしてきた。

■その他
・サイト再整理(未)
整理方法についてはまだまとまっていない。
とりあえずペンディングにしようと思う。



所感

先月は情報処理安全確保支援士試験の終了も伴い、

関連ページの PV 数が大幅減となった一方、

主力ページ等の伸びによって、

減少はかなり抑えられた認識。

前々月よりも伸びているのは、よかったと思う。

記事作成については、

なかなか時間が取れない状態が続いており、

もう少し少ない状態が続くと思われる。

が、まぁ焦らずにやろう。

次の大きなネタとしては、やっぱり機械学習。

はやく概要レベルを理解できるようにし、

Raspberry Pi で試してみる、

ということに着手したいのだが、

今月もやっぱり一歩ずつ、一歩ずつだ。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

取っておくべきセキュリティ資格とは?


■取っておくべきセキュリティ資格とは?

ZDNet に以下のような記事があったので紹介。

IT人材、2019年はセキュリティのスキルなど高需要
https://japan.zdnet.com/article/35128712/

とりあえず来年もセキュリティ知識を有する人材は

高い需要を維持する状態が続きそうだ。

なお、記事によれば、転職希望者の願いとしては、

・給与アップ
・スキルアップ
・ライフワークバランス

などが多いということ。

ということで、簡単にいうと、

・高い給料払って、
・スキル上がる仕事と、
・自由度の高い業務環境を提供する

ということをやれば、人は集まるということになる。

ねぇな、そんな仕事。

ただ、セキュリティを生業とする人間にとって、

自分のスキルを向上させるというのは

知的欲求の満足というレベルではなく、

業務用必要不可欠な活動。

セキュリティは結局、最新技術や世の中の変動と

切っても切れないものなので、

常に最新動向を把握し、

新たな技術に対するセキュリティ感度を上げ、

それらに対応できるだけのスキルを磨き続ける、

というのは必要不可欠だと思っている。

なので、スキルが上がる仕事、というのは、

ある程度与えられなくても自分でできる部分が

あるかもしれない。

一方、給与や業務の自由度については、

自助努力では難しい。

このあたりは企業側にぜひ頑張ってほしい所。

セキュリティ人材が世の中的に必要だからといって、

即高い給料を払ってくれるとも思えないが、

高い専門性や幅広い知識、あるいはその両方を

提示することで、給料をきちんと挙げてほしいものである。



一方で、求職者や従業員側としてやっておくべきは、

やっぱり自分の実力をきちんと提示できることだと思う。

そのために必要なのは、まず、

自分の持っているスキル

の棚卸だろう。

自分はどんな分野が得意で、

どういうキャリア(経験)があって、

何ができるのか、

という所は、しっかり人に説明できるように

しておく必要があると思う。

ただ、こういった、

自分の得意分野の棚卸し

って、自分でいきなりやろうとすると難しい。

なので、なにか客観的な、

スキルフレームワークやスキルマップ的なものが

必要だと思う。

これに使えるものとしては、

IPA スキルマップ
https://www.ipa.go.jp/security/manager/edu/training/expert.html

や、

IT スキル標準(ITSS+)
https://www.ipa.go.jp/jinzai/itss/itssplus.html

などがあるだろう。

正直、分類が細かすぎて逆に使いづらいのだが、

参考の一つとしては使えると思う。

これで棚卸しをすれば、

自分は何ができて何が弱いのか、

という所が漠然とであっても整理できるので、

弱みを補強するのか、強みを強化するのか、

など、自分のスキルアップの方向性を

明確にすることができると思う。



ただ、いくら自分で棚卸しができて、

自分の強みがわかったとしても、

やっぱりそれを客観的に提示できる必要があると思う。

既に自分の能力含めてわかってくれている

会社(組織)内であればいいかもしれないが、

転職となると、自己アピールだけに終わってしまう。

また、スキルの棚卸しをした結果、

強化したい分野が複数ある、

全般的に強化したい、

ということはままあると思われる。

そんな時には、やっぱり資格が有効だと思う。

もちろん、

資格がある = 転職成功!ではない

と思うし、転職成功にはそれ以外の

人物や企業が求める能力とのマッチング等が

重要なのだと思う。

が、同等レベルの人が競合でいた場合には、

やっぱり優位に働くこともあるだろうし、

できるできると口にするだけよりは、

説得力があることは間違いない。

よって、このセキュリティ人材不足が

叫ばれる昨今において、セキュリティの資格を

取っておくことはやっぱり重要だと思っている。



では、どんなセキュリティ資格を

持っていることが有益なのだろうか?

