2018年02月19日に初出の投稿

Last modified: 2018-02-19

攻撃側の技術はややタブーとなっており、あまりパブリックには語られない傾向にある。その点でこの攻撃側の技術を解説した本コースは珍しく、またエキサイティングな内容でもある。

【5日で学ぶ】情報セキュリティマネジメント入門(Python 3/Kali Linux使用)

情報セキュリティや脆弱性対策あるいはペネトレーション・テストのようなツールの使い方でもいいが、そういうテーマについて研修とかセミナーに参加した人の中に、攻撃側の手法は情報セキュリティ業界ではタブーになっていて分からないから教えてもらって良かったなどと感想を書く人がいるようだ。どうしてこんなことを言う人がいるのか、はっきり言って情報セキュリティ技術の専門家でなくとも理解に苦しむ。

なぜなら、そもそも君たち素人がハッカー気取りで使っているペネトレーション・テストのフレームワークこそ、攻撃手法の基本的な仕組みを実装したものに他ならないからだ。そして、こういうテスト用のフレームワークやフリーソフトは、それこそ山のように公開されていて、実際に防御側も攻撃側も使っている。攻撃手法と同じリクエストやメッセージングを実行してこそ目標の脆弱性を判定できるのだと分かっていれば、ペネトレーション・テストを実行している自分が実質的に攻撃者と同じことをやっているということくらい分かるはずだし、その程度の事実を説明しない情報セキュリティの講座とかセミナーというのは、簡単に言えば「クソ」でしかない。そういう小手先のあれこれを MOOC や Udemy とかで教わっても、ツール使いが増えるだけのことだ。『Hacker Japan』ばかり読んで数学を全く勉強しなかった小僧と同じで、現実の会社では何の役にも立たん。

仮に、「攻撃手法はタブーになっていて分からない」というのが広く知られていない POC (proof of concept) のことだというなら、そういうものは専門的な技術者や研究者は Cryptology ePrint Archive とか arXiv.org に投稿されている論文を読んで手法を自分達で考えていくものである。よって、翔泳社やマイナビブックスや ASCII から懇切丁寧に解説してくれるような通俗本を雛鳥のように待っている暇があったら、英語と数学を勉強するべきである。それをせずに自分の無知を棚に上げて「タブー」だなどと気安く言うものではない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook