はてなブックマーク

Cyber-sec+ Advent Calendar 2024の12/19担当のニキヌスです。 今回はライトに、せっかく年末なので1年を振り返るものにします。 私にとってのこの1年はズバリ「SNS活動」です。 この活動を通して、自分の考えや気持ちが大きく変わった話をします。 井の中のニキヌス kawaiiニキには旅をさせよ SNS活動から見た世界 セキュリティ業界地図 ベンダ村と事業会社村 情報発信の価値と魔物 出会いは人を変化させる おわりに 井の中のニキヌス 私はこれまで10年間、金融JTCのセキュリティマネジメントをしてきました。 10年も働いて色んな資格を取って、さぞ色々知ってるんでしょうね！と思うでしょう。 でも、SNS活動を始める前は全くの井の中の蛙でした。 外部との接点はセキュリティベンダやコンサルとの打ち合わせくらい。 事業会社間のやりとりは同業他社と時々話す程度。 どれく

この記事は、元々興味をもって調べていた「脅威モデリング」について、皆さんの講演を聞いたりTMC Tokyo × ZANSIN（以下、長いのでtmctokyoと記載）を体験した中で「つまりこういうものか」という一定の腹落ちを得たのでメモ書きするもの。 普段ブログで書いているHow to系の話と違い、個人の感想レベルだし、今そう思っているだけでまた考えが変わるかもしれない。 けど、tmctokyoという素晴らしいイベントを通じて、自分が感じ考えたことを今の断面として書いておきたい。 threatmodeling.connpass.com TMC Tokyo × ZANSINとは 結局、脅威モデリングとは何なのか 何の図を使えばいいのか どう脅威を洗い出すのか どう優先付けするのか 脅威モデリングとは何なのか TMC Tokyo × ZANSINとは 一言でいえば脅威モデリングとハードニングを連

「今からお前にバブルを起こす」 「はじけるかどうかはお前次第だ」 これは私が約10年前、当時のボスから言われた言葉です。 その頃のボスは既に役員一歩手前。私はまだ20代。いわゆる主任クラスになったばかりでした。 普通なら話す機会すら限られる相手ですが、縁あって私はボス直下に配属されました。 そして、ボスの長い社会人生活の中で、初めて直接指導する年の離れた若者が私でした。 だからこそ、扱い方がよくわからん若者の本気を引き出すために、あえて明確なアメを差し出したのが冒頭の言葉です。 それから私は何度も飛び級し、何百人も追い抜いて社内最速で管理職になりましたとさ！ ……と、こんな話を飲みの席でドヤられても酒がマズくなるというもの。 そもそも転職や副業が盛んな中、一つの会社で出世を目指す時代でもなくなりました。 でもまぁここは私のブログですし、案外そういう話に興味がある人がいる気もするので今回は振

JTCのセキュリティマネージャのニキヌスです。 これまでの記事で事業会社におけるセキュリティ業務を紹介（※）してきました。 今回は、地味だが大変な「相談対応」の話です。 私が所属するセキュリティチームには、毎日、約2000人のIT部門メンバから大量の相談が届きます。 これを4～5名で対応していますが、中にはそちらに手を取られて自分のプロジェクトが進められなくなったり、労働時間が伸びてしまったりする人もいます。 相談をどう効率よくうまく捌くか？は意外と文章化されていないように思うので、これまでに身につけた自分のやり方を書いてみます。 セキュリティ相談とは 相談のゴール 相談対応の流れ 1. 相談内容の把握 2. 責任範囲の確認 3. 全体像の把握 4. 脳内簡易脅威モデリング 5. 論点の整理 6. 調整～回答 さいごに （余談）セキュリティ相談 今昔物語 ※セキュリティ業務に関する過去記事

最近ライトなテーマが続きました。 今回はセキュリティマネージャが本領発揮する「セキュリティ戦略策定」について書きます。 NRI Secure Insight 2022によると、日本企業で最も不足しているセキュリティ人材は「戦略・企画を策定する人」だそうです。 この記事の内容が「ベストな正しい方法」かは分かりませんが、一応やったことがある立場として自分なりの手法を書いてみます。 ＮＲＩセキュアテクノロジーズ株式会社 NRI Secure Insight 2022 セキュリティ戦略とは 戦略策定に取り組む前に いつ作るのか 誰が誰と作るのか 戦略策定の進め方 ステップ１．検討のタネを集める ステップ２．トップダウンで柱を仮決めする ステップ３．タネをふるい分ける ステップ４．ボトムアップで柱を仮決めする ステップ５．計画を具体化する ステップ６．合意する 余談：外部コンサルに任せられるのか？

