こんにちは、かすたーど先生です。
セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。
情報収集の方法って、学生さんももちろん、セキュリティエンジニアの方同士も「他の人はどうやっているんだろう?」と思っているネタなのではと思いまして、今回ブログのテーマにすることにしました。
ということで、私と同じデジタルペンテスト部に所属している一部のセキュリティエンジニア約30名に協力してもらい、セキュリティ技術の情報収集に関するアンケートを実施しました。結果をご紹介します。
1:セキュリティ技術の情報収集は何を使って実施していますか(複数回答可)
1位:Twitter
2位:ニュース系サイト
3位:書籍・ブログ(同数)
4位:脆弱性情報データベース
5位:技術コミュニティサイト(Qiitaなど)
6位:その他SNS
7位:勉強会
+その他
ほとんどの人が複数のツールやサイトを使って情報収集しているそうです。その中でも8割以上の方が「Twitter」を利用して情報収集していることがわかりました。
その他の回答としては下記がありました。
- CTF
- 新聞を読んで気になるキーワードや話があればそこから情報検索
- 外部活動団体、学会
- 論文
- 身内のコミュニティで使われているDiscord
- ありとあらゆる情報源
- reddit.com(SNS)
- 部内(デジタルペンテスト部)のチャットやチャネルに書かれている情報
色々見ていることがわかったので、さらに深掘りして質問してみました。
1で情報収集で使っていると答えたサイトやツールの中で、特によく見ている・参考にしているサイト名やツール名があれば教えてください(複数記載可)
■Twitter(一番よく使っていると答えた方が多かったです)
- 一番情報が早い
- Twitterの機能でリストを作成して、リストに追加した人がRTした人を確認して収集範囲を広げている
- Orange Tsaiさん, Masato Kinugawaさん, Yosuke HASEGAWAさんといった著名な技術者やCTFプレイヤーを見つけ次第フォローしていったら、どんどん情報が流れてくるタイムラインができあがった
- セキュリティ関連、関係者のツイートから情報収集をスタートしていることが主なので、「TweetDeck」というツールを使用している
- 雑談ツイートをしないアカウントを中心にフォローして、タイムラインをそのまま情報収集として利用
- 海外のセキュリティ業界の著名人やCVE情報アカウントをフォロー
- 一般的なペネトレに関する情報収集だと、Mimikatz開発者のTwitterアカウントをフォロー
■書籍
- 海外の書籍の情報を集めるのが難しいので、Amazon.comでセキュリティ関連のカテゴリーランキングを定期的に確認して面白そうな本があれば購入(Amazon.com=リージョンをUSにしている)
■ニュース系サイト、ブログ
- BLEEPINGCOMPUTER
- The Hacker News
- ITmedia
- gigazine
- Security NEXT
- Impress Watch
- Strategic & Technical Blog
■脆弱性情報データベースやその他情報掲載サイト
- JVN iPedia
- HackerOne(脆弱性調整およびバグ報奨金プラットフォーム)
■団体、コミュニティ
■ Reddit
- 特にr/netsec, r/Slackers, r/websecurityresearchといったサブレディット。r/netsecは玉石混交ではあるものの、あまり自分が興味を持っていない分野の話も流れてくるのが〇
■RSSリーダ(Inoreader)
■CTF
- 問題として、最新のトピックやあまり有名でない技術を題材にしたものが出ることがあるため、競技に参加することで結構情報が得られる。競技の終了後にwriteupという形で運営やプレイヤーが詳細な解法を流してくれるのも役立っている
- CTF TIME(カレンダーが一番見やすいかも)
■その他
- 日経新聞
- 特になし。Twitterや他のSNSで、セキュリティの人をFollowすれば、似たような情報が流れて来ます。それらの情報を読んで、興味のあるトピックをさらに調べる(大体これで技術ブログまで辿り着ける)
- Facebook 、特に弊社社員やグループ会社の人に紹介されている記事から飛ぶことが多い
- 特定のサイトやツールなどはない。都度検索している
- site:reddit.com [検索したいこと]でgoogle検索
- 論文の参考文献(国内、国外[特にCHES等])
- Slack
- USENIX Security
- 特定の何かというのはないが、Twitterで情報公開している人をフォローしたり、海外のセキュリティ企業のブログとか、国内の勉強会とかコミュニティとかを見ている
