Hi, there. 本日は、セキュリティ資格の有名どころであるISC2とGIACの資格について、両方を取得した私の独自の視点でそれぞれの特徴を記します。 “知識体系汎用型の資格”と“専門性特化型の資格”の違いを整理する 情報セキュリティの資格を調べていると、かなり高い確率で目に入ってくるのがISC2とGIACです。どちらも業界内で高い認知度を持ち、一定の信頼を集めている資格群ですが、実際にはその性格はかなり異なります。 一見すると、どちらも「セキュリティの上位資格」という印象でひとまとめにされがちです。けれども、少し踏み込んで見ると、ISC2はセキュリティを広く体系的に捉えるための資格群であり、GIACは特定領域の専門性を鋭く示すための資格群だと言えます。 資格の知名度だけで選ぶと、後から「思っていたものと違った」と感じることがあります。だからこそ大事なのは、どちらが上かではなく、どちらが自分の目指すキャリアに合っているかです。 ISC2は“全体を見られる人”の証明、GIACは“その分野を掘れる人”の証明 ISC2の資格は、セキュリティを組織的

Hi, there. 本日は、システムのセキュリティを高めるうえでの核となるセキュリティアーキテクチャについて考えます。 IoT組み込みデバイスのセキュリティ設計は、単に「TLS を使う」「暗号化する」「セキュアブートを有効化する」といった個別対策の寄せ集めでは成立しません。本当に問われるのは、どこを信頼の起点にするのか、どの層で何を防ぐのか、侵害されたときにどう検知し、どう回復するのかを、製造から廃棄まで一貫したアーキテクチャとして整理できているかです。NISTIR 8259A は IoT デバイスに求められる能力として、識別、構成、データ保護、論理アクセス制御、ソフトウェア更新、サイバーセキュリティ状態の可視化を整理しています。ETSI EN 303 645 も、既定パスワードの排除、脆弱性開示、更新、機微データ保護などを基礎要件として示しています。 本稿では、IoT組み込みデバイスにおける「最適なセキュリティアーキテクチャ」を、実装可能性を意識しながら整理します。対象は、MCU/RTOS 系の軽量機器から Linux 系のエッジ機器までを含

Hi, there. 本日は、以前投稿したOpenSCAPの記事について深堀し、具体的な手順をお伝えします。 OpenSCAPで“まず安全側のベースラインを一気に作る”手順 Linux のハードニングで最初に消耗しやすいのは、設定の難しさそのものより、項目数の多さです。SSH、パスワード、ファイル権限、不要サービス、監査設定、カーネルパラメータを一つずつ手で詰めるやり方は、どうしても時間がかかり、設定漏れや設定ゆれも起きやすい。そこで発想を変えて、最初から ベンチマーク準拠のベースラインへまとめて寄せる ために使いたいのが OpenSCAP です。Red Hat は OpenSCAP を、設定コンプライアンススキャン、脆弱性評価、レポート生成、remediation に使う仕組みとして案内しています。 この記事の主題は「監査して学ぶこと」ではありません。最短で、安全寄りの標準形を作ることです。手順としては、WSL の Ubuntu を整える → OpenSCAP を入れる → 利用可能なプロファイルを確認する → ベースラインとの差分を評価する

Hi, there. 今回は、Linux OSのハードニングについてのお話です。 Linux のハードニングに興味を持つと、多くの人が最初にぶつかるのは、「設定項目が多すぎる」という壁です。カーネルパラメータ、認証設定、監査ログ、ファイル権限、不要サービスの停止。手で一つずつ詰めていく方法は勉強にはなりますが、全体像を掴む前に疲れてしまいやすい。しかも、手作業にはどうしても設定漏れや設定ゆれ、単純な見落としが入り込みます。そこで役に立つのが OpenSCAP です。OpenSCAP は SCAP 準拠コンテンツを使ってシステムの設定評価やレポート生成を行うためのツール群として案内されており、RHEL では SCAP Security Guide のプロファイルを使った評価や remediation、Ansible Playbook や Bash スクリプトの生成まで公式に整備されています。 OpenSCAP の本当の価値は、単に「CIS に照らして監査すること」ではありません。むしろ大きな価値は、ベースライン構築を標準化できることにあります。どの

