セキュリティエンジニアの教科書 の商品レビュー

セキュリティの知識を体系的に学ぶために手に取りました。 深く学ぶというより、これをきっかけに学習する分野を決めるための手立てになると思います。 あまりセキュリティについて腰を据えて学習する機会を持たなかったので、全16章に渡って基礎概要を学ぶのに有用でした。 これでセキュリティについては、十分ではなく、具体的な防衛手段や従事している業務にどう活かすべきかは別途知識を深める必要があると思います。

・対IPA資格教本(情報セキュリティマネジメント) 　- 問題集部分 　- より入門的な内容（ボリュームも軽い） 　- なので1つずつの技術的な解説は無し 　+ ベンダ情報 　+ 他のセキュリティ資格 ・どれだけの企業がBCPのシナリオに伝染病を入れていたんだろうか。想定通りに新型コロナに対処できているんだろうか。 ・Chapter 14 「日本だと機密性偏重」そうなの？可用性偏重と思ってたけど銀行だけ？

セキュアデザインセンター著ということで、やや教科書的な内容である。 セキュリティエンジニアの業務は多岐にわたる。1. セキュリティ管理体制や意思決定支援、2.セキュリティを考慮したシステム設計、3.運用時のセキュリティ対応、4.サイバー攻撃に対する調査・診断。企画構想、設計開発、運用管理の全ステージに渡ってセキュリティエンジニアが必要になる。 「情報資産の価値×脅威値×脆弱性値＝リスク値」という式で示すように、それぞれのシステムに対してリスクレベルを設定し、それにに応じてリスクを回避、低減、受容、移転のいずれかの対応を検討する。 ー以下、メモー 具体的なケースからリスクをひと通り洗い出すのがセキュリティを学ぶのにいい。破りにいく側から勉強するのも有効だろう。詳細な技術を理解するのは負荷が大きく、一般的な理解に止めるのが吉。

先に読んだ「ネットワークエンジニアの教科書」が割とよかったので、同じシリーズということで読んでみた。シングルサインオンの説明がより詳細だとさらによかった。以下、参考箇所。 　ほとんどのシステムは、IDとパスワードで利用者本人を特定し、そのIDがどんな権限で動作するのかの制御を行っています。 　前者の利用者本人を特定する行為を「認証(Authentication)」と呼びます。認証はIDとパスワードによって行われることが一般的ですが、最近はワンタイムパスワードや生体認証などほかの認証方法で本人を特定する仕組みも普及しています。 　一方、後者の認証された利用者に対してアクセス権限での制御を行うことを「認可（Authorization）」と呼びます。アクセス権限は部署や役職、プロジェクト単位などで適切にコントロールすることで情報漏えいなどのリスクを下げる効果があります。 シングルサインオンを実現する技術 ・リバースプロキシ方式 ・代理認証方式 ・サーバーエージェント方式 ・クライアントエージェント方式 ・フェデレーション方式 そもそも、Webアプリケーションの脆弱性は、BOFにおける開発者側の単純なミスというよりも、Webアプリケーションの持つプログラミングの構造的な問題に起因しています。

　マネジメント寄りの視点で書かれている。セキュリティに関するトピックスを広く浅く網羅しており、セキュリティ関連のこういった本では忘れられがちな物理的セキュリティもちゃんと取り扱っている。ただ、マネジメント寄りとはいっても技術的な内容の方が多く、また、広く浅くなのでもう一歩踏み込んだ内容が欲しいところ。