あくまで私見ではあるのだが、

以下のように考えている。

1. 情報セキュリティマネジメント試験

資格というか、国家試験であるが、

一つ目は、

情報セキュリティマネジメント試験
https://www.jitec.ipa.go.jp/sg/

かと思う。

こちら、前述の ITSS ではレベル 2 相当らしい。

既存の情報システムに関する基礎的な知識を

身に着けたうえで、それらを安全に活用したり、

セキュリティインシデントが発生した場合の

基本的な対応方法を学んだり、といった、

情報セキュリティに関する基本的な知識を

問われる試験となっている模様。

初回の合格率が 88% 超と非常に高く、

あまりにも簡単な試験と認識されてしまっているが、

直近では 46% まで低下しており、

それなりに難易度は上がっている。

また、出題範囲もそれなりに広いため、

多少セキュリティには詳しいよ、ぐらいでは

勉強しないと合格は難しいだろうと思われる。

ただし、技術的内容は基礎知識レベルで問われるものの、

詳細まで問われるわけではないため、

セキュリティ技術者のスキルを

提示できるようなものではない。

どちらかというと、マネージメント経験者が

セキュリティに関しても基礎的な理解がありますよ

ということを提示するために向いている資格かと思える。

IPA の情報処理技術者試験の一つでもあり、

過去問対策をしっかりやれば、

合格できるレベルのものではあるため、

今から技術者としてはちょっと、と思う方でも、

チャレンジする価値はある資格かと思う。



2. 情報処理安全確保支援士

情報セキュリティマネジメント試験は、

セキュリティ技術者というよりも、

マネージメント向けとしてのほうがより適切、

というようなことを書いたが、

技術者として幅広い知識と専門性を提示するのであれば、

国家資格でもある、

情報処理安全確保支援士

がそれなりに有益だろうと思われる。

情報セキュリティに関する国内唯一の国家資格であり、

セキュリティ資格としての知名度としては、

国内では一番だと思う。
*とはいえ、一般の人まで知られているレベルではない。

内容としては、

・ネットワークセキュリティ
・セキュアプログラミング
・インシデント対応

などがあり、システムエンジニア(SE)などを

やっている方には、親和性も高くとっつきやすいと思われる。

レベル的には、情報セキュリティマネジメント試験よりも

かなり技術的な内容が問われ、難易度も高い。

ITSS ではレベル 4 相当とのこと。

例えば、組織の PC がマルウェア感染したっぽいが、

被害の有無を調べるために、マルウェアの挙動を調べる際、

C&C サーバーなどと通信しているとだましながら

被害をさえるネットワーク構成にするにはどうすべきか?

みたいな内容が問われたりする。

ある程度ハッキングとか脆弱性、マルウェアの挙動、

セキュアコーディング等の技術内容を把握していないと、

合格は難しいと思われる。

さらに、午後問題は記述問題がメインであるため、

国語力も問われる試験となっている。

この資格を取得しておけば、

セキュリティ技術者としてそれなりに広く深い知識を持っている

ということは提示できると思われる。

なお、この資格は国家資格であるため、

情報処理安全確保支援士

を名乗るためには、試験合格後、国への登録が必要。

また、その後毎年一回の e-learning 講習と

三年に一回の集合研修に参加することが義務付けられている。

この研修費用が三年で計 14 万円と高い一方、

支援士を名乗ることによるメリットがほとんどない。

よって私は

・試験のみ合格し、試験合格者を名乗れるようにする
・名刺には、試験合格者、という形で記載する

という対応をとっている。
*登録しない場合にはこのような対応も可能

このあたりのメリットデメリットに関しては、

過去最低を更新 – 情報処理安全確保支援士試験の応募者数 –

に記載しているので、よければ参考にしていただきたい。

実際、名刺交換をすると、

・支援士試験に合格しているんですか!?
・結構難しい試験ですよね!
・登録してないんですね。研修費、結構かかりますもんね(笑)

などなど、この資格を知っている人であれば、

それなりに話のきっかけにもなり、

登録しなくても実力の提示にもなっていると思える。

ということで、登録するかしないかは

個々の事情で判断すればよいと思うが、

試験に合格しておくこと自体はそれなりにメリットがあるため、

興味を持たれた方には受験をお勧めする。

また、本サイトにおいても、

情報処理安全確保支援士への道

として、学習方法や当日の様子、参考書などを

記載しているので、参考にしていただければありがたい。



3. CISSP

さらに上位と思える資格としては、

CISSP(Certified Information System Security Professional)
https://japan.isc2.org/cissp_about.html