突然ですが、今回は中途採用の面接官目線の話を書きます。 私は事業会社のセキュリティマネージャとして新しい仲間を増やすべく、どうすればより良い採用に繋げられるのか日々めちゃくちゃ悩んで試行錯誤しています。 この記事を書くにあたり、人事や採用のプロが指南する「面接の掘り下げ方」系の情報を調べました。 その多くは私が普段見ている観点と同じものでしたが、一部、「私ならこうしている」という観点もあるように思ったので書いてみます。 なお、当記事は私の所属組織の面接手法を記載するものではなく、私が個人的に意識していることです。 面接の目的 自己紹介タイム 質問タイム 鉄板系 掘り下げ系 変化球系 応募者からの質問タイム おわりに 面接の目的 ごく普通の話ですが、採用面接には3つの目的があると思います。 企業が応募者のスキルを評価する 企業と応募者間の価値観や希望のミスマッチを防ぐ 企業が応募者に評価して

前回の記事で、セキュリティマネージャとして「ソフトスキル、コンピテンシ、性質」が重要と書きました。 「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。 「性質」とは、継続的に勉強できるか、素直さとしたたかさをうまく両立できるか、他部門と揉めた時の押し引きに強いか、何か成し遂げられなかった時にへこたれないか、いざという時に人前で指揮することが好きか、みたいな明確に定義できないメンタル面の部分が多いにあります。 上記のうち研修や書籍でハウツーが紹介されているテーマも多々ありますが、「他部門と揉めた時の押し引きに強いか」はあまり見たことないかもと思い、自分の経験と思いを分解してみました。 この記事は、ある意味では腹の黒いところを見せるような、読み手にとっては嫌悪感を持つ内容かもしれません。 それでも、こういう情報を

Xでセキュリティのキャリアについて何名かの方とやりとりする機会があったので、私が名乗っている「セキュリティマネージャ」とは何なのか。を書いてみることにしました。 前置き 一般的なセキュリティマネージャの定義 セキュリティマネージャのお仕事 必要なスキル 3. 組織のビジネス、システム環境や文化に関する知識 4. ソフトスキル、コンピテンシ、性質 2. セキュリティのマネジメントに関するスキル 1. ITとセキュリティの技術に関するスキル セキュリティマネージャというキャリア 今、技術的に未経験なんですが 今、セキュリティエンジニアの道にいるんですが さいごに 前置き 最初にお断りとして、セキュリティマネジメントの姿は組織によって異なります。 その組織の種類（事業会社かセキュリティベンダか等）、システムの規模、セキュリティ担当の人員数、予算、経営層のセキュリティ意識など様々な要素により、組織

CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます) なお、本ブログでは、実際のセキュリティ運用におけるCVSSの有用性や他の情報(KEV、SSVC、EPSSなど)との組み合わせみたいな話には踏み込みません。あくまでCVSS v4.0の理解に集中します。 今回はFIRSTのspecification documentとFAQから学びます。 CVSSとは？（割愛） CVSSの構成 v3.1から何が変わったのか？ 各メトリクスの定義 基本メトリックグループ（Base Metric Group） 悪用可能性メトリクス（Exploitability Metrics) 影響メトリクス(Impact Metrics) 脅威メトリックグループ(Threat

これまでに書いた記事の一覧です。 複数回に分けた記事は「その1」へのリンクのみ貼ります。 このブログの説明はこちら 2023年10月12日以前の記事はnoteへジャンプします。 セキュリティマネージャのお仕事など 「事業会社のセキュリティマネージャ」というキャリア セキュリティ担当の喧嘩術 セキュリティマネージャによる中途採用面接の胸の内 「セキュリティ戦略」の作り方 数千件のセキュリティ相談から学んだ対応方法 とあるセキュリティマネージャが謎のバブルで出世した話 ガイドライン・ベストプラクティス要約 そもそもセキュリティ何すればいいの？ サイバーセキュリティ経営ガイドライン v3.0 NIST CSF 2.0 NIST SP800-53 rev.5, 53B セキュリティ対応組織の教科書 第3.1版 マルウェア・ランサムウェア対策について学びたい #StopRansomware Guid

23年3月末から勉強時間をガイドライン類の読み込み＆ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。 なんで読み始めたの？ どれだけ何を読んだの？ 色々読んでどうだった？ 1. 自分の発言に根拠と自信を持てる 2. 未経験の技術テーマでも取り扱いやすくなる 3.トレンドやビッグテーマが分かる おすすめのガイドライン類は？ なんで読み始めたの？ 今更の自己紹介ですが、私は所属組織の中で3 Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。 プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の

NIST CSF 2.0のドラフト版を読みました。 何の本？ 構成は？ 本書の日本語版 主な変更点 フレームワーク・コアの新旧比較 https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-20/ipd 何の本？ NISTが出している、組織が取り組むべきサイバーセキュリティ対策をまとめたフレームワークです。 よくISMSと比較されるような位置づけのドキュメントです。 最初は2014年に、次に2018年にv1.1が出て、今回5年ぶりにv2.0のドラフトが出ています。現在は11月4日までご意見募集の段階です。 構成は？ 本紙（PDF）とリファレンスツール（Excel）で構成されています。 本紙はCSFの使い方や考え方の記載が中心で、具体的な「やること」は全てExcel側にあります。 このExcelの一覧を「フレームワ