あら、セキュリティの勉強を始めたとこなん?それやったらこれオススメやで!~オススメ本・サイトまとめ~

 本ブログをご覧の皆様、弊社についてどのような印象をお持ちでしょうか?「謎のハッカー集団」「なんか凄そう」「やばいことやってそう」...etc.おそらくこんな風に思ってらっしゃるのではないでしょうか。今回はそんな風に思われがちな弊社エンジニアに「セキュリティ初心者🔰や新人さんにオススメな本・サイト」を聞いてみました!

導入

 技術統括部の鶴亀です。内容に入る前に突然ですが、皆さん己の中に「コッテコテな関西弁を喋るおっちゃんかおばちゃん」を宿しましょう。...ちょっとずーつ、ちょとず~つ関西弁が聞こえてきますでしょう?「そんな無茶な!」や「豚まん食べたい」が関西弁で聞こえるようになったなら、早速次へ進みましょうか。

 本ブログ記事制作のきっかけですが、「新年度なったし新人さん向けにお勧めの本まとめたら反響あるんちゃう?とりあえず聞いてみよ~」と社内で呟いた事です。結果として、「ええんちゃう?ほな関西弁でよろしゅう~」と返答が返ってくるとは思いませんでしたが、そう返されたからには所々関西弁を交えてお送りします。

 (私まだ2年目なんやけど、こんな自由にしてええんか、ホンマにええんか......)

構成

 本ブログの構成として、ざっくり情報系(セキュリティ寄り)と自己研鑽系、番外編となっております。

 情報系ではWeb、Network、Operational Technology、Crypto、Development、最新の情報収集、その他と分類しています。更にそれぞれ書籍やサイトで分類しています。自己研鑽系では語学と自己啓発に関する書籍を記載しています。

 最後に番外編では「アンケートとはちょっと関係ないかもやけど、これオススメやで!」っと紹介されたサイトの中から、初心者向け...ではない気がするものの、最新の情報収集に良さそうなものを日本語と英語で分けて記載しています。

 導入と構成で少し長くなってしまいましたが、早速アンケート方法と結果を見ていきましょー!

アンケート方法

 まずアンケート方式は以下の通りです。

  • 書籍編

    • ジャンル(複数選択可)
      • Web
      • Network
      • Binary Exploitation & Bin
      • Hardware
      • Forensics
      • OT
      • Development
      • その他
    • 書籍
    • 推薦理由
  • サイト編

    • ジャンル(複数選択可)
      • Web
      • Network
      • Binary Exploitation & Bin
      • Hardware
      • Forensics
      • OT
      • Development
      • その他
    • サイト名
    • 推薦理由

アンケート結果

 そしてアンケート結果は以下の通りとなりました。

情報系

Web

書籍
  • 体系的に学ぶ 安全なWebアプリケーションの作り方 -脆弱性が生まれる原理と対策の実践 第2版 |徳丸浩
    • いわゆる徳丸本です。 かなり網羅的で、初心者でもこれ一冊読めばWebアプリケーションセキュリティのことがおおまかに理解できるようになっています。 攻撃を実際に試すことができる仮想環境も配布されていて退屈しません。 また、項目が整理されていてあとから見返すにも便利です。 攻撃と防御の両方を学ぶことができる良い書籍です。
    • この業界のスタンダード的な本なので読んでおいたほうがよいです。
    • 通称徳丸本。日本語で書かれた書籍であることと、Webの脆弱性診断に関する基本的な内容が網羅されているため。
  • ハッキングAPI ―Web APIを攻撃から守るためのテスト技法 |石川朝久[訳]/北原憲/洲崎俊[技術監修]
    • 日本語翻訳版が2023/3/27に出たばかりですが、いろいろな話題(NoSQLインジェクションとか)が記載されていて、非常に参考になります。
  • The Web Application Hacker's Handbook : Finding and Exploiting Security Flaws 2nd |Dafydd Stuttard/Marcus Pinto
    • While the contents may be a bit outdated now, the techniques and ideas contained in the book are great, and can give some insight in older vulnerabilities that may still be relevant, and how to find them. It was, and still is, considered one of the best web application hacking books available. (deepl translation: 内容は今となっては少し古いかもしれませんが、この本に含まれているテクニックやアイデアは素晴らしく、まだ関連性があるかもしれない古い脆弱性とその見つけ方について、いくつかの洞察を得ることができます。昔も今も、Webアプリケーションのハッキング本としては最高峰の1冊と言われています。)
サイト
  • PortSwigger Web Security Academy
    • Burpの使用方法やWebの脆弱性の検出方法、悪用方法について無料のハンズオンで学べます。
    • Learning Pathが用意されており、どこから手を付けていいかわからない場合にとても助かる。更に解説に関連したLabがレベル別に準備されており、実際に手を動かすことによって、より理解を深められる。
  • IPA 安全なウェブサイトの作り方
    • IPAのサイトで、基本的なことが記載されていて参考になります。対策例についても参考になることが多いです。
  • IETF RFC (Example)
    • OAuth2やOpenID Connectを診断する場合は、結局RFCを読むことが多い(読まざるを得ない)です。読みやすいとは決して言えませんが、他に参考になる一次情報があまりない(と思っている)ので情報源として使います。(初心者向けではないかも。)