がある。

こちらは米国中心の民間資格であり、

日本国内ではそれほどメジャーなものではないが、

国際的には非常にメジャーな資格の模様。

難易度的には、情報処理安全確保支援士同等レベルと

いう人もいるが、問われる内容の質と量が随分違う模様。

情報処理安全確保支援士試験は、

前述した通り、なんだかんだ言ってもまだまだ

ネットワークセキュリティが中心。

一方、CISSP 試験の方では、

事業継続計画とか、監視カメラやゲートなどを含む

物理セキュリティとか、セキュリティと名の付くものは

すべてを含む、という感じのよう。

また、技術知識を暗記したり理解したりするだけでなく、

「CISSP としてはどう考えるべきか?」

というような、考え方を問われる試験らしい。

という意味で、情報処理安全確保支援士試験とは

異質な難しさがあると思われる。

こちらは国内でも 2018 年 11 月現在 2,000 人超しか

いないようで、

知名度は低い一方で難易度は高い

という状態かと思われる。

ただし、セキュリティの専門家ならば

誰でも知っているような資格であり、

既にセキュリティ関連の幅広い知見を持っている、

情報処理安全確保支援士試験には合格し、

次のステップを模索している、等、

より高いレベルを目指す方にとっては

よい目標ではないかと思う。



4. その他の資格

これ以外にも、セキュリティの資格は存在しているが、

私が知っているその他の資格としては、

CompTIA 系の資格が存在する。

CompTIA 自体は IT 業界団体とのこと。
https://www.comptia.jp/

ここでやっている民間資格として、

・CompTIA Security+
・CompTIA Pentest+
・CompTIA CySA+

などがある。
*ほかの IT 関連資格もある。
https://www.comptia.jp/cert_about/certabout/

Security+ がセキュリティ基礎的な位置づけであり、

Pentest+ はペネトレーションテスト関係者向け、

CySA+ はインシデント対応業務関係者向けの模様。

さらに上位資格として、CASP というのもある模様。

これらに関しては、詳しいことは知らないので

何とも言えない所があるが、

情報処理安全確保支援士や CISSP が

かなり幅広い知識を求めるのに対し、

専門分野に特化した形の資格であるといえるかもしれない。

あまり関係ない所を詳しく知りたいわけではない、とか、

ペンテスターとしての力を示したい、とかいう

目的がある人であれば、こういった資格に

チャレンジしたほうがよいのかもしれない。



以上、セキュリティ人材に対するニーズは

来年も依然として高そうだ、という話から、

それに乗っかるためにも資格があるとよさそうだ、

という話をし、そのうえで、

どんなセキュリティ資格があるのか、

という所を私が現在知る範囲で書いてみた。

繰り返しになるが、資格を持っていればよい、

というものでもないと思うし、

実際私自身が資格を持っているが、

それで即ちネットワークセキュリティの

スペシャリストといえるか、と言われると、

そこまで自信をもっていえるレベルではない。

が、対外的に客観的な能力の提示に使えること自体は

間違いないと思うし、なによりも

資格取得に向けて学習することで、

現状の知識以上に得ることが多い、という効果が大きいと思う。

2018 年も残りあとわずか。

年始には新たな目標を立てる人も多いと思うが、

あまり明確な目標を持っていないセキュリティ関係者各位が

いるのであれば、自分のレベルに合った資格を

まずは取得する、というのを一つの目標にしてみても

よいのではないか、と思っている。

そうして、セキュリティ有識者が一人でも増えていくことを

願ってやまない。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | タグ: , , | コメントする

Raspberry Pi の新モデル登場


■Raspberry Pi の新モデル登場

先日、といっても半年ほど前のことになるが、

Raspberry Pi 3 Model B+ が発表された。

これに関しては

新型発表! – Raspberry Pi3 Model B+ –

にて記載しているが、今度は、

Raspberry Pi 3 Model A+

が発表されたとのこと。

「Raspberry Pi 3 Model A+」発表。
小型低価格なAシリーズの新モデル、CPU強化にWiFi対応
https://japanese.engadget.com/2018/11/16/raspberry-pi-3-model-a-a-cpu-wifi/

Model B+ が大体カードサイズなのに対し、

Model A+ は Model B+ と横幅が同じのほぼ正方形で、

Model B+ を少し短くしたような感じ。

大きさ的にいうと、

Zero 系(縦長) -> Model A+(正方形)-> Model B+(縦長)

という感じか。

元々 Model A+ は、

低消費電力版

ということで発売されていたと思っているのだが、

今回はどうなんだろうか?

今のところ、既にラズパイは 3 台もあるので、

全くと言っていいほど物欲は刺激されない。

Zero 系の後続がでれば刺激されるかもしれないが、

A+ はちょっと微妙かなぁ。



ただ、Model A+ にはなかなかの思い入れがある。

何を隠そう、ラズベリーパイというデバイスの

存在をしるきっかけになったのは、この

Raspberry Pi Model A+

だった。

Raspberry Pi で Kali Linux を動かす、

というブログ記事をみて、

・そんな小さいデバイスがそもそもあるのか!?
・Kali Linux が動くってことは、PC として使えるじゃないか!
・しかもそんな小さいのでセキュリティ診断なんてすごい!

ということでかなり盛り上がってしまい、

結局購入したのが、恐らく初代の Model A+ だった。

ただ、実際に使ってみると、PC として使えなくないものの、

かなりストレスが溜まる状態。

そもそも低消費電力版である上、

グラフィックス系は画面描写程度でも厳しく、

さらにはメモリーも少ないからスワップが起きまくる状態。

また、機能もまだまだ制約されていたので、

無線通信は別途 USB の WiFi ドングルが必要等、

PC として使うにはかなり厳しい代物だった。

とはいうものの、PC としてではなく、

ちょっとしたサーバーとして使う分には、

何の不足もない状態。

実際、初代の Model A+ を使って

WiFi アクセスポイントを構築してみたが、

全く何の不足も感じなかった。

おかげで、

作りたい環境

を無事構築し、

セキュリティ学習を進めることができた。



その後は、PC としても使えるように、ということも考え、

当時パフォーマンスが非常に向上したという、

Raspberry Pi 3 Model B

を購入。

これが、十分とまでは言わないものの、

それなりに使えるものでもあったため、

結局 WiFi アクセスポイント化していた

Model A+

も Model B に置き換え。

お役御免となった Model A+ は、

友人に提供し、今はどうなっていることやら。

ということで、現在は所有していないうえ、

今回新たなモデルが出たとしても、

特に必要性は感じていない。

しかしながら、私を Raspberry Pi の世界に

引き込んでくれたきっかけとなるモデルでもあり、

なんとなく反応してしまう。

当時は WiFi 機能が付いていなかったが、

今回は WiFi があらかじめついている模様。

そうなるとまた使い勝手も変わってくると思うが、

Raspberry Pi Zero W

でよいような気もして、今後どうなるかは気になるところ。

ノスタルジックな感情はあるが、

とはいえ個人的にはやっぱり Zero 系の発展を望む。

しかし、何か使い勝手が出てくるようであれば、

選択肢として考えてもいいかもしれない。

Model B, Model A+, Zero 系

をすべて使って、何か面白いことができないか、

いいアイデアが浮かぶとよいのだが。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

Virtual Box に脆弱性発覚


■Virtual Box に脆弱性発覚

当サイトの

Windows でセキュリティ

でも利用している、Virtual Box に脆弱性が発見されたらしい。

「VirtualBox」にゼロデイ脆弱性
~ロシアのセキュリティ研究者が“GitHub”で明らかに
https://forest.watch.impress.co.jp/docs/news/1152373.html

