新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。
※私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。」、およびその記事の元となった根岸さんの2011年の「私のセキュリティ情報収集術」の影響を強く受けて、自分なりに試行錯誤しているものです。必ずしも多くのセキュリティ担当の方に向いている情報収集のやり方ではないかも知れません。
■インプットに使っている情報ツール
情報収集に使っているツールはそんなに変わってません。忙しいセキュリティ担当の方は、いかにRSSをうまく使いこなすかがカギになるのかと思います。
| ツール | キタきつね寸評 | 備考(リンク) |
|---|---|---|
RSS Reader |
去年から海外ニュースを拾うのに使い勝手が良かったので、このソフトを使っています。通勤時等のスマホを使った情報収集では、気になるサイトを登録し、更新情報のタイトルを流し読みする様にしています。私の場合は、このツールからの情報インプットが一番多いかも知れません。 ※個人的にウォッチしているサイトはこの記事の下の方でご紹介しますが、以下の様な感じで登録しています。
※piyokangoさんの記事ではfeedlyが紹介されていますが、使ってみた感じでは海外サイトとの相性が少し悪かったのでシンプルなRSSツールを使っています。他にはトリコロールな猫さんが記事中でご紹介していた、FeedeenはPCやスマホの両方で使い勝手が良さそうなので、今度試してみようかと思っています。
|
(iOS) (Android) |
Yahoo!ニュース |
Yahoo!ニュースはテーマ設定をしています。記事によりますが、オーサーや読者コメントが勉強になる事が多く、考える癖をつけるのに役立っています。
※フォローしているテーマはこんな感じです
|
(iOS) |
| SmartNews
|
一般ニュースを俯瞰的に見るのに重宝しています。 過去数回、当ブログの記事を取り上げて頂いた事がありますが爆発的にアクセスが増えたので、今年も密かに取り上げて頂ける記事を書ければと狙っています。 ※当ブログだと土日はアクセス数が少ないので柔らか目な記事を取り上げる様にしている事が多いのですが、そうしたニュースは比較的SmartNewsやヤフーの一般記事から拾っている事が多いです
|
(iOS) (Android) |
Twitter |
Twitterの情報はなんだかんだ言っても早いと思います。ウォッチする時間が取れる方は、上質な情報を発信する方を追いかけるだけで必要な情報の多くはこれで十分かと思います。 私の場合、本業業務の関係であまりTwitterをウォッチしている時間が取れない事が多いので、そんなに有効に利用できていません。 国内であれば、根岸さん、辻さん、piyokangoさん、徳丸さん、、、等々の著名アカウントをフォローしておけば情報に困る事は無いかと思いますが、私は敢えて海外のセキュリティ専門家アカウントを多くフォローする様にしています。 ※ご参考(キタきつねのTwitterフォロワー)
|
(iOS) (Android) |
TweetDeck |
以前、名和さんに教えて頂いたツールです。会社のPC(大画面推奨)だと、リアルタイムでTwitter情報を追いかけられます。ハッシュタグをTab単位でウォッチできるので、例えば攻撃情報を更新の流れが頻繁であるかどうかで目に見えて分かりますので、監視を普段している人にはいろいろな活用法がありそうなツールだと思います。
|
(リンク) |
■インプットで参照している情報源(国内)
セキュリティ情報で役立つサイトは、たくさんあるかと思いますが、情報収集という観点で絞り込むと、現在は下記の3つになっています。
| サイト | キタきつね寸評 |
|---|---|
| Izumino.jp セキュリティ・トレンド | 更新頻度や主要な所から情報を拾ってきている事を考えると、まずココを抑えておくべきです。(特に時間が無い方は) |
| Security Next | 業界動向とインシデント関係ではSecurity Nextの新着記事は(個人的には)外せません。脆弱性関連記事や製品・サービスを主に収集されたい方はリンク先を少し変えるとより精度の高い情報の収集が可能かと思います |
| piyokango氏のTwitter | Piyologも去年より更新頻度が上がっており、ウオッチしておくべき情報ソース(ブログ)ではありますが、piyokango氏の真骨頂はやはりTwitterの圧倒的な情報発信かと思います。またブログ以外にもpiyokangoの週刊システムトラブルや、piyokangoの月間セキュリティ等、活躍の幅がいつの間にか広がっていらっしゃいますので、要注意です。 |
最近は、Googleアラートを使ってRSS(前述のRSS Reader)で情報を見ています。アラート用のキーワードに関しては、私は日本語と英語の両方で登録をしています。(設定にもよりますが、かなりの情報を拾ってきますので、タイトルを見るだけでも大変になります)
■インプットで参照している主な情報源(海外)
今年は、海外情報サイトをまとめてご紹介します。
| サイト | キタきつね寸評 |
|---|---|
| Morning Star sSecurity |