- 興味のあるDiscord
- デジタルペンテスト部のチャット
情報収集先がわかりましたが、次に気になるのは、集めた情報の取り扱い方かと思います。ということで、その情報の検証方法と、情報のまとめ方についても聞いてみました。
2:情報元から得られた知識をどうやって検証していますか
■検証環境(物理機器含む)を手元で構築して検証(一番多かったです)
- 検証環境を自宅PCで構築して検証している
- Webアプリケーションの脆弱性など、Dockerでの検証が可能な性質のものであれば、使い捨てのコンテナを立てて試している
- tryhackmeなどの場合はそのプラットフォームの環境を使うこともある
- 入手構築可能な事項であれば手元で検証。入手困難な内容に関しては研究者の論文等や他の検証者のデータの確認
- 検証可能であれば手元の環境(自宅・会社)で実施する
- 検証できるものは検証します。ソフトウェアのアルゴリズムなど抽象的なものは特に検証せずにプログラムを作るときに参考にしている
- ソフトウェアを検証する際には、VMを使う
- PoC等を検証する。流出情報などのソースが怪しいのまでは検証できないことも
- 情報元によっては再現性が高いものや、CTFのようなやられ環境を用意しているものもあり、活用している
■その他
- 元ソースまで辿る
- 複数の情報源を参考にする
- 周りの人に聞く。「こういうのどう思う?」「こういうのはやってるの?」
- エビデンスが揃っているものは基本的に正しいものとして扱います。ただし影響が高いものは実際に手を動かす
- 現状、物理的な検証が必要な情報収集を行っていない。一次情報を探すことが主
- 情報元から出てきた知らない用語を逐一調べる
3:得られたセキュリティ技術に関する知見をどのようにして記録していますか
■PC上にまとめる、ツール・サービスの利用、情報源の購入
- メモ程度であればPCにテキストでまとめる
- 端末内にテキストで記録したり、個人のコミュニティ(Slack)に共有
- PCにExcel。Excelは横幅のリミットがないため
- ネット上の参考先はブックマークアプリ(?)に保存(使っているのはRaindrop.io)
- 個人用クラウド
- 外部サービスを利用
- 非公開の個人Wiki(Notion)に、攻撃手法や細かなTIPS、読書記録として本に書かれていた内容などを整理してまとめている
- 自分用のwikiを書き溜めている
- Twitterのいいねをしてブックマーク。論文は紙に印刷して線を引いたりコメントを書いて保管
- ブラウザのブックマークに登録
- 検索履歴、Twitter、身内のDiscordの個人用チャンネルにリンクを張る、あまりにも沼ったものは自前のOffice365テナントのTeamsチャネルに記録
- Office365を契約して利用
- PCにテキストでまとめることが多いが、PDF資料の場合はEvernoteに入れて全文検索できるようにしている。たまに自分でPDFにまとめてEvernoteに入れておくこともある
- 私用はNortionで、社用はOneNoteを利用しています。中で記録しているもの、はWebクリップ機能によるサイトの保存やメモ書き
- 紹介された書籍の購入(物理・電子あれば電子)
■外部に発信
- CTFに参加して得た知見は、個人ブログにwriteupを書いて公開している
- 検証できたものについては論文として発表
- 基本的にツイートで終わらせる。分量によってはブログに書く
- 公開可能な内容はTwitterや個人ブログで公開
- 公開可能な内容は部署の勉強会や身内コミュニティで発表
- ある程度まとまったら整理してブログに書く
■記録はしていない
- 特に記録していない
- 基本的に頭の中に記憶します。脳こそ最大かつもっとも高性能なDB・・・
- ごくたまにメモを取る時には、内容のまとめではなく感想を書く。そのほうが「あのとき、ああいう感想をもったあれは何だっけ」という(手動)検索問題設定にかけやすい
- 頭の中に入っているので公開したりまとめたりはあまりしていない
- 以前はEvernoteにまとめていたが、すぐに情報が古くなるので、必要な情報は都度。まとまった情報がほしい場合は、ホワイトペーパーや書籍などを入手して手元に置いておく
- いまのところあまり記録はしておらず、記憶にとどめているか、URLをメモする程度
- 記録していないので困っている
おわり
セキュリティ情報収集に関するアンケート結果でした。
セキュリティ技術について勉強したいけど、どこから手を付ければいいかわからない、もっと知識の幅を広めたいけどどうしようと悩んでいるなどありましたら、今回紹介した情報収集先の中で興味ある所から覗いてみるのはいかがでしょうか。
こちらのブログがセキュリティ技術知見の獲得にお役に立てたら幸いです。
以上、かすたーど先生でした