脆弱性が影響するのは、現行版の version でもある、

5.2.20 およびそれ以前のバージョン

ということらしい。

なお、本脆弱性が利用可能となる条件は、

・ネットワークアダプターの割り当てが NAT となっていること
・アダプタータイプが Intel PRO/1000 MT Desktop(82540EM)であること

ということらしい。

なお、これらを確認するには、

Virtual Box を起動後、

Kali Linux なり metasploitable2 なりの

仮想マシンを選択した状態で、

メイン画面にある

『設定』

をクリックし、

出てくるダイアログの左側メニューにある、

『ネットワーク』

を選択する。

その際出てくる、ネットワークアダプターの割り当て部分が、

NAT

となっており、かつ、

『高度』

と書かれているところをクリックすると下に出てくる、

『アダプタータイプ』

Intel PRO/1000 MT Desktop(82540EM)

となっていると、本脆弱性の影響を受ける模様。

なお、NAT を選ぶとデフォルトがこれになる模様なので、

NAT 以外を選んでおいたほうがよい。



注意すべき事項としては、推測ではあるが、

1 つでも条件にあてはまる仮想マシンがあれば、

その仮想マシン起動時に本脆弱性を受けるであろう、

ということ。

そしてもう一つは、

各仮想マシンで複数のネットワークアダプターを

利用している場合、一つでもこの条件に当てはまる

ネットワークアダプタがあれば、やっぱり

脆弱性の影響を受ける可能性があるということ。

ちゃんと調べていないのでなんとも言えない部分はあるが、

多分それを使っているときに影響を受けると思われる。

したがって、最も良いのは、

本脆弱性の影響を受けないバージョンに上げること

なのだが、現状の最新版である、

5.2.22 or 6.00-Beta

が本脆弱性の影響を受けないのかどうか、が

定かではない。

こういうの、困るんですよねぇ。

ということで、まずはやっぱり上述の対応を

しておいた上で、最新バージョンが出次第

アップデートを行う、というのが

一般ユーザーにできる最善の方法かもしれない。

私自身、ひとまず 6.00-beta に update してみたものの、

どうも extension pack も update しないといけない模様。

このあたりの方法については、

ちゃんと動くようになり次第記載する予定。

ひとまず、脆弱性を突く練習をするために

自分自身が脆弱性を突く攻撃の標的となっては

元も子もないので、対応しておくことをお勧めする。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

サイト開設からの軌跡(一年五ヶ月経過)


■サイト開設からの軌跡(一年五ヶ月経過)

サイト開設から一年と五ヶ月。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この十七ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4

先月も記事作成はかなり少ない。

こんなことではいかんのだが、

別にやらねばならぬこともあり、

そちらに時間を取られたりして、

なかなか記事作成に時間がさけない。

記事が書けていないということは、

新たな技術を習得できていない、ということだ。

まずい。

自己研鑽を兼ねた趣味なのだから、

もっと時間をかけねば。

その一方で、PV 数は急増。

平均 PV 数も 400 越えと、過去最多。

一日平均 300 PV は 1 回しか達成していないのに、

今月は MAX で 695 PV も経験した。

どうも、Google のパンダアップデートや

ペンギンアップデートのあとから上がりだしたみたいだが、

特に検索順位が上がったようにも見えない。

いったい何が起こったのか…。

ただ、増えた要因の一つには、

情報処理安全確保支援士試験

が 10/21 に開催されたことが挙げられる。

これ関連の記事が明らかに大幅増となっている。

ということで、季節要因ではあるが、

まぁ増えてくれるのはうれしいことだ。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
過去最低の応募者数 – 情報処理安全確保支援士試験 –
ライブカメラ(監視カメラ)を作る!

となり、前回六位の

過去最低の応募者数 – 情報処理安全確保支援士試験 –

が、なんと二位に返り咲いた。

やはり、情報処理安全確保支援士試験があったのが影響している。

ただ、そのほかにも、

・一位 PV 数が 400 PV 増
・二位 PV 数が 300 PV 増
・三位 PV 数が 200 PV 増

と、軒並み前月よりも増加している。

この調子で伸びて行ってくれることを願うばかりだ。

一方、主力になってほしいと常に期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、Top 10 に返り咲き。

PV 数も 170 PV 前後から 370 PV 程度までと、

倍増している。

まだまだ主力とは言えないものの、

関連ページも徐々に増えてきているため、

こちらも順調に伸びて行ってほしいものだ。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・OWASP ZAP の使い方(完)
ずーっとたまっていたが、何とか今月完了できた。
あくまで超基本的な使い方にとどまっているが、
導入としては意味ある記事にはできたかと思う。

・脆弱性検査ツールの使い方と比較(未)
いつでもやれる環境は整ったのだが、
残念ながらまだ着手できていない。
じっくり分析すると面白い結果になるとは思うのだが。

・Burp Suite の使い方(新)
検査ツール比較の一環でもあるが、
折角 OWASP ZAP を使えるようにしたので、
同じような脆弱性検査ツールである、
Burp Suite も試してみて、
OWASP ZAP とどのような違いがあるのか、
を試してみたいと思う。