Network

書籍
  • マスタリングTCP/IP 入門編 第6版 |井上直也/村山公保/竹下隆史/荒井透/苅田幸雄 [共著]
    • 基本的に書籍はすぐ内容が陳腐化するので、トピック的な情報収集は不向きかなと思います。なので、レガシーかつ普遍的な技術書としてこれがいいかな、と思いました。内容としては、TCP/IPのプロトコルをきちんと理解することで、セキュリティへのドアがフルオープンする、という気がします。
    • セキュリティ入門以前の基本のキ、となるネットワークプロトコルの基礎知識がわかりやすく書かれていると思います。

Operational Technology

書籍
  • 工場・プラントのサイバー攻撃への対策と課題がよーくわかる本 | 福田敏博
    • 制御システムの現場を知らないセキュリティ関係者が、制御システムを知るためにまず初めに読むなら、これの前半を読むとよいと思えた本。
サイト
  • 制御システムのセキュリティ
    • リスク分析ガイドやインシデント事例など、利用者にとって程よく易しい、ほどよく詳しい資料を紹介してくれている。
  • SANS ICS Community
    • ICSの話題が話されているSANSのフォーラム。制御システムのセキュリティに関する情報源はあまりないので気になる情報を探してみると見つかるかも。

Crypto

書籍
  • 暗号技術入門 第3版 -秘密の国のアリス |結城浩
    • 図解が多く、説明も専門用語少なめで易しく、暗号とは何ぞや?の状態からでも読めたので。
  • クラウドを支えるこれからの暗号技術 |光成滋生
    • 一般向けの暗号書籍だとふんわりした理解のために実運用上の仕様は解説されないことが多いが、この書籍では脆弱性の解説も交え、「なぜそうなっているのか」を徹底的に解説してくれる。
サイト
  • ももいろテクノロジー
    • ももテクはCTFのPwn/Crypto方面で良質な記事が多く、初心者向け問題では困ったらここを見ればなんとかなることが多い

Development

書籍
  • なし
    • 昨今では公式が充実しているのと、更新頻度が高く、公式以上に追従できているものは古い技術のものしか見つからないので。rust langとか。
サイト
  • MDN Web Docs
    • なんでも知ってるmozillaさん。昨今世の中はなんでもWebの技術が絡んでくるのでWeb大事なんですが、およそ必要なことはほぼ仕様に準拠した形でわかりやすく掲載されています。日本語ローカライズもありますが、情報が同期されてないときあるので注意。
  • Arch Linux ArchWiki
    • 日本語でも情報が満載。すごい。
  • GitHub
    • プロダクトの本家を探せばある程度情報は見つかる