Hi, there. 今回は、資格試験や文書でよく見かけるセキュリティ用語の英単語をまとめました。 あえて当たり前な単語は外して、同じ意味で別の単語や紛らわしいものをピックアップしてます。 往々にして、セキュリティ系の試験問題は英語であることが大半であり、問題文には基本単語ではなく意味が似ていて紛らわしい単語が使われることも多いです。 そのような単語を読み違えてしまったばっかり減点しまうのは非常に勿体無い！ ということで、私の独断と偏見によりこれだけ知っておいたほうが良いだろうという単語を挙げておきます。 authentication 認証、本人・正規の主体かを確認する。 authorization 認可 authenticity 真正性 authority 権限 / 権威 / 権限主体 defect 欠陥、設計・実装上の不備 compromise 侵害する / 侵害された状態。一般英語の「妥協」ではない。 legitimate 正当な / 正規の。legitimate user でよく出る。 obfuscate 難読化する。 eavesd

Hi, there. 本日は、Wixでサイトを作成している際に私が実際に直面した現象と、その解決方法について紹介します。同じような症状で困っている方の参考になれば幸いです。 発生していた現象 発生していたのは、サイトのヘッダー上部に謎の空白が表示されるという現象です。 しかもこの空白は、モバイル版の公開サイトでのみ発生しており、Wixのエディタ上やプレビュー画面では確認できませんでした。そのため、最初は原因がまったく分からず、かなり悩まされました。 原因 結論から言うと、原因はGoogle AdSense の自動広告設定にありました。 具体的には、自動広告の「ヘッダー上部に表示される既存のAdSense広告」が影響していました。 Google AdSente上で自動広告を設定すると、この表示がデフォルトで有効になっているため、Wix上でGoogle AdSenseを設定した結果今回の現象が発生するようになったということです。やっかいなのは、この広告枠がデスクトップ表示やエディタ、プレビューでは見えない点です。実際にAdSenseの審査が完了し、公

Hi, there. 日々のデスクワーク、少しでも快適にしたいですよね。 今回は、エンジニアの私が「これなしでは仕事にならない」と痛感している2つの愛用デバイスをご紹介します。 LG 27.6インチ 16:18 DualUpモニター 縦長大画面がもたらす圧倒的解放感 まず一つ目は、LGのDualUpモニターです。これを導入してから、資料作成やレビューの効率が劇的に上がりました。 ここが最高 「巨大なExcel」も一画面で攻略 開発に関わるPMやコンサルは、なぜか巨大なExcelが大好きですよね。「そもそもそんなExcel作るなよ」という本音はさておき、業務上避けては通れません。このモニターなら、そんな広大なシートもかなりの範囲を一度に表示できるので、スクロールのストレスが激減しました。 マルチタスクの最適解 画面を上下に分割して「デュアルモニター」として使えるのが非常に便利です。 Web会議をしながら手元で資料を作成したり、レビュー時に2つの資料を並べて見比べたりすることができ、画面を切り替える手間をなくすことができます。 気になる点 価格設定

Hi, there. 本日は、筆者がおすすめするISC2資格のCPE獲得方法についてお話します。 ――維持のためだけでなく、実力にもつながるCPEの積み上げ方 ISC2資格を取得したあと、次に気になってくるのがCPEの獲得ではないでしょうか。せっかく資格を取っても、維持のために必要なCPEが思うように集まらず、少しずつ負担に感じてしまうことがあります。 しかし実際には、CPEは「特別なこと」をしなければ貯まらないものではありません。日々の学習、ちょっとした隙間時間、業界イベントへの参加などを上手く重ねていくだけでも、無理なく積み上げていくことができます。むしろ、実力を伸ばしながら自然に貯まっていく、という感覚のほうが近いかもしれません。 本記事では、筆者が実際に取り組んできたCPEの貯め方をもとに、ISC2資格のCPE獲得の考え方をご紹介します。 実力を身につけつつCPEを稼ぐ Hack The Box（HTB） まず、実力養成とCPE獲得を両立しやすいものとして挙げたいのが、Hack The Boxです。 ラボの難易度によって獲得できるポイント

Hi, there. 本日は、日本国内でセキュリティ業界に飛び込もうとしている、あるいは飛び込んだばかりの新人向けに私の独断と偏見によるおすす資格をご紹介します。 結論から申し上げますと、以下2つです。 ・基本情報技術者試験（通称FE） ・Certified in Cybersecurity（通称CC） 理由はシンプルです。 FEでは、IT業界の現場で頻繁に使われる基本用語が数多く出題されます。現場で交わされる会話や議論を正しく理解するためにも押さえておく価値があります。 また、CCのトレーニングには、セキュリティの基本原理・原則が体系的に整理されており、実務にも直結しやすい内容です。加えて、以下のプログラムに参加すれば無料で受講できます。なお、資格認定は有料です。 CC資格100万人無償提供プログラム One Million Certified in Cybersecurity https://www.isc2.org/landing/1MCC/Japanese これらの資格は難易度も低く、情報系学部の出身でない方でも容易に取得できます。...