・CTF 関連(未)
着手したいしたいと思いつつも全然だな。

・Bug Bounty Program(未)
こちらも全く。

■linux
・HTTPS/FTPS 化(未)
・SSH 公開鍵設定(未)
まぁこれはどこ見てもあるからいいかなぁ…。
やられ環境を安全化する際に検討してみよう。

■電子工作
・UART 設定(未)
もうドロップでいいかなぁ…。
いや、一応残しておこう。

・OpenCV の利用(未)
これはもう完全にペンディング。

・機械学習(未)
昨日の記事にも書いたが、まずは書籍学習からかな。
まだまだ先になりそうだが、一応記録として残しておこう。

■情報処理安全確保支援士
・記事再整理(継続)
今のところリライト全然できてない。
が、別にいいような気もしてきた。

■その他
・サイト再整理(未)
整理方法についてはまだまとまっていない。
とりあえずペンディングにしようと思う。



所感

先月は情報処理安全確保支援士試験のおかげで、

PV 数は過去最高を大きく更新することができた。

ここ二ヶ月ほど PV 数減が続いていたので、

かなりうれしい。

情報処理安全確保支援士試験様様である。

いままでメリットがないメリットがないと書いてきたが、

こうして記事を書けば見てもらえる、という

メリットはあるかもしれない。

記事作成については、OpenSCAP や Vuls といった、

これまであまり知らなかったツールの効果確認や

結果比較は面白いとおもっているので、

はやくこれを試したいのだが、なかなか時間が取れない。

加えて Burp Suite も試したいから、

早く今やってることを片付けないとなぁ。

が、時間はかかるからまぁ焦らずにやろう。

あとはやっぱり機械学習にもチャレンジしたい。

こちらも下準備というか事前調査はちょこちょこ

継続していって、ある程度他のことが片付いたら、

一気に取り組み出せればと思う。

一歩ずつ、一歩ずつだ。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

Raspberry Pi で機械学習


■Raspberry Pi で機械学習

これまで、ラズパイを使って、

・ブラウザ(スマホ)から操作できるライブカメラ
・ブラウザ(スマホ)から操作できるラジコン戦車

などを作ってきた。

これらに関しては、

ラズパイで電子工作

などに書いているので、興味があれば見ていただければと思う。

で、その後どうしようか、という所が悩みどころ。

今のところセキュリティ関連の記事を充実させようと

思っているが、やっぱりラズベリーパイを使う以上、

電子工作とか、何か動くものを作っていきたいと思う。

ということで、次に考えているのが、

・ラズパイで AI

というキーワード。

時代の流れにのって、AI とか機械学習とか、

ある程度は知識として持っておきたいし、

それでいろんな作業を便利にできるなら、

ぜひとも活用していきたいと思っている。

が、今のところまったくもって知識を得られていない。

なかなか着手もできていない。

色々忙しいというのもあるが、

やはり最初の一歩を踏み出すには

結構勇気や労力がいる。

なんか簡単に使い始められるような、

入門的なものってないのかなぁ、なんて思っていたら、

こんな記事を見つけた。

Raspberry Piでディープラーニングを学ぼう
TensorflowやPythonの基礎が学べる
「AIプログラム学習キット2プラス」
https://fabcross.jp/news/2018/20181031_aiprogramlearningkit2plus.html



記事を読む限り、入門にはよさそうである。

何がよいかって、

・最初から Tensorflow が使える状態になっている
・サンプルプログラムや練習問題がある
・実際に使えそうな応用問題もある

という所。

手順通りにやっていけば、

一通りわかった気にはなれそうな感じはする。

特に、実際に手を動かしてやるっぽいので、

単に学習するよりも身に付きやすいとは思う。

ということで、結構興味をもっていたんだが…。

31,000 円か…。

一介のサラリーマンが小遣いで自己投資するには、

ちと勇気がいる値段。

しかも、これを出している会社が、私的には微妙。

raspberry pi でホワイトハッカー育成ツールを、

として、

raspberry pi に kali linux を積んで、

ちょっとばかし脆弱性検査ツールを追加しただけのものを、

30,000 円で売っているのである。

もちろん全くの初心者ならば、

30,000 円でそんな環境が手に入るだけでも

よいと思うので、別に批判するつもりはない。

ただ、全くの初心者はおそらく Kali Linux や

追加でインストールされているツールを

そもそも使いこなせないと思う。

じゃぁ多少知識がある人間なら有用かといえば、それも微妙。

というのは、私レベルであっても、

ラズパイに Kali linux をインストールするのは

Raspberry Pi に Kali Linux をインストールしてみた

でやっているし、

それ以外のツールを導入するのであれば、

ラズパイでセキュリティ

などでできる、それほど難しい作業ではないのである。

なので、これを 30,000 円という価格で売るというのが、

売り物に対して比較的高額に感じてしまうのである。

今回の、AI を学習できるキットというのも、

実は結構簡単なものなのに、それなりのお値段に

なっているのではないか、と思ってしまうのである。

とはいえ、AI 初心者の私にとって、

内容的にはなかなか魅力的であることは事実。

あー、3 万ぐらい衝動買いできるぐらいの

稼ぎがほしい…。

とはいえ、現実はそうもいかないので、

やっぱり今回は見送りで、別の手段を探すとするかな。



なんてことを考えながら、

ついでに raspberry pi で機械学習などを

学べる方法について調べてみたら、

なんとこんなものがあるではないか。

by カエレバ

 

