23年3月末から勉強時間をガイドライン類の読み込み&ブログ執筆にあてて7カ月が経ちました。
特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。
なんで読み始めたの?
今更の自己紹介ですが、私は所属組織の中で3 Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。
プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の各テーマについての見解やルール作りを求められます。
全部知っているわけがないのに、最前線でその技術を使いこなしている方より詳しいわけがないのに、そうした最前線のエンジニアから「自分より先にその技術のセキュリティの論点を抑えていること」を求められるのです。
そうした中で、自分が知識不足な状態ではセキュリティの原則論だけに沿った抽象的な発言しかできず(例えば「最小権限でお願いします」的な。)、組織の中で存在感を発揮できなくなり、結果的に統制を利かせることが難しくなります。
そのため、セキュリティ担当も必死に勉強します。
現場の担当から、ベンダから、ネットの記事から、とにかく情報を集めます。
そうしているうちに「どうもNIST SP800シリーズがよく引用されるぞ」みたいな感じでガイドライン類が気になってきます。
気にはなりつつも時間が取れずに読んでこなかった長大なドキュメント達。
あれを読み解いたら、未経験分野でも効率よく体系的に知識を得られるのでは…という期待をもとに読み始めたのがきっかけです。
どれだけ何を読んだの?
7か月間で27個のガイドライン類と6個のレポートを読み、53個のブログにまとめました。
読んだものはこちらにまとめています。
思ったより少ないかもしれません。
ナナメ読みだけなら1~2時間で済みますが、私はかなり細かく読みますし、翻訳したり追加で調べたり過去のバージョンと比較したりブログにまとめたりしていると1つあたり最低でも8~10時間はかかるのです。NIST SP800-53なんて全部で60時間くらいかけました。
これに対し、業務と育児の合間を縫って確保できる勉強時間は多くて週8時間程度。そのため「ほぼ週に1つ」のペースが精いっぱいでした。
色々読んでどうだった?
下手な読書感想文みたいですが「読んでよかった」です。理由は3点です。
- 自分の発言に根拠と自信を持てる
- 未経験の技術テーマでもルールを作りやすくなる
- トレンドやビッグテーマが分かる
1. 自分の発言に根拠と自信を持てる
あまりテーマを決めずに興味の向くまま色々と読み漁った結果、思わぬところで「進研ゼミでやったやつだ!」的に業務で活きる場面が結構ありましたし、受けた相談に答える際に根拠と自信をもって答えられるようになりました。
例えばこんな質問が寄せられます。
皆さんは、これに対してスパッと答えられるでしょうか?
- XXXの暗号アルゴリズムなんですけど使っていいですか?
- XXXの作りのアプリケーションなんですが脆弱性診断をやらなくていいですか?
- 2要素認証にメールでワンタイムパスワードを送ってもいいですか?
- アウトソース先の会社が脆弱性診断を内製でやってると言ってますが信じていいですか?
- SBOMってツール入れたらいい感じにできあがるものなの?
2. 未経験の技術テーマでも取り扱いやすくなる
「自分の未経験分野でも効率よく体系的に知識を得られるのでは…という期待」を上に書きましたが、その期待はあたっていました。
特に対象のテーマが幅広いものであるほど、例えば「クラウド」「コンテナ」「ゼロトラスト」のように論点が一言で表せない分野ほど、ガイドライン類は学習の入り口として効率が良かったと思います。
ただし、ガイドライン類だけでは概念的すぎて難しいとも思います。
自組織の環境と照らし合わせて「ここで書かれていることはウチでいうコレのことか」と理解を深めることが実務に役立てる上で必須だと思います。
3.トレンドやビッグテーマが分かる
(これらは正確にはガイドラインではないのですが)EO 14028やサイバーセキュリティ2023のように戦略を記したものは、国家レベルで重要視しているテーマが書かれていますので、ゼロトラスト、EDR、ソフトウェアサプライチェーン、SBOMといった、その時々の重要なキーワードが分かります。
これにより、組織のエラい人に「今セキュリティって何が大事なの」とフワっと聞かれた時に即答できますし、自分で中期計画を作る時にも「外してはいけないキーワード」として組み込むことができます。
この他、ブログにまとめたことも大いにメリットがありました。
書けるということは自分が人に説明できるということであり、ナナメ読みに比べると学びの深さが全く違います。
そして、各ガイドライン類の中で自分が忘れたくないポイントだけ残し、必要な時にさっと見返せる自分だけの要点集を持てるのも嬉しいところです。
おすすめのガイドライン類は?
どれもおすすめですが、特に読んで勉強になったなぁと印象に残ったものを3つ紹介します。
上述の通り、米国の、つまり世界のサイバーセキュリティの重要テーマが分かるので一読の価値ありです。
また、「戦略」としての記載の粒度感や、一方で指示の明確さなど学ぶ点は多々あります。
認証、認可、フェデレーションの今時の考え方を抑える上で必読です。
過去のバージョンと比較すると、より変わったポイントの理解が深まります。
前回の記事のテーマですが、取得すべきログについてここまで細かく定めているものは初めて見ました。
こうして挙げてみるとどれも米国のドキュメントなのは寂しい気がするものの、どれも学びが多かったので一度読んでみてください。
英語だし分量多いのは無理!という方、そのためにこの要点抽出のブログがありますので、とっかかりに役立てて頂ければと思います。