Izuminoの様に海外セキュリティ情報が集約されていますので、ここが一番お勧めのソースとなります。 ※当ブログの海外記事は、ここをソースとして拾ってくるケースが結構あります。
|
| Krebs on Security |
当ブログの名前(Fox on Security)はBrian氏のサイトにあやかって付けてます。元ワシントンポストの記者でセキュリティ関係のスクープを連発されている事もさる事ながら、10年以上のブログ執筆により、多くの米国を中心としたセキュリティ関係者が、記事の「下」のコメント欄で活発な意見交換をしています。読むのは大変ですが、非常に勉強になります。
|
| Schneier on Security |
ブルース・シュナイアー氏の著書は日本訳されているセキュリティ本が多数あります。エコノミスト誌は彼を「セキュリティの第一人者」と評した程です。長年この業界で目覚ましい活躍を続ける彼の意見は「教科書」的な重みがある気がします。
|
| Graham Cluley |
30年以上現役で活躍するセキュリティアナリストであり、講演も多数されています。YouTubeにチャンネルも開設されてますが更新頻度はそんなに高くはありません。
|
| Troy Hunt |
マイクロソフトのオーストラリア地域ディレクターが本職ですが、彼のデータ侵害に関する研究活動の成果である、データベース「Have I Been Pwned」やブログをウォッチしているファンの方が非常に多く、今やグローバルでのインフルエンサーの一人と言えます。
|
| Security Affairs |
ハッカーであり、研究者であり、アナリストでもあるPierluigi Paganini氏が執筆するセキュリティブログです。個人ブログとしては2016年に賞を取った事もある程、質の高い情報発信がされています。 ※個人ではなく組織が運営しているブログだとずっと思ってました
|
| Dark Reading |
サイバーセキュリティのWebサイトとしてはここも外せないかと思います。 定期巡回お勧めのサイトです。
|
| SC Magazine |
情報セキュリティ系としては30年以上を誇る老舗サイトです。データ侵害、ランサム、脆弱性と、バランスよく記事がUPされているので、こちらも定期巡回お勧めのサイトです。
|
| The Hacker News |
攻撃に少し特化した視点での記事が多いので、ここの記事も当ブログでも多数引用させて貰っています。ここも定期巡回お勧めのサイトです。
|
| CSO Online |
上位者の視点で知るべき情報がまとまったサイトでありますが、セキュリティ担当が読んでも参考になる情報も多数掲載されています。
|
| Security Week |
最新セキュリティニュースは他のサイトと被る事もありますが、セキュリティ専門家の意見、洞察記事が参考になります。
|
| Wired |
色々なテーマカテゴリーがあるサイトですが、脅威レベルと、セキュリティの2テーマに関しては定期巡回お勧めのサイトです。当ブログでも何度もお世話になっています。
|
| Mashable |
老舗メディアです。当ブログではあまり引用した記憶がありませんが、読み物として良い記事がたくさんある印象です。
|
| Techcrunch |
こちらも老舗メディアです。最新テクノロジー関係が強い印象です。
|
| IT Pro Portal |
英国で結構人気があるサイトです。技術的な情報が参考になります。
|
| The Register |
月間900万人以上のユニークユーザが閲覧するオンラインサイトです。少し毛色の変わった記事も多く、度々当ブログでも引用させて頂いています。
|
| Zero Day |
ZDNetの1カテゴリーです。IT業界全般の情報発信がされていて、抑えておくべきサイトの1つだと思います。定期巡回お勧めのサイトです。
|
| Help Net Security |
情報セキュリティ関係のサイトでは老舗と言えるかと思います。執筆している専門家も多く、記事の質も高いと思います。定期巡回お勧めのサイトです。
|
| Infosecurity Magazine |
情報セキュリティメディアとして多くの読者を抱えるサイトです。幅広いトピックが記事にされていて参考になる部分もありますが、時間が無い方には記事を探すのが少し面倒かも知れません。
|
| Security Boulevard |
セキュリティの専門家が数多く記事を書いているコミュニティサイトです。最新セキュリティニュースのみならず多様な情報が掲載されていて、定期巡回お勧めのサイトです。
|
| Bleeping Computer |
最新ニュースは当ブログでも度々引用させて頂いており、定期巡回お勧めのサイトではありますが、更に言えば、ここのフォーラム(掲示板)が非常に活発なので、一度覗いてみると面白いかと思います。
|
| ThreatPost |
サイバーセキュリティ関係の独自視点でのニュースが参考になります。当ブログでも多数記事を引用させて頂いております。
|
※補足です。会社の人からも「英語の原文で見ているのですか?」と聞かれる時があります。勿論そうした時もありますが、ざっと記事を見る場合は、Google翻訳を使っている事が多いです。Google翻訳はChromeだと英語のページを開いただけで自動的に訳させる事が可能だったりしますので、英語記事にChromeを使うというのも1つの情報収集を楽にする方法と言えるかと思います。