これなら 2,000 円もしない。

しかも raspberry pi でやることを目的として

書かれている(はず)なので、私の目的にはばっちりある。

さらにラズパイちゃんはすでに手元にあるので、

OS を stretch にする必要はあるが、

基本手元で試しながらできるはず。

うーん、これいいかも。

今現在は、別にやらねばならぬことがあるため、

やっぱりまだすぐには手を出せないのだが、

まずはこれを手始めに、機械学習の勉強から

初めてみてもよいかも。

結局何に使うの?というのは

まだ何にも考えていないが、

こういうのは技術的な概要だけでも押さえておきたいし、

raspberry pi を使ってであれば、

完全に趣味としてとらえて対応できる。

うん、機械学習への取り組みは、

やっぱこれから始めよう。

今やらねばならないことは、

少なくとも年明けまでは取り組む必要があるので、

それをさっさと終わらせてしまって、

再び raspberry pi で趣味と自己研鑽できる状態に

戻ってこよう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

Web アプリ診断(OWASP ZAP の基本的な使い方)


■Web アプリ診断(OWASP ZAP の基本的な使い方)

前回までで、

・Windows 環境で仮想マシン(Virtual Box)を使えるようにする
・仮想マシン上で、Kali Linux を動かす
・仮想マシン上で、練習用サーバーの metasploitable2 を動かす
・Kali Linux にある metasploit で脆弱性をついてみる

という所まで実施できた。

これで、一般的なサーバーやサーバー機能を持つ機器に対し、

・どうやって脆弱性を突くのか?
・脆弱性を突くとどうなるのか?

という所が多少理解(体験)できた。

ということで今回は、次のステップとして、

・Web アプリに対する脆弱性診断

にトライしてみようと思う。

Web アプリに対する脆弱性診断ツールとしては、

OWASP ZAP や Burp Suite などが有名だが、

今回はまず OWASP ZAP を使った診断をしてみたいと思う。

OWASP ZAP 自体は、Linux でも Windows でも

動作させることが可能。

実際、

ラズパイでセキュリティ

では、

脆弱性検査 – OWASP ZAP(インストール編) –

にて、raspberry pi に OWASP ZAP を

インストールする方法について記載している。

ただ、実際に試してみるためには、

やっぱりやられサーバーが必要となる。

ということで、今回は既にやられ用サーバーとして

metasploitable2 を使えるようにしていることもあり、

Windows 環境で試してみる。

とはいえ、使い方としては別に OS 毎に

代わるわけではないため、Linux 系に

インストールした場合でも同様に使えるかと思う。

以下、OWASP ZAP の基本的な使い方について記載していく。

  1. 事前準備と診断対象の確認
  2. OWASP ZAP を利用したセキュリティ診断
  3. 診断結果とその見方
  4. まとめ

なお、繰り返しになるが、本記事で記載の内容を、

他者の管理するサーバー等に対して、

許可なく実施することは違法行為となるため、

絶対にやらないでいただきたい。

他者に迷惑をかけることなくセキュリティ診断の方法論について学ぶため、

これまで述べてきたような環境構築を実施し、

自分の責任範囲にとどめて実施していただきたい。



・事前準備と診断対象の確認

事前準備として、まずはやられ側サーバーの

Web アプリケーションを確認しておく。

Metasploitable2 は、

Web アプリケーションの脆弱性も検査できるよう、

OWASP Top 10 に記載されたすべての脆弱性を盛り込んだ

Web アプリケーションが構築されている。

特に検査に必要なわけではないが、

最初にこれを確認してみようと思う。

まずは metasploitable2 上で IP address を確認する。

その方法については、

metasploit の使い方

に記載している通り、metasploitable2 のコンソール上で

ipconfig コマンドを実行すればよい。

metasploitable2 の IP address を確認したら、

続いて Kali Linux 上でブラウザを立ち上げ、

「http://(先ほど調べた)metasploitable2 の IP Address」

を入力し、アクセスしてみる。

私の環境であれば、今回は

http://10.0.2.5

となる。

で、実際に出てきた画面がこちら。
*赤枠は私が勝手につけたもの。

このように、metasploitable2 には、

Web アプリケーションの脆弱性検査用サイト

が立ち上がっているのである。

いやはや、非常にありがたいことだ。

で、実際このサイトのトップから検査してみてもよいのだが、

それだと非常に時間がかかってしまうため、

今回は、mutillidae に対して診断をかけることにする。

この mutillide という Web アプリケーションには、

Metasploitable2 Exploitability Guide
https://metasploit.help.rapid7.com/docs/metasploitable-2-exploitability-guide

