デジタルペンテスト部のみやけです。Webアプリケーションの脆弱性診断員となって一余年、セキュリティのプロフェッショナルを名乗るために知見を広げたいと思う今日この頃。知見を広げるとなればやはり情報収集かと考えていたところ、昨年の就活イベントで就活生から「情報収集はどんなことをされていますか?」という質問をいただいたこと思い出しました。私自身も他の人の情報収集については気になりますし、それを今後どう活かしていけばいいのかを聞いてみたい。そこで、セキュリティについて知見を広げたい、これからセキュリティを学びたいと考えているみなさんの参考にもなればと、Webアプリケーションとプラットフォームの脆弱性診断員に情報収集についてのアンケートを実施してみました。
私のように修行中の診断員から長年診断に携わる猛者まで約30名に回答いただいたので、その結果をご紹介します!
まずは、情報収集の「方法」を聞いてみました。
1.情報の収集には何を使っていますか(複数回答可)
1位: ニュースサイト
2位: X(旧Twitter)
3位: 技術コミュニティサイト(Qiitaなど)
4位: ブログ
5位: 書籍
6位: 勉強会
7位: 脆弱性情報データベース
8位: その他SNS
その他にもこのような回答がありました。
- 社内専用のChatGPT
- PerplextyやGenspark等の検索・AI要約サイト
- YouTube
得られる情報の鮮度が高く、話題のトピックを掴みやすいためか、ニュースサイトやX(旧Twitter)を使用している方が多かったです。
さらに、具体的にどんなツールやサイトを使っているのか聞いてみました。
2.質問1で情報収集で使っていると答えたサイトやツールの中で、特によく見ている・参考にしているサイト名やツール名があれば教えてください(複数記載可)
■ニュースサイト
- ITmedia(https://www.itmedia.co.jp/)
- Bleeping Computer(https://www.bleepingcomputer.com/)
- Security Next(https://www.security-next.com/)
- GIGAZINE(https://gigazine.net/)
- TECH+(https://news.mynavi.jp/techplus/)
■X(旧Twitter)
- Xのタイムライン
- X のリストをフィード化して確認
- セキュリティリサーチャーや攻撃者のSNSアカウント
- Xでキーマンの投稿を見ていればトレンドはつかめるかと
■ブログ
- SIOS SECURITY BLOG(https://security.sios.jp/category/vulnerability/)
- piyolog(https://piyolog.hatenadiary.jp/)
- Hack Patch!(https://shhnjk.blogspot.com/)
- Jxck(https://blog.jxck.io/)
- GitHub, AWS, OIDCやRFC策定に関わっている方の個人ブログ
■技術コミュニティサイト
- Qiita(https://qiita.com/)
- TechFeed(https://techfeed.io/)
- GitHub(https://github.co.jp/)
■勉強会
- connpass(https://connpass.com/)
■脆弱性データベース
- JVN iPedia(https://jvndb.jvn.jp/)
- NVD(https://nvd.nist.gov/)
■その他
- 社内専用のChatGPT
- 社内専用の脆弱性・Exploit検索システム
- PortSwigger(https://portswigger.net/web-security/all-materials)
- YouTube(https://www.youtube.com/)
- はてなブックマーク(https://b.hatena.ne.jp/)
- ブログやSNSアカウントをフィード化して確認
目的によって使い分けている方もいて、複数のサイトやツールを回答してくれた方が多くいました。
これで「方法」が分かりました。次に「どんな情報を集めているのか」を聞いてみました。診断員のみなさんは何に興味があるのでしょうか。
3.何について調べることが多いですか(複数回答可)
1位: 脆弱性情報
2位: インシデント・事故
3位: セキュリティ対策
4位: サイバー攻撃動向
5位: IT業界動向
6位: AI
7位: 他社製品・サービス
8位: 法制度・ガイドライン、クラウド(同数)
その他にもこのような回答がありました。
- 新規技術とそのセキュリティリスク
- Web(開発)関連
- RFC等の規格
- 資格試験
やはり脆弱性診断員に聞いただけあり『脆弱性情報』が堂々1位!既知の脆弱性も新しく見つかった脆弱性も知識がないと診断はできません。
続いて、集めた情報はどうしているのか「活用方法」を聞いてみました。
4.得られた知見をどのように活用していますか
■まとめる ※一番多かったです
- 見返せるようメモにまとめる
- 特に気になったものはメモにまとめている
- 関連情報ごとにメモにまとめる
- 検証や技術学習の裏付けに使うためメモする
- OneNoteやObsidianにまとめる
- Obsidianとthinoでまとめる
■検証する
- 業務で必要になった際にいつでも活用できるよう個人環境で検証する
- 実際に実行可能なPoCであれば個人環境もしくは検証環境で実行してみる
- 自宅や会社の環境で検証する
■共有・発信する
- 診断ツール開発の会議で共有する
- 勉強会で共有する
- 自身が参加しているコミュニティで共有する
- 仕事仲間との会話のネタにする
- SNSで知ったことはSNSにプラスアルファを付けて恩返し
■業務に活用
- お客様からのお問い合わせ対応に活用する
- Webサーバの運用やWebアプリの開発など
- 診断で検出された問題点の理解を深める
■その他
- 資格試験の勉強(問題を解いたり単語帳にまとめたり)
- 情報収集をするのみで活用などは行えていない
メモにまとめていると回答された方が多かったです。簡単に始められて、成果が目に見えてわかるので続けられそうですね。
最後に、実際に情報収集をしたものは業務で役立つのか「実体験」を聞いてみました。
5.業務で役立ったエピソードがあれば教えてください
■お客様対応
- 打ち合わせや提案等で話す話題として役立った
- 案件調整や報告会などで、お客様の話している技術的な用語が理解できた
- お客様への説明資料の作成時に参考になった
- 報告会での補足説明や質問への回答に役立った
- APIセキュリティの技術的な対策に関する問い合わせを受けることが多く、収集した情報を活かして都度回答している
■診断
- 社内や顧客の必要に応じた診断・コンサルサービスを短期間で提供できた
- 調べたOSSの情報が実際に診断用スクリプトの開発につながった
- 情報収集して見つけた脆弱性情報が独自の脆弱性診断ツールに組み込まれた
- 診断中のシグネチャなどに役立った
- 診断時にリスクレベルの判断に用いる定義表の更新に役立った
- 事前に該当脆弱性について調べていたことで、診断時に1から調べることがなく、効率的に作業を進めることができた
■学習
- 徳丸浩の日記(https://blog.tokumaru.org/)は自分の知識を付ける面で役立った
報告会などのお客様とお話をする場面で役立つことが多いようです。脆弱性についての説明はもちろん、お客様自身のことやお客様の抱えている問題などを理解したりするためには情報収集が大切ということでしょうか。
おわりに
脆弱性診断員に聞いた情報収集についてのアンケート結果でした。
私も、今後お客様とお話をする機会に活かせるよう、ニュースサイトやSNSなど気軽に閲覧できるものから情報収集をしてトレンドを掴んで、得た知識をメモにまとめてみようかなと思います。
私のようにセキュリティについて知見を広げたい、これからセキュリティを学びたいと考えているみなさんの参考になればうれしいです。
最後まで読んでいただきありがとうございました!