Software Design 2023年10月号感想

はじめに

Software Design Advent Calendar 2023 17日目の記事です。
Software Design 2023年10月号を読んで気になったキーワードや所感を記載していきます。

第1特集 今さら聞けないネットワークセキュリティ 攻撃手法や防御システムの基本を押さえて守りを固めよう

普段からセキュリティのアップデートについてキャッチアップするようにしているが、あくまで点としての情報なのでこういう特集はありがたい。

• 2つのネットワーク形態、オープンネットワークとクローズドネットワーク
  • クローズドでも不正な持ち出しや内部犯などに目を光らせる
  • 企業内のネットワークはオープンとクローズドが混在している

情報セキュリティにおける7大要素と対策例の表は大事。
以下の要素は、気にするべき観点として備えていたが要素に含まれるものであることを忘れていたので反省。

• 真正性（本当にアクセスすべき人かどうかを担保）
• 責任追及性（トレーサビリティ）
• 否認防止（証拠を残して否認させない）

標的型攻撃を整理・監視するためのフレームワーク「サイバーキルチェーン」
7つのステップを順に紹介。図と説明、補足するようなコラムがあってわかりやすい。
（C&Cと聞くとカレー屋さんを思い浮かべるのは私だけではないはず）
図8の元ネタとなったトレンドマイクロさんのサイトはじめて知った。他のコンテンツ含めて概要を掴むのによさそう。

• サイバー攻撃への対策
  • 多層防御
    • 入口対策
    • 内部対策
    • 出口対策

ファイアウォールで防げる攻撃、防げない攻撃がある。ファイアウォールの特徴を把握した上で対策が必要。ファイアウォール入れとけば安心ではない。
ファイアウォール、IPS、IDSの説明ありがたい。

• IPS：不正な動きを遮断
• IDS：不審な動きを検知
  • IDSでも通信の遮断機能を有している製品もある

WAFを登場させるまでの話の展開がよい。HTTPプロトコルでやりとりされるリクエストラインやヘッダなどをパースして分析する。
SASE（サシー）とXDR。XDRが検知・収集したテレメトリとリスク評価情報はSASEのポリシー強化に活用できる。自分の周りではXDRを最近よく聞く。

• CSAB

VPN機器を狙った攻撃はよく聞くようになってきた。VPNだからって安心ではない。
記事にある4つの対策を検討していく。VPNに多要素認証という観点抜けてた。
暗号化の部分は基礎的な説明にしますと記載してるけど、分かりやすく丁寧な解説。

コンテナセキュリティのRASP気になる。NISTのガイドも把握しておく。
最後の要件をまとめた表が最高。

第2特集 速習HTTP/3 次世代プロトコルに対応するための知識を身につけよう

時代に追いついてないのでHTTP/3特集に感謝。2022年6月にHTTP/3が標準化。もう1年以上経ってるのか。HTTPの歴史ありがたい。

• HOL Blocking
• HPACK
• プロトコル硬直化

HTTP/3では以下をQCUIKに任せている

• HTTP/2が持っていたストリームによる多重化
• TCPが担っていたコネクション管理

現代ではサーバプッシュよりも103 Early Hintsが有用として期待されている。パフォーマンス向上に繋がるかも。

2つ目の記事もHTTP/3について異なる表現で解説されていて理解がより補強される。
DCIDとSCIDでセッション維持やサーバへのルーティングなどの挙動を実現。図4のHOL Blockingの解消がわかりやすい。HTTP/3は暗号化必須、2023年7月現在はTLS1.3のみサポートしている。
ブラウザ側でHTTP/3で接続すべきかどうかを判断する2点

• Alt-Svcヘッダ
• DNSのHTTPSリソースレコード

UDP Flood攻撃について少し前にニュースで見かけた。
HTTP/3のメリデメとまとめが今時点の取るべきスタンスの参考になった。
3つ目の記事、実践HTTP/3は今までの記事を踏まえてより具体的な実装に踏み込んだ内容。これを読みながらnginxでHTTP/3を試してみよう。注釈の数が多くてわくわくする。

一般記事、広告記事、連載

気になる記事だらけだけど、いくつか抜粋

［特別企画］熟考クラウドセキュリティ「CNAPP」の実現のために

Cなんとか系で始まる用語が多くて混乱しているので、この記事で整理できる。
CSPM, CWPP, CIEMなどを組み合わせた形をCNAPP（シーナップ）と呼ぶ
cloudbaseさんが紹介されていた。公式サイト
iDOperationは利用した経験あり。国産サービスは長く続いて欲しいと思う。

MLOpsのすすめ

第三回は方針策定とツール選定
ツールを使うことよりも先に、ツールを使う目的を明確にすることが最優先である。
モデルの比較、評価指標を定める、開発と運用のワークフローを作る。

そこそこの正解率でよいレベルで実現したいものがあれば積極的にMLOpsを採用していきたい。
パっと思いつくのは、システムのパフォーマンスチューニングとトラブルシュート。
SaaSもあるので、コスパを考えて検討していきたい。

位置情報エンジニアリングのすすめ

第三回は位置情報に触れる、加工する
QGISは、地理空間情報データの閲覧、編集、分析ができるOSSのGISアプリ。

区ごとの学校の数、数によってポリゴンを色分けしているのがおもしろい。
ツールの具体的な使い方が解説されていると理解しやすい。
QGISを使ってなにか面白いことできないだろうか。

全体的な感想

特集のネットワークセキュリティとHTTP/3は豪華な2本立てという感じがした。ネットワークセキュリティは、基本的なところから始まり、徐々に深掘りしていく展開は分かりやすかった。HTTP/3はゆるふわ理解だったので、最も収穫が多かった。

生成系AIの記事が増えている印象がある。進歩するスピードが早いため、こういう雑誌でのまとめが参考になる。その一方で新たなアップデートにより、古いものとなる可能性もある。継続的にチェックしていこう。