にあるように、OWASP Top 10 +αの脆弱性が組み込まれている。

ということで、実際に先ほどの画面の赤枠をクリックし、

http://10.0.2.5/mutillidae

にアクセスしてみると、以下のようなページが現れる。

今回は、これに対して OWASP ZAP による診断をしてみようと思う。



・OWASP ZAP を利用したセキュリティ診断

事前準備といっても、必要なものは、

・診断対象となる Web サーバーの URL

のみである。

あとは OWASP ZAP にこの URL を入力してやれば、

自動で診断してくれるから楽なもの。

ということでその手順を書いていく。

まずは OWASP ZAP を立ち上げる。

Kali Linux には普通に OWASP ZAP が入っているので、

それを起動する。

具体的には以下の通り。

①デスクトップ左上にある、「Applications」をクリック

②リストのうち、「03-Web Application Analysis」にカーソルを合わせる

③OWASP ZAP をクリックする。

図はこちら。

なお、

Raspberry Pi に Kali Linux をインストールしてみた

でも記載したように、

Raspberry Pi 用の Kali Linux の場合は

【はじめからは入ってはいない】

ので、別途インストールが必要なことにご注意いただきたい。

その場合のインストール方法に関しては、

脆弱性検査 – OWASP ZAP(インストール編) –

に記載しているので、そちらを見ていただければと思う。

で、無事起動できれば、こんな画面が出てくる。

ダイアログは、

「ZAP のセッションをどう扱うか?」

ということが聞かれているだけなので、

なんでもいいがとりあえず何かを選んで

「Start」

ボタンを押す。

その後、Add-on を確認するダイアログもでるが、

まぁとりあえずスルーでよいだろう。

で、起動したらいよいよ診断スタート。

下図に示す、起動した画面の赤枠に対し、

①診断対象となるサーバーの URL を入力する
*今回の場合、ttp://10.0.2.5/mutillidae

②Attack ボタンを押す

とするだけ。

あとは放置しておけば、勝手にどんどん診断してくれる。
*今回の場合、数十分ってところかな?

超簡単、あら便利。

もちろん、より深く診断するためには、

もっといろいろオプションやら Add-on やらが

使えるのだが、まずは基本的な使い方を抑えるという意味では、

操作は以上でおしまい。

うーん、すごく簡単だわ。



・診断結果とその見方

診断が終われば、OWASP ZAP のメイン画面に、

以下の通り、

「Attack complete – See the Alerts tab for details of any issues found」

というメッセージがでる。
*以外と静かに終わる。

ということで、これが出ればいよいよ結果を確認していく。

全体概要

検出された脆弱性は、画面左下の Alert タブに出る。

検出された脆弱性の深刻度は、旗の色であらわされており、

・赤い旗が High
・オレンジの旗が Middle
・黄色い旗が Low

を各々示している。

今回は、

・High が 5 種類
・Middle が 4 種類
・Low が 5 種類

検出された。

Cross Site Scripting の他、

Remote OS Command Injection など、

結構深刻な脆弱性が検出されている。

では、この後どう対応すればよいのだろうか?

まずは個々の脆弱性を確認していこう。

個々の脆弱性確認

Alert タブに表示されている各脆弱性の左にある

三角マークをクリックすると、その脆弱性が存在する箇所が

リスト表示される。

リスト表示されたもののうち、一つをダブルクリックすると、

以下の通り、別のウィンドウが表示される。

ここには、

・脆弱性が存在する URL
・深刻度
・脆弱性の概要
・対策方法
・参考情報

などが示される。

なお、この情報は、メイン画面の右下部分にも記載されている。

また、この脆弱性を選択した状態で、

メイン画面の右上には、脆弱性が影響する箇所
*今回の場合は、該当する HTML のソース部分

が表示される。

よって、これらの情報を参考にすれば、

影響箇所や要修正箇所なども容易に理解できるはずである。



・まとめ

今回は、Web アプリの脆弱性を検査するツールとして、

OWASP ZAP

の超基本的な使い方、および結果の見方を記載した。

URL を指定し、実行するだけで、

結構ちゃんと検査してくれるっぽいことが分かった。

しかも、指摘された脆弱性の概要や、

指摘箇所、修正方法や参考情報なども提示してくれる。

これは非常にありがたいツールだと思う。

ということで、今回のポイントは以下の通り。

Point!・診断対象の URL を入力して実行するだけ!
・実行が終わったら、各脆弱性の中身を確認!
・指摘箇所を確認し、修正方法を参考にしながら修正!

現時点では本当に基本的な使い方をしたに過ぎないが、

より深い診断をするためには、ツールのオプションや

さらなる使い方を勉強する必要がある。

が、こんな簡単な操作をするだけでも

結構な脆弱性が検出できるため、

Web アプリを作成したら必ずやっておいたほうがよいだろう。

なお、今回診断対象となった、

metasploitable2 の mutillidae には、

OWASP Top 10 に記載のすべての脆弱性が組み込まれているが、

今回の検出結果がそれをちゃんとカバーできているのか、

までは確認できていない。

また、Burp Suite など、ほかにも有名なツールもある。

今後、これらとの結果比較など、もう少し深い分析をしていきたいと思う。

まぁ、いつになるかはわからんけれども…。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: Windows でセキュリティ | タグ: , | コメントする

いよいよ正念場か!? – 情報処理安全確保支援士 –


■いよいよ正念場か!? – 情報処理安全確保支援士 –

先日、IPA より、

情報処理安全確保支援士の登録者数

に関するプレス発表があった。

プレス発表
国家資格「情報処理安全確保支援士(登録セキスペ)」
10月1日付登録人数は合計17,360名に
https://www.ipa.go.jp/about/press/20181001.html

前回までで 1 万人弱であったから、

今回だけで一気に 8 千人程度増えたことになる。

いよいよ情報処理安全確保支援士人気に火が付いたのか!?

こんなに増えたのだから、2020 年までに 3 万人なんて余裕では?

なんて思ってはいけない。

これで、いよいよ情報処理安全確保支援士制度は

正念場を迎えた、と思っている。

折角数が激増したにも関わらず、

なぜそう思うのか?