■クレジットカード漏えい事件関係での情報源
※キタきつねの主調査テーマの1つなので、参考までクレジット廻りを紹介します。
| サイト | キタきつね寸評 |
|---|---|
| UCカード(重要なお知らせ) |
大手カード会社である事もありますが、9割以上の国内カード情報漏えい事件がここのリリースに出て来ますので、個人的重点巡回サイトです。
|
| Security Next |
UCカードのサイトから少し遅れてカード情報漏えい記事が出る事が多いのですが、稀にクレジットカード会社が発表してない「漏えいの疑い」記事がアップされる事があります。
|
| ネットショップ担当者フォーラム |
セキュリティ関係の記事ばかりが載る訳ではありませんが、独自のニュースソースを持っているのか、一部漏えい情報が早く掲載される時があります。
|
■クレジットカード関係の情報源
※実行計画2019の後がどうなるのか、とても気になっています。
| サイト | キタきつね寸評 |
|---|---|
| PCI SSC |
PCI DSS等の国際セキュリティ基準の策定・推進組織 |
| 日本カード情報セキュリティ協議会(JCDSC) | 日本のPCI DSS(カード情報非保持)推進団体 |
| 日本クレジット協会 | 「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2019」の掲載 |
| 経産省(METI) | クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」の掲載 |
■調査に良く使う便利サイト
| サイト | キタきつね寸評 |
|---|---|
| Wayback Machine | 巨大な魚拓サイトです。このサイトが無ければ私の基本的な調査は成り立ちません。とは言えサイトによっては魚拓があまり取られてない場合もあります。 |
| Have I Been Pwned | 自分のメールアドレスが過去にどこのサイトで漏れたかを検索できるサイトです。メールアドレスが漏えいした場合、パスワードが脆弱又は使い回ししていた場合、かなりの確率で侵害される(されている)可能性が高くなります。登録すればメールアドレスが漏えいした場合に教えてくれる機能もあります。 |
| SSL Server Test | SSLサーバ証明書や通信設定等の無料診断が出来るサイトとして有名ですが、、検索のチェックボックスを外し損ねると、恥ずかしい結果が公開される可能性もあります。 |
| SHODAN | インターネット接続端末を検索できる検索エンジンです。ホワイトハッカーの脆弱性調査にも便利に使えますが、悪い使い方も出来てしまう可能性もあるサイトです。(Shodansafariを見ると、その手の使い方例があるかも知れません) |
| サクラチェッカー | Amazonでのやらせレビューを判定してくれるサイトです。Amazonでの商品購入前にこのサイトで事前チェックする事が多くなりました。 |
| difff | テキスト比較ツールです。Webサイトの改ざんされたHTML文を、魚拓サイトの正規ページと比較する、といった使い方が出来ます。 |
| PasswordCheck(Kaspersky) | 日本語でのパスワード強度チェッカーとしては、ここが一番使いやすいかと思います。 |
| How Secure Is My Password? | 英語サイトですが、パスワード強度チェッカーとして非常に有名なサイトです。ここもお勧めです。 |
最後に、偉大な先人たち(その考え方をパクってオマージュして自分の情報収集法を模索しています)が過去に公開されていた3記事を貼っておきます。私の記事よりも気づきが多いであろう事は請け合いです。
まず、私が3年前に参考にさせて頂いたpiyokangoさんの記事です。よく時間が取れるな・・・と思う程に、多量の記事を俯瞰されている事に改めてびっくりします。
そのpiyokangoさんが参考にされていた根岸さんの記事です。
仕事柄、日々さまざまなセキュリティ情報を収集して分析することを何年も続けているわけですが、いまだにもっといい方法がないかと悩んでいるんですよね。というわけで、今の自分のやり方を公開しつつ、誰かに別の方法とか教えてもらえないかなーなんて、ちょっぴり期待もしています。
(根岸さん記事より引用)
・・・と書かれていたのを真に受けて、3年連続で記事をUPしています。(根岸さんに参考になる部分があるのかは疑問ですが。)
そしてもう1つ。トリコロールな猫さんの記事は、セキュリティの「イエローページ」かと思う程に、関係各所のサイトが網羅されています。総務省、経産省、警察、NISC、JPCERT、IPA・・こうしたサイトの方を中心に情報収集されたい方にとっては、非常に使いやすいリストになっていますし、RSSリンクも貼られているので、RSSを使って情報収集される方に非常に便利になっていると思います。
本日もご来訪ありがとうございました。皆様にとって今年が良い年になる事を!
May the Force be with you !
おまけで、昨年と一昨年の私の記事です。
更新履歴
- 2019年12月30日PM(予約投稿)
