導入としてよかった
この本を買ったのは2年くらい前になります。
今の会社の面接中の時期だったかと思います。
当時はどんな気持ちで読んでいたかわかりませんが、最近読み直してみたら結構面白かったです。
構成が以下の3つのように感じたので、それぞれ書いていきます。
- 脆弱性の紹介
- 脆弱性の解説
- 社会との関わり
1.脆弱性の紹介
脆弱性についてのことが大方ざっくり書いてあります。
生活との関わり・作られ方・管理のされ方などです。
開発のライフサイクルが書いてあるのは面白いなと思いました。
筆者の方がIPAに脆弱性報告をした時の体験談も書いてあります。
この箇所は私もよくわかって、初回報告時は記載内容に問題が無いか文章やエビデンスを何度も見直したものです。
あまりにも見直し、修正を加えたので、IPAの脆弱性フォームがセッションタイムアウトしました。
操作していても1時間くらいでタイムアウトするのを知っているのは数少ないのでは?
2.脆弱性の解説
バッファオーバーフロー、XSS、SQLインジェクションが例として解説がされています。
バッファオーバーフローの項目で、「ソースコード」とは?や「プログラミング」とは?と最初に書いてあるのには笑いました。
そこから始まる人には、バッファオーバーフローは厳しいのでは。
説明はとても細かく、技術の経緯から書いてあるので、読んでいて面白し、理解しやすいです。
当時のわたしはせっかちだったので、読み飛ばした気がします。
ゆっくり検証しながらやれば、どちらもある程度理解できると思います。
この本の良いところは、脆弱性の種類が絞られていることだと思います。
低レイヤの脆弱性やWebの脆弱性はこの本で紹介されているもの以外もたくさんあります。
ですが、それらを列挙されてしまうと、メンタル的に参ります。
(心理的な要素もあるようですが)もういいやって気持ちになってしまいます。
ですが、「この本を読む!取り組む!」とすると3種類の脆弱性だけに絞れます。
3つしかない!これなら、初心者でもできそう!
となるのが良いです。
抜粋された3つもメジャーなものなので、応用が効くのも良いです。
3.社会との関わり
実社会についての関わりも触れられていました。
バグバウンティができたのは、裏での脆弱性のやりとりを防ぐためというのは何度見てもしびれますね。
この範囲のテーマは「戦場」で書かれている気がします。
脆弱性は「攻撃手段」なので、その手段を使う場といったら「戦場」なのです。
これを見ると、普段のセキュリティへの取り組み方が変わってくるのではないでしょうか。
ほぼ趣味の延長でやっているセキュリティ技術が、攻撃手段を減らすことにつながるというのはなんともロマンがあるものです。
この本1冊を通して、本のタイトルどおり「サイバー攻撃」というのが体感できた気がします。
企業的な「情報セキュリティの管理」や「インシデント管理」は記載されてない(はず)ので、個人として読むには気が楽です。
まとめ
セキュリティに興味があるなら、とりあえずこの本に取り組む!
終わりに
この本の筆者の方、歳が近い(と思う)のに本出したりBlack Hatで講演したり、コミュニティの運営したりすごいなぁと思います。
私が作ったコミュニティも、一瞬「CTF for Girlsを参考にしてみようかな」と思った時期もありましたが、活動内容がよくわからなかったのでそのまま終わった記憶があります。
しみじみすごいなぁ・・・と思ってしまいますが、よく考えてみると私はセキュリティに出会ってから4~5年なので焦ることではないのかな?と思いました。
コメント