以下、その理由について、

私なりの考え方を記載する。



経過処置の終了

そもそも、今回なぜこんなに登録者数が増えたのか。

それは、

・経過処置対象期間の終了に伴う駆け込み登録

があったからだ。

これまで、情報処理安全確保支援士になるためには、

・情報処理安全確保支援士試験に合格し、登録する
・支援士と同等の能力を有するものとして認められる
*警察におけるサイバーセキュリティ対応業務従事者等

といった手段の他、前制度である、

・情報セキュリティスペシャリスト試験合格者
・テクニカルエンジニア(セキュリティ)試験合格者

に関しても、登録することで、

情報処理安全確保支援士となることができた。

ただし、これら前制度の試験合格者に対しては、

過去の試験合格をもって、無試験であっても

情報処理安全確保支援士に登録できる期限が決められていた。

具体的には、経過措置対象期間として、

平成 30 年 8 月 19 日

までに登録申請をする必要があったのだ。
*情報処理安全確保支援士制度になってからの試験合格者には、
*このような試験合格の有効期限は今のところ存在しない。

これを過ぎると、過去の試験合格をもってしても、

情報処理安全確保支援士試験

を再度受験して合格する必要がある。

このため、IPA も過去の試験合格者に対して

登録期限が迫っていることのはがき連絡を行ったりしていた。

その結果、

過去の試験合格者が駆け込みで登録した、

というのが今回急増した理由である。

なお、経過措置対象者は 49,105 名いたらしく、

そのうち、トータルで 15,018 名が登録し、

支援士となったとのこと。

およそ 1/3 が登録しているが、逆に言えば、

2/3 は登録していない、ということになる。

そして今回の登録をもって、今後、

旧制度における試験合格者は、

新制度における試験を再度受験し合格しない限り、

情報処理安全確保支援士になることはできない。

元々なりたい人であれば、経過措置対象期間内に

登録手続きを済ませているであろうから、
*わざわざ再試験を受けたいと思う人は別に受けているだろうし、

今後このような急増は見込まれず、

これまでの新制度合格者の登録によってしか

支援士数は増えない、ということだ。
*同等の能力を持つと認められるものは除くが、
*これが急増するのは国側の制度乱用となるため、
*あまり考えられない。

このため、今回急に増えたからと言って、

今後も同じように増えていくことはあり得ないのである。

むしろ、

登録する資格のある人 = (ほぼ)新制度での試験合格者のみ

となるため、そもそも登録資格を持つ人の母数が激減する。

よって、支援士となる人も、増えるどころか

急減するのが当たり前なのである。



これまでの支援士試験合格者と登録者の推移

また、今回の登録によって、

情報処理安全確保支援士の総数は

17,360 名

となっている。

しかしながら、その 87% 近くは、

旧制度の試験合格者

である。

逆に言えば、新制度になってから登録したのは、

支援士全体のうち、

わずか 13% 程度しかいない、

ということだ。

実際、過去の支援士試験合格者のうち、

試験合格直後に登録する人は、1/4 程度である。

2017 年春から始まった試験において、

合格者は毎回 2,500 人超いるが、

直後に登録するのは 600 人程度。

試験合格からしばらくたって登録する人もいるようだが、

当然のごとく直後に登録する人よりは随分少なくなる。

ということは、今後も一回の試験当たり、

800 人前後が登録すればよいほう、という形になる。

こういったことを考えれば、今後、

登録者数が発表されるたびに、

大体 800 人ずつぐらいしか支援士の数は増えていかない

ということが予想される。

今回の登録者数の 1/10 程度だ。

加えて、

過去最低を更新 – 情報処理安全確保支援士試験の応募者数 –

でも記載した通り、

そもそもこの情報処理安全確保支援士試験に

応募する人自体が減ってきている。

これは即ち、人気が全然上がってはおらず、

むしろ低下しつつあることを意味していると考えられる。

ということは、今後は登録者数自体も減っていくことが

考えられる。



まとめと今後の希望

これまで述べてきたように、

・今回で旧制度の登録資格保持者に対する経過措置が完了する
・新制度の試験合格者による登録は少なく、今後も減少が見込まれる

という二点から、

情報処理安全確保支援士制度はいよいよ正念場を

迎えることになったと思われる。

今回の駆け込み登録による登録者数増という手段が

なくなってしまった上、

新制度における試験合格者の登録者数も減り続けている今、

このままだと、情報処理安全確保支援士の数は

大きく増えないまま、下火になっていくことが想定される。

数を増やせばよい、という話ではないと思っているが、

維持費の高さやメリットのなさ等、

デメリットのほうが話題として先行している現状で、

さらに数も増えなくなっていく、となれば、

情報処理安全確保支援士を目指そうという人自体が

激減していくことだろう。

では、情報処理安全確保支援士という、

日本で初めての情報セキュリティに関する国家資格は

もうすたれるしか道がないのだろうか?

これから盛り返していくためには、具体的方法は別にして、

情報処理安全確保支援士という資格自体の魅力を上げる

ことしかないと思われる。

維持費を安くする必要は特にない。

維持費をはるかに上回るメリットを提供すればよいのである。

それが実現できれば、私のように、

・新制度下での試験は合格したが、登録していない人

などの登録が見込めるようになるだろう。

また、経過措置自体は終了してしまったとはいえ、

旧制度時に一度合格している人であれば、

・一旦合格しているから、今一度チャレンジしてみよう

という人も増えるはずである。

さらには、今までチャレンジしたことのない人も

増えると思われる。

これにより、日本の情報セキュリティ全体のレベルが

上がっていくことにつながると思っている。

資格自体の魅力を上げるためにはどうすればいいのか、

我々も考える必要があるが、経産省や IPA には

今一度真摯に検討してほしいと切に願う、今日この頃であった。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | タグ: , , | コメントする