イベントから帰った時、しばらく時が止まってほしいと思うことがある。 それは、学びが多すぎてじっくり復習したい。明日からの通常業務の波の中で今のモチベーションを忘れてしまうのが惜しすぎると思う時であり、つまりは素晴らしいイベントに参加できた時…
Cyber-sec+ Advent Calendar 2024の12/19担当のニキヌスです。 今回はライトに、せっかく年末なので1年を振り返るものにします。 私にとってのこの1年はズバリ「SNS活動」です。 この活動を通して、自分の考えや気持ちが大きく変わった話をします。
この記事は、元々興味をもって調べていた「脅威モデリング」について、皆さんの講演を聞いたりTMC Tokyo × ZANSIN(以下、長いのでtmctokyoと記載)を体験した中で「つまりこういうものか」という一定の腹落ちを得たのでメモ書きするもの。 普段ブログで書い…
「今からお前にバブルを起こす」 「はじけるかどうかはお前次第だ」 これは私が約10年前、当時のボスから言われた言葉です。 その頃のボスは既に役員一歩手前。私はまだ20代。いわゆる主任クラスになったばかりでした。
JTCのセキュリティマネージャのニキヌスです。 これまでの記事で事業会社におけるセキュリティ業務を紹介(※)してきました。 今回は、地味だが大変な「相談対応」の話です。
最近ライトなテーマが続きました。 今回はセキュリティマネージャが本領発揮する「セキュリティ戦略策定」について書きます。
突然ですが、今回は中途採用の面接官目線の話を書きます。 私は事業会社のセキュリティマネージャとして新しい仲間を増やすべく、どうすればより良い採用に繋げられるのか日々めちゃくちゃ悩んで試行錯誤しています。 この記事を書くにあたり、人事や採用の…
前回の記事で、セキュリティマネージャとして「ソフトスキル、コンピテンシ、性質」が重要と書きました。 「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。 「性質…
Xでセキュリティのキャリアについて何名かの方とやりとりする機会があったので、私が名乗っている「セキュリティマネージャ」とは何なのか。を書いてみることにしました。
10月30日にバイデン大統領の126個目の大統領令EO14110が出ました。 タイトルは「Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 AI時代に米国がどう向き合おうとしているのか、読んでみました。
2023年もあと少しとなりました。 今回は気分転換のネタとして、年初に各セキュリティベンダや団体が出していた「2023年セキュリティ予想」でどういったことが予想されていて、結果的にどうだったかを振り返ります。
NISTからフィッシング訓練に関するドキュメントが出たので読んでみました。
クラウドやコンテナが一般化した中、直接的に管理する機会が減りつつあるハイパーバイザーの存在ですが、そもそもどんなセキュリティの論点があるのか調べてみました。
IPA 10大脅威において近年不動の1位のランサムウェア。 私のブログでも半田病院や大阪急性期・総合医療センターのインシデント報告書をまとめたように、重要インフラを含む様々な企業が被害を受けています。 そんなランサムウェアに対抗するためのガイド「#S…
23年11月にESFからSBOMに関するガイダンス「 Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption」が出ました。 今回はSBOMを受け取るカスタマー側の目線からお勉強します。
セキュリティ対応組織作りに深く関わる立場にいながら、何故か「セキュリティ対応組織の教科書」は未読だったので読んでみました。 日本語だし、元々平易な表現でまとまっているのですが、自分の勉強メモとして要点抽出しておきます。
CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます)
23年3月末から勉強時間をガイドライン類の読み込み&ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。
ログ取得。 その必要性は分かるものの、何をどこまで取ればいいのか?に悩んだことはないでしょうか。 今回はそれをOMB M-21-31とCISA「Guidance for Implementing M-21-31」から学びます。
NIST CSF 2.0のドラフト版を読みました。
今回は2023年3月に出た米国 国家サイバーセキュリティ戦略を読みます。 「ソフトウェア開発のセキュリティの責任を開発者に押し付けようとしてる!」とか騒がれていた印象だけが残っていたのですが、一通り読んでみました。
前回、EO 14028の第4条を受けて作られたSecure Software Development Framework(SSDF)のnoteを書きました。 今回は、SSDFを適用するための手引きとなるガイダンス「Securing the Software Supply Chain」を読みます。
これまでに書いた記事の一覧です。 複数回に分けた記事は「その1」へのリンクのみ貼ります。
