きみに読んでほしい３冊：セキュリティブックガイド第二回 MBSD診断チーム「セキュリティ診断部門新人向け」

　この連載は、セキュリティエンジニア、セキュリティリサーチャー、脆弱性診断員、ペネトレーションテスター、マルウェア解析者、セキュリティコンサルタント、プリセールスなど、セキュリティ業界のさまざまなキャリアを目指す有為の若者に、現場の第一線で活躍する先輩たちが、学生時代やキャリア初期に是非読んで欲しい本を推薦します。

　第一回の「計算機基礎編」につづいて連載二回目の今回は、三井物産セキュアディレクション株式会社 (MBSD) プロフェッショナルサービス事業部セキュリティスペシャリスト国分裕さん、同セキュリティエンジニア enigmaさん、同セキュリティエンジニア金子俊介さん、以上3名の、業界トップクラスのセキュリティ診断チームメンバーに、セキュリティ診断部門の新人エンジニアに向けた３冊を推薦してもらいました。

●国分さんの１冊目「 RFC や W3C の HTML 仕様書」

RFCs ( IETF )

World Wide Web Consortium ( W3C )

　いろいろな本の元ネタになっている一次ソースなので、読むくせをつけておいて欲しいと思います。多種多様な解説本はありますが、結局は RFC の要約や解説なので、元をあたっておくといいです。

●国分さんの２冊目「詳解 TCP/IP 」

「詳解 TCP/IP 」ソフトバンククリエイティブ (1997年) 絶版

　プロトコル、TCP/IP の詳細をよく解説している本です。tcpdump というような、実際に流れているデータを自分で見ながらどうやって勉強していったらよいかとか、実際に流れているものと見比べながら勉強ができた本でした。「こうなっているはず」というのは解説に書いていると思うのですが、実際に通信を覗き見してみて本当にその通りだったというのが見えました。

●国分さんの３冊目「ライト、ついてますか―問題発見の人間学」

ドナルド・C・ゴース、G.M.ワインバーグ著「ライト、ついてますか―問題発見の人間学」共立出版 (1987年)

　読んだのは、だいぶ前、20 代前半ぐらいかな。面白かった。仕事で課題や壁にぶちあたることが多いと思うのですが、それをどのようにとらえて、どう解決していったらいいのか、いろんなケースが書かれている本ですね。折にふれて何回か読んでいる本です。

　実は技術的なところは、本よりネットで探すことが多く、グーグル検索を効率的にやる本があるとよいと思います。「Google Hacks ― プロが使うテクニック＆ツール 100選」という本があって、多少検索の仕方が書いてあります。また、当社では、新人に「何かを読め」というより、自分達で作った資料があるので、それで新人をトレーニングしている部分はあります。趣旨と違うかもしれないですが、わざわざ外に本を探さなくても、先輩達の経験や英知が詰まった、身近にある社内資料もまた、成長を助ける情報源になると思います。

国分裕：
三井物産セキュアディレクション株式会社 (MBSD) プロフェッショナルサービス事業部セキュリティスペシャリスト。不正アクセス監視サービスの立ち上げおよび 24 時間監視の実運用や、Web アプリケーションセキュリティ事業の立ち上げを行う。また、ペネトレーションテストやセキュリティ教育サービスのコンテンツ企画から講師まで幅広く担当する。セキュリティ・キャンプステアリングコミッティ / 脆弱性診断士スキルマッププロジェクト / Burp Suite Japanユーザグループ / SECCON 実行委員。

●enigmaさんの１冊目「3分間ネットワーク基礎講座」

網野衛二著「改訂新版 3分間ネットワーク基礎講座」技術評論社 (2010年)

　書籍化もされていますが、ネットにも公開されています。技術の基礎について学ぶことは何より大事です。ネットワークの仕組みから TCP/IP の基礎まで、博士と助手の対話形式で非常に分かりやすく解説されています。初心者のうちは入門書などで基礎知識をつけ、慣れてきたら「マスタリングTCP/IP 」シリーズや、その大元の RFC を参照してみると良いでしょう。

●enigmaさんの２冊目「サーバーの基本」

きはしまさひろ著「イラスト図解式この一冊で全部わかるサーバーの基本」SBクリエイティブ (2016年)

