大角 祐介

大きなニュースになるセキュリティ事故は「やられてから対策を講じる」ケースが多いのですが、もちろんその逆に「やられる前に先回りして対策をしておく」のが基本です。

近年は、セキュリティ対策のため多くのフレームワークがあり、それに従った対策を行えば誤った施策をしてしまうことはまずありません。ただ、それよりも一歩進んで、最新の攻撃者の動向を調べて「こういう攻撃が来るのではないか」と先んじて対策を打つこともあります。

予想して講じておいた対策...

が、後に攻撃を防ぐ結果となったときには、「してやったり」と痛快に感じます。

セキュリティの仕事の中でも、脆弱性診断など監査まわりの仕事は、基本的に人のミスを探すいわば「粗探し」をする作業です。そのため現場の社員との関係には常に気を使っています。

誰でもミスを指摘されればムッとするものですし、そこでことさら上から目線で「修正しなさい」などと言ってしまえば人間関係は壊れてしまいます。その一方で、セキュリティは譲れない線もありますから、どうしても修正してもらうために様々なコミュニケーションが必要です。

逆にこちら...

のミスを指摘されてしまうなど、なかなか人間関係がうまくいかない場合もあります。「ああ、こういう言い方をすれば良かったな」など、寝る前にふと考えてしまうことは多いです。 セキュリティの仕事で一番苦労するのは、意外に思われるかもしれませんが、このような人間関係です。

大規模なインシデント(セキュリティ事故)が発生した際などは、素早い対策が必要となります。しかし、そのような大規模な事故のときほど、人間はあわてて行動して誤った判断や誤ったミスを犯しがちです。

「これはまずいな」という一報が入れば、まずは落ち着いて深呼吸をします。「慌てるな、慌てるな」と自分に言い聞かせます。私の先輩も、何か事故が起きると第一声は必ず「ま、慌てないでね」でした。急ぎすぎて余計に事態を悪化させてしまった事例は、古今東西多く...

あります。 もちろんこれは、インシデントを楽観視しろというわけではありません。大規模であるということを冷静に判断し、素早い対応が必要だと分析した上で、しかし実際の行動は慎重に……というのが重要な心構えだと思います。

私がセキュリティ初心者の方にお勧めの本を聞かれたときには、まずこちらを紹介しています。

セキュリティの本はどうしても小難しいものが多く、途中で挫折してしまう人も多いと思います。そのような中で、この本はとても読みやすく平易な文章で書かれており、その一方で決して正確さを犠牲にしていません。難しい概念も含むセキュリティ技術が、非常に分かりやすく書かれています。

前提知識はほとんど不要で、ふだんからパソコンでインターネットを使い、メールやS...

NSを利用している程度の知識があれば十分です。お話的な読み物から、コマンド操作の手引きまで丁寧に紹介されており、自然と知識が身につくようになっている優れた本です。 この本でセキュリティに興味を持てれば、その後は自分が特に興味を向けたいセキュリティ分野の本へ進んで行くと良いでしょう。