ホワイトハッカー
最近この本が面白そうだなって思って購入して読んでみました。
ホワイトハッカーの教科書
ざっと読んでみたので、大事かなっていうのを残しておきます。
※対象レベルは初級レベルです。
概要
主にセキュリティに関する内容(と思って読んでます)。セキュリティに関しては一般的な知識を知っておくだけでも大分違います。
ホワイトハッカーとは?
セキュリティを専門とし、法令遵守できる知識を持ち、倫理観を持った上で善良な方面に専門スキルを活かすハッカーを指す。
ホワイトハッカーという職業があるわけではなく、ある一定の評価をされたりコミュニティへの貢献などで評価された場合に得る資格
セキュリティエンジニアの延長線上にあるもの?ぐらいの認識です。
本書の大まかな内容について
どうしたらホワイトハッカーやセキュリティエンジニアとして成長していけるかというのを示している本。
具体的なセキュリティ問題などに触れているわけではなく、手法や知識、資格などを概念的に説明しているのがメインの内容。
個人的に読んでみて気になった箇所を抜粋して記載してく。
サイバー攻撃TOP10
単語だけでも知っておくべきかなと。個人標的と組織標的で結構内容が異なっており、
特に組織標的についてはなかなかわからない部分があるため個別に調べておいて損はなさそうです。
サイバー攻撃は流行りがあるようで、ある周期で変わっていくと思います。
| 個人標的 | 組織標的 |
|---|---|
| フィッシングによる個人情報などの詐取 | ランサムウェアによる被害 |
| ネット上の誹謗中傷・デマ | 標的型攻撃による機密情報の窃取 |
| メールやSMSでの金銭要求 | サプライチェーンの弱点を悪用した攻撃 |
| クレジットカード情報の不正利用 | テレワークなどのニューノーマルな働き方を狙った攻撃 |
| スマホ決済の不正利用 | 内部不正による情報漏洩 |
| 偽警告による詐欺 | 脆弱性対策上場の公開に伴う悪用増加 |
| 不正アプリによる被害 | ゼロデイ攻撃 |
| 個人情報の窃取 | ビジネスメール詐欺による金銭被害 |
| ネットバンキングの不正利用 | 予期せぬIT基盤の障害に伴う業務停止 |
| 不正ログイン | 不注意による情報漏洩などの被害 |
ホワイトハッカーの4条件
- 技術力
最も重要な部分。技術力というのは単なる実装の話ではなく、悪質な攻撃やそれらから防衛するための手法など知識の部分も指している。
紹介されているスキルとして以下のものがあった。細かい説明は省略いたしますが、聞いたことないものがあれば検索しておくのをお勧めします。
ネットワークスキル
コンピュータスキル
Linuxスキル
プログラミング
ハードウェアの知識
リバースエンジニアリング
デジタルフォレンジック
暗号技術の知識
データベーススキル
コンピュータサイエンス
ハッキングスキル
その他セキュリティスキル
物理的セキュリティ
ハッキングツールやセキュリティソフトウェアの知識
-
倫理
ここについては特質記載することはないです。そのまんまです。 -
法律
法律の知識については確かに重要。新しい法律はどんどん出てきているため、以下のようなものがある。
正直、中身は把握仕切るのは大変なため、普通のエンジニアであれば名前ぐらいを覚えておき、後で調べられるようにしておくで良い気がする。
サイバーセキュリティ基本法
不正アクセス行為の禁止等に関する法律
不正指令電磁的記録に関する罪
電気通信事業法
電波法
有線電気通信法
特定電子メールの送信の適正化等に関する法律
著作権法
電子計算機使用詐欺
電子計算損壊等業務妨害
名誉毀損
わいせつ物頒布
などなど。。。
- 素質
ここについてもエンジニアとして求められるようなものが列挙されているだけなので割愛。
所感
ざっと読んだ感じはホワイトハッカー(セキュリティエンジニア)としてのロードマップのようなものが書かれているため、
世間一般でのセキュリティについての考え方や捉え方を知るには良さそうな本。
細かいサイバー攻撃手法についてなどを記載しているわけではないため注意。
もう少し読み込んで気になる箇所があれば追記していきます。