　ネットワークを使った技術が、実際に会社でどのように利用されているかということが書かれている本です。私が行っているプラットフォーム診断の診断対象はサーバーですので、そもそもサーバーとは何か、実際にどのようなものが使われているのか、使うことによってどんなセキュリティリスクがあるのかを知らないとお話になりません。どちらかといえばインフラエンジニア寄りの知識になるのですが、やはり診断員としては幅広い知識が必要だと思います。また、可能であれば本を読むだけでなく、自らの手を動かして様々なサービスのサーバーを構築してみてください。一層理解が深まるはずです。

　初心者向けで、技術にそれほど詳しくない方でも、サーバーとはどのようなものかということが簡単に理解できます。脆弱性診断の窓口担当の方でも、このぐらいの知識をおさえておくと業務が楽になるかもしれません。

●enigmaさんの３冊目「実践ネットワークセキュリティ監査」

クリス・マクナブ著「実践ネットワークセキュリティ監査－リスク評価と危機管理」オライリージャパン (2005年)

　これはもうプラットフォーム診断におけるバイブルと言っても過言ではありません！セキュリティ診断の考え方、各サービスの特徴・リスク、脆弱性の種類から診断方法まで、プラットフォーム診断をするなら一度は読むべき本です！ただ、ひとつ欠点があります。内容が古くて新しい脆弱性が取り扱われてないのです。また、紹介されている脆弱性が古すぎて、今ではほとんどそれを体験できる機会がありません。一方で、古典ですが現在に通じる脆弱性も多くあります。

　この本は現在、英語版は第 3 版まで出ているのに対して、日本語版は第 1 版しか出ていない状況です。最新版が良いというのであれば英語版を買われた方がいいです。日本語訳された最新版が待ち遠しいですね。

enigma：
三井物産セキュアディレクション株式会社 (MBSD) プロフェッショナルサービス事業部セキュリティエンジニア。プラットフォーム診断業務全般を担当。情報系の大学を卒業後、ユーザー企業に就職し、ISMS 関連の部署に配属。ISMS ができる＝セキュリティができる＝診断ができる、という判断で新卒 1 年目で診断部門に抜擢。未経験から長い努力を積み重ね、プラットフォーム診断に 6 年、Web 診断に 2 年間従事する。本格的にプラットフォーム診断をやりたくなり現職に転職。enigmaの HN でCTFへの参加・研究・情報発信を行う。

●金子さんの１冊目「徳丸本」

徳丸浩著「体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践」SBクリエイティブ (2018年)

　ベタになってしまうのですが「徳丸本」ですね。前職が業務システムの開発をやっていまして、とあることからセキュリティに興味を持ってこちらの会社に移ってきたのですが、最初セキュリティの知識がない中で、まずセキュリティの方向に向けて学ぶとなると、一番メジャーな書籍です。また、どちらかというと、システム開発できる人向けの本だと思います。こういう脆弱性があって、こう対策をしましょう、というようなことが体系的にまとまっています。とても分かりやすくて初心者向けだと思います。

●金子さんの２冊目「暗号解読」

サイモンシン著「暗号解読」上巻新潮社 (2007年)

　趣向が変わるのですが、とても好きな小説を挙げます。仕事に役立つというよりは、暗号解読のために熱意を傾けた人達が、どうがんばって困難を乗り越えてきたかが書かれています。昔のシーザー暗号とはどういうものかというとこから始まり、最新で言うと公開鍵暗号などもあるのですが、その先の、量子コンピューターで使うような暗号ができてきたらどういうことになるかなど、暗号の解読の歴史を一から説明してくれる内容です。技術を学ぶというよりは、考え方、もしくは仕事に取り組む姿勢が面白いと思いましたのでこの本を挙げたいと思います。

●金子さんの３冊目「たのしいバイナリの歩き方」

愛甲健二著「たのしいバイナリの歩き方」技術評論社 (2013年)

　最後に、Web 診断ではないのですが、これは本当に初心者向けな本です。Web サイトの診断をしていますので、バイナリの方まで手をつけることはないのですが、アプリケーションがどう動いているかというのは、元々業務システムの開発をやっていた人間でしたので、興味があります。その一番最たるものというか、バイナリはどう動いているかを勉強するためには入門編としていいと思います。

金子俊介：
三井物産セキュアディレクション株式会社 (MBSD) プロフェッショナルサービス事業部セキュリティエンジニア。Web アプリケーション診断に従事。ERP パッケージシステム開発会社を経て 2016 年から現職。前職時代、自身が開発したシステムの脆弱性の指摘を受けたのがきっかけで、セキュリティに興味を持つ。セキュリティ専門企業の方が知識も技術も伸びると考え現職に転職。