最新の情報収集

  • Bug Bytes
    • バグバウンティ関連(Web系が多め)の情報が一週間ごとにまとめられているので、新しい脆弱性やテクニックの情報収集に役立ちます。
  • piyolog
    • ご存じPiyokangoさんが、セキュリティインシデントにアンテナを張りめぐらして情報発信してくれているサイトです。みんな見てると思いますが、情報の早さと網羅性、文章の読みやすさ、まとめの的確さ、予断排除の徹底っぷりなど、さすがだなーといつも感心しています。
  • hackerone (Example)
    • 公開されたレポートを読むと参考になることが多いです。(初心者向けではないかも。)
  • Krebs on Security
    • サイバースペースの闇を暴くサイト。
  • COURRiER JAPON サイバー関連の翻訳記事
    • 他国の視点が見れるという意味で海外メディアの翻訳記事が便利
  • Technical Information Security Content & Discussion
    • 初心者には難しいのは承知ですが、、。 セキュリティ情報収集を10年ほど続けてきた結果、一番時間を割いて見るようになったのがココです。 r/netsec を見るようになってからは、Twitter にはあまり時間を割かなくなりました。 最新の主要なセキュリティ技術情報をいい感じのスピード感で収集できると思います。 r/netsec で紹介された記事から1日1記事だけ読む、記事を読むだけの素養がひどく足りないと感じた時はさっさと諦めて別の記事を読む、くらいでも十分勉強になると思います。
    • これだけでも眺めていれば海外のトレンドを抑えられます。日本語圏だと Twitter が一番早いですが、その 7~9 時間前(体感)にはすでに話題に上がっていたりします。
  • Bad Sector Labs Blog
    • 週1ペースでニュースや攻撃技術、新規性のあるツール、おもしろネタ、たまに規制動向など含めて尖った情報を広く紹介しているブログです。 ツイッターで流れてくるセンスいい情報を腕利きのハッカーがまとめてくれています。 なかなか濃いので思い切り for 初心者ではないのですが、 タイトルを眺めてこんな分野もあるんだ。と新しい自分の興味に気づいたり、 少し背伸びをしながら、何記事か読む!と目標立てて進む習慣付けに利用したり。 ベテラン勢と深堀するネタとして持って行ってみたり。 初心者は過去〜現在に至るまでの様々について、 覚えることが山積みで時間がありませんが、 このブログは量が少なく週1配信なので、ライフワークバランスを大切にしながら、 界隈の様相と新技術の要領をつかんで成長するのにうってつけかな、と思います。

その他いろいろ

書籍
  • サイバー術 -プロに学ぶサイバーセキュリティ |Ben McCarty
    • 忍者の戦略とハッカーの思考が絡められてて面白い。 また忍術についても詳細に書かれており、息抜きに読むといい気分転換になる
  • ITリスクの考え方 |佐々木良一
    • 今のようにITリスクの算出方法が広まる前に書かれた本なので、結論だけであれば目新しい知識は得られない可能性もあるが、「ITリスクの考え方」が丁寧に書いてあり非常にわかりやすかった(という印象)セキュリティ診断を行うにあたって、主担当として先方窓口へ「ITリスク」の考え方を解く場合に、その解説の流れなど役立つと思います(例えば脆弱性を100%防ぐことは現実的ではない、とか)
サイト
  • CTFを始めるときにおすすめな本とか
    • 大昔にで自分で書いたCTF入門者向けの推薦図書集です。 CTF向けですが、セキュリティに興味がある初心者にはCTFは最適だと思うので推薦します。
  • TryHackMe
    • Cyber Securityの基礎から応用まで、コンテンツが豊富で、説明もハンズオンも充実しているので、何も知らないところから自分が興味ある分野のネタを学習できる。
    • This website was where I learned all of my basics for security, and was also what I used as the base for my OSCP studies. It has challenges and learning paths for multiple specializations, such as network, web, blue team, forensics, etc. (deepl translation: このサイトは、私がセキュリティの基本をすべて学んだ場所であり、OSCPの勉強のベースとなったものでもあります。ネットワーク、ウェブ、ブルーチーム、フォレンジックなど、複数の専門分野に対する課題と学習パスが用意されています。)
  • Androidアプリのセキュア設計・セキュアコーディングガイド
    • Androidアプリの脆弱性を知る上で非常に参考になります。仕組みの説明や具体的なコードも記載されています。日本語で記載されているのも助かる点です。
  • Google
    • ググり力が足りないとそもそも何もかもうまくいかない

