セキュリティのアレ(21) ~情報に振り回されないために新入社員が知っておくべきこと~を見てみた&セキュリティ情報とはをまとめてみた。
どもどもにゃんたくです。
今週頑張ればもう目の前にはGWが待っていますね!!!
そんな僕は絶賛鼻水が止まらない状態でブログを書いております。笑
さてさて今回はこちら、
セキュリティのアレ(21)『情報に振り回されないために新入社員が知っておくべきこと』を見てみました。
実は最近、社会人2年目に僕もなりまして、1年目の新入社員と交流する機会が割りと増えてきています。
恥ずかしながら、SNSの使い方なんかを新入社員の前でお話させていただいたりもしました。
その中で僕は、今回のセキュリティのアレの題名にもあります、新入社員が知っておくべきこと、として『責任』の話をしました。
社会人になる前までは、なにか問題を起こしても「学生だから」許されていた事もあると思うんです。
でも社会人になり問題を起こすと、個人の責任だけではなく、会社の責任にもなり、自分以外の誰かが頭を下げなくてならなくなります。最終的には社長に頭を下げさせてしまうこともあると思うのです。
だからこそ、その問題の内容が「SNSで会社の秘密情報をつぶやいてしまった」や「SNSで何の気なしに載せた写真の中に大事な書類が写ってしまっていた」という問題であったとしたら、SNSの使い方さえしっかりわかっていれば未然に防げるのではないか(全部が全部ではないですよ)と思い、使い方や責任の話をさせていただきました。
って!僕の話よりも今回の内容ですよね!!!
今回はいわゆる情報収集術についてのお話。
セキュリティ情報をなぜ集めるのか。そして、どう集めるのか。というお話でした。
まずはセキュリティ情報とは一体何なのでしょうか。
今回は大きく3つに分類されていました。
☆脅威情報
これは最近であればランサムウェアやDDos攻撃等の情報ということです。
IPAが10大脅威(情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構)というものを出していましたよね。こういう内容についてです。
☆ソフトウェアやサービスの脆弱性について
OSやソフトウェアで見つかった脆弱性、製品(サーバーやルーター)で発見された脆弱性、パッチ情報等の情報のことです。例えばこんなニュース(【セキュリティ ニュース】Windows版「QuickTime」にゼロデイ脆弱性 - 修正見込みなくアンインストールを(1ページ目 / 全1ページ):Security NEXT)のことです。
☆実際の事故等のニュース
これは実際に情報流出、情報漏えいのニュースや被害にあった(被害を与えてしまった)会社のリリース文等のことです。
最近のニュースで言うとこういうことです。
ニュース - J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を:ITpro
J-WAVEのリリース文→J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ : J-WAVE 81.3 FM RADIO
この3つの情報はリンクしているということです。
では上記でもあげたJ-WAVEのニュースについて見てみましょう。
☆実際のニュース
ニュース - J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を:ITpro
↓(原因は実際のサービスの脆弱性である)
☆サービスの脆弱性
プレスリリース - ケータイキット for Movable Typeの脆弱性について | アイデアマンズ株式会社
↓(どんな攻撃に悪用されるのか)
☆脅威情報
OSコマンドインジェクションである。
日テレで43万件の個人情報流出--攻撃に使われた「OSコマンドインジェクション」とは? - CNET Japan(※同時期に日テレでもOSコマンドインジェクションで情報流出が発生しました。今回はこちらの記事を載せさせていただきました)
ここまで読むと全てがリンクしていることがわかると思います。
では、なぜ集めるのか、どう集めるのか。
僕は社会人2年目(配属されてからだと10ヶ月目になります)というまぁ比較的新入社員に近い立場なのでその視点でまとめてみました。ちなみに今回は「セキュリティ情報」についてですが、これを自分の環境に置き換えて考えてみてください。
▼なぜ集めるのか
まずは業務に必要だから、です。
僕の場合、配属先がセキュリティ部門だったため、セキュリティの勉強にもなりますし、実際の業務において知っておくべきこと、だからです。
では、僕のようにセキュリティ部門じゃない人は集めなくてもいいのでしょうか。
例えばWebアプリケーションを開発する部門であれば、似たようなWebアプリケーションには脆弱性がないのか?あった場合どう対策すればいいかとか、営業であれば、自社で扱っていない他社の似たような製品で脆弱性が見つかった時に、自社の製品は同じような問題が起こらないか、お客さんから不安の声を聞いた時に対応できるか、、等考えられるポイントはいくつかあると思います。
▼どう集めるのか
上記でもいいましたが、僕は配属先がセキュリティ部門だったため、セキュリティニュースをどう集めようか非常に悩んだ時期がありました。(そもそもネットワークの知識もほぼ無かったですからね)
正直どこからはじめていいかわからなかったので、まずはTwitterでセキュリティ業界の著名人の方々をとにかくフォローし、リスト化しました。
そしてその著名人の方々がRTしたり、コメントしたりするセキュリティニュースサイトを片っ端からブラウザでお気に入りに登録し、そのサイトを見るようにしました。
もともとTwitter大好き人間でしたのでTweetを見るのは嫌いではなかったのが功を奏したところはありましたね。
この2つの作業はいまだに続けています。
では集めた情報はどうしているか。
まずは読んで興味のあったもの、世間に知ってもらいたいものは、微力ながら自分のTwitterで発信しています。誰か一人のためにでもなれればいいなと思って発信しているつもりです。
そして集めた情報の中でわからない単語やフレーズがあれば調べるといったこともしていますね。
ただ、正直沢山記事がありすぎて、読むだけで1,2時間使ってしまう時もあります。
まだまだ時間の使い方は僕自身できていないなぁと反省はしています。
このへんうまくなりたいものですねΣ(´∀`;)
具体的に見たほうががいいサイト、著名人の方々のブログに付いて触れてもいいのですが、これも自分に合う合わないあると思うのであえて載せません。
僕もまだまだ情報収集に関しては素人同然ですので、ぜひとも読んでみたほうがいいものや収集方法など教えていただければな、と思っています。
様々な「情報」が溢れている情報社会。
そこから情報を取捨選択をするって大変ですけど、割りと面白いんじゃないかなーって感じていますよ。
今回もここまで読んでいただきありがとうございました。
あ!!!GW近いのでぜひこちらをGW前、そしてGW後に読んでほしいなと思います!
ではでは!!!ヽ(・ω・)/ズコー