天の月

ソフトウェア開発をしていく上での悩み, 考えたこと, 学びを書いてきます(たまに関係ない雑記も)

7日間でハッキングをはじめる本 - Forkwell Library#75に参加してきた

https://forkwell.connpass.com/event/336992/

こちらのイベントに参加してきたので、会の様子と感想を書いていこうと思います。

会の概要

以下、イベントページから引用です。

サイバー攻撃の増加に伴い、セキュリティを専門にしないITエンジニアであってもサイバーセキュリティの学習をする機会が増えてきています。

本書は、机上の学習だけではなかなか実態が掴めないサイバーセキュリティについて、仮想的な環境で実際にサイバー攻撃を体験ができる「TryHackMe」というWebサービスを活用してセキュリティの「イロハ」を解説する一冊です。

今回は本書のポイントを、著者である 野溝のみぞう 氏にお話していただきます。

会の様子

講演

ハッキングの定義

Offensive Securityを本書ではハッキングと呼んでいるという話が最初にありました。

本書で実現したかったこと

基本的に前書きに書いてあるということですが、好奇心を大切にしてセキュリティを楽しみながら学べるような土台になる本になってほしいと思っているということでした。

のみぞうさんの経歴

のみぞうさん

  • デザイナー
  • セキュリティ商材のプリセールス
  • 研修講師
  • SESでの業務システム開発
  • セキュリティ商材のマーケター
  • カスタマーサクセス
  • セキュリティコンサルタント(泥臭く運用するような仕事が多い)

といった様々な経歴を歩んできているということでした。
こうした経歴がバックグラウンドにあることもあり、趣味として勉強を続けておくことが重要だと考えているそうで、特にセキュリティに関してはシステム開発をしていればどこかしらで出てくる話なのでゆるく続けていくことと相性が良いと考えているそうです。

セキュリティ分野の課題感

セキュリティは多種多様な分野があり、やることや学ぶべき分野がとにかく多いという話がありました。
そういう背景もあって、セキュリティに関しては「プラス人材」と呼ばれるような、スペシャリストではないけれどセキュリティのことが一定分野はわかるような人材が育成されることが推奨されているそうですが、このあたりの人材が全然いないことも課題感の一つだということです。

本書のコンセプト

広い分野だということもあり、浅く広く達成感を得て楽しみながらセキュリティを学べるような構成を目指しているというお話でした。

また、ロードマップ(全体像)を見せながら安全な環境を使って学ぶという「安心・安全」や環境構築が不要な「快適」さやビジュアルを多用することで生まれる「楽しさ」やスローリーディングがしやすいように余計なコメントを大量にいれることで「愉快に軽やかに」本が構成されているということです。

Q&A

講演の後はQ&Aがありました。以下、質問と回答を一問一答形式かつ常体で記載していきます。

AttackBoxを使わなかった理由は?

TryHackMeを卒業した後にもセキュリティに馴染み続けてほしいと思っていたため。

AIが普及していくとセキュリティはどのように変化していくと思われるか?

AIの専門家ではないので迂闊なことは言えないが、共存していく方向に進むとは思う。また、攻撃側の進化なのか防御側の進化なのかは変わってくる。

TryHackMeでのユーザー名を知りたい

探してみれば見つかると思う。

この本につながる本の執筆予定はあるか?

出版社次第だが、同人誌は書くと思う。

セキュリティ関連ツールを導入するとき情報システムについてわからない職種の人にどのように説明しているか?

素直に費用対効果を説明するしかないのでは?と思う。

プラットフォームレイヤとアプリレイヤではどちらから取り掛かるのがおすすめか?

開発経験があるならアプリレイヤから入るほうがいいと思うしインフラ系のバックグラウンドを持っている人はプラットフォームレイヤから入ったほうがいいとは思うが、別に好きなところからやれば良いと思う。

セキュリティ以外の趣味はあるのか?

謎解き

アプリ診断を無償ソフトウェアでやる場合の推しは?

自動診断ならZAP。書籍ではburp suiteのcommunity editionを推しているが、単に自分が慣れているかどうかの問題。

サイバーセキュリティ関連で役立つ資格は?

CISSP。のみぞうさん的にはネットワークスペシャリストがおすすめ。

多くのイベントから登壇依頼が来る秘訣は?

友達を増やす。

windowsを持っていなくても本書を進めることはできるか?

windows以外だと多少苦労するとは思うがやっている人はいる。

ペネトレーションテストは見積もりの幅がかなり大きいのだが一般的にはどうか?

どうか?と言われてもややコメントに困るが、会社によってやることが変わるので費用が変わるのはそうだと思う。

セキュリティ対応は手動より自動化で行ったうえでピンポイントで手動対応するようなイメージか?

そんなイメージだと思う。

本書の次に長期的な趣味としてセキュリティを学ぶために必要なことは?

勉強会参加していくこと。

パケットインジェクションやArp SpoofingはTryHackMeに含まれているのか?

わからない。

セキュリティ関連用語を含む専門英語ってどうやって勉強すればいいのか?

自分が教えて欲しいくらい。

いぷしろんさんの本との差を知りたい

厚さが違う。というのは冗談で、ターゲットマシンをローカルで構築するかどうかの違いはある。

セキュリティを仕事にするために始めることは?

forkwellに登録することではないか笑 あとは人によってつながることも多くあるので、友達を増やすことが大事。

会全体を通した感想

発表に関してもQ&Aに関しても、良い意味で、これまでのセキュリティの本や登壇者に抱いていたようなイメージが覆されたイベントでした。

また、発表の本題からは逸れるのですが、イラスト含めスライドの見やすさがすごくて驚きました。