自己研鑽などなど

語学

  • NHK3か月トピック英会話 -ハートで感じる英文法 |大西泰斗/ポール・クリス・マクベイ
  • NHK3か月トピック英会話 -ハートで感じる英文法 会話編|大西泰斗/ポール・クリス・マクベイ
  • NHK新3か月トピック英会話 -ハートで感じる英語塾 英語の5原則編|大西泰斗/ポール・クリス・マクベイ
    • 少々古いですが、大西先生の本は言語の根本的なところを教えてくれて基礎力がつく感じです。エンジニアはそれなりの段階になると英語で書かれた文書を読む必要が出てくるので、基本スキルとしておひとついかが?かなと。最近は翻訳アプリが強いですけど、まったくわからないとてきとー言われててもわかんないですしね。なお上2冊は数年前に1冊にまとめたやつが出てるみたいです。

自己啓発

  • 人を動かす|Dale Breckenridge Carnegie
    • 実家の親父の書棚で見つけた。北風と太陽な内容。世の中は論理よりも人間の感情で動いていることがふむふむとできる。技術で物事を解決したい人種が多い業界にあって、目的達成するには、こういうアプロートもあるよと視野を広げれるかも。
  • 選択の科学 |Sheena Iyengar
    • 自分が選択した結果と思った方が、楽しく生きれるよね。という内容。外乱のせいにして負の方向ばかりに行かないヒントがあるかも。
  • ライト、ついてますか―問題発見の人間学 |Donald C.Gause, Gerald M. Weinberg [共著], 木村泉[訳]
    • なぜなぜを考える本。真の問題はなんなのか?真の目的はなんなのか?とか、なぜなぜが好きな人には共感しかないと思えるんじゃないかな。
  • 増補版 チェ・ゲバラ伝 |三好徹
    • 読むと勇気と元気とやる気が湧いてくる。
  • 垂直の記憶 |山野井泰史
    • 最強クライマー山野井泰史、妙子夫妻の戦い。この本と『凍 |沢木耕太郎』はどちらも最高に面白い。これがきっかけで山岳小説ばっかり読んでた時期がある。
  • 憂鬱と官能を教えた学校―“バークリー・メソッド”によって俯瞰される20世紀商業音楽史 |菊地成孔/大谷能生 [共著]
    • 20世紀のポピュラー音楽を解剖する教科書。
  • 李歐 |高村薫
    • かっちょいい。

番外編

 先に謝っておきますが、以下のものは「なんか良さそう~( ᐛ )」という完全にフィーリングで選んだものです、根拠があるわけではありません。

 とはいえ「これむっちゃオススメやねん!」までいかないとしても、最新の動向を探るのには良さそうなので、ピックアップしました。

日本語

英語

最後に

 以上がアンケート結果です。

 もうちょっと関西弁入れたろかと思いましたが、下手に入れると自分で自分に「読みにくいわ!結果は結果として簡潔にまとめろや!」っと突っ込むことになりそうなので止めました。

 それはそれとして、「基礎を学ぶために書籍を用いるが、最新の情報を得るために公式サイトやニュースサイトを参照する」といった傾向をアンケートをまとめながらひしひしと感じつつ、激しく同意していました。そして「皆さん普段こうやって情報を集めてはるんや~」っと私自身新たな発見がありましたし、本ブログをご覧になったかたも同じように思われるのではないでしょうか。

 (特に初心者だと、どうやって最新情報を得ればよいかわかりませんしね)

 最後に、今回協力していただいた皆様、大変ありがとうございました!

 そしてこのまとめブログが何らかの役に立てれば幸いです。

おまけ

 ggrks感溢れる究極のアンサーが散見されますが、ググり力もしっかり磨いておかないと、「ちゃうねん、それは知ってんねん...ってかここまで読んだのに、結果何もわからんかったんやけど!?」っとなるサイトばっかり引っかかってキレることになるので、しっかり研ぎ澄ましてピッカピカに磨きあげましょう。

 以上鶴亀でした~!

© 2016 - 2024 DARK MATTER / Built with Hugo / テーマ StackJimmy によって設計されています。