(雑談記事です)
既に2019年が始まってしばらく経ちますが、ある人と話していて、何でインシデントを分析する必要があるの?と聞かれてふと考えてしまいました。
インシデント分析をやり始めて数年経ちますが、本格的にとなるとこのブログを書くようになって、情報収集のやり方を本格的に模索する様になりましたし、セキュリティリサーチャーの緒先輩方のセミナーを意識的に聞きにいったりする様になりました。
1年ちょっと、このブログをやっていて、セキュリティ分野でインシデント分析が役立つ事は何か?と思い返してみると、考える事のトレーニングになったのは大きいかも知れません。
私が持っている情報は、ニュース記事をベースにした公開情報が多い、つまり1次ソースではありません。複数社の新聞記事があったとしても、同じ公式発表から出ている事も多く、どこも同じ様な内容だったりします。しかし、ある記事には事故原因が書いてあったり、別な記事には関係者の取材コメントが出ていたりして、記事の差分から見えてくる事があったりもします。
公開情報として入手できる、限定された情報から何が見えてくるか、日々出てくるセキュリティインシデント情報を素材に、そこから何が導き出せるのかを試行錯誤するのが記事を書く事なのかなと思います。
考え方の訓練としては、ベストではないと思いますが、セキュリティを考える上で、色々な引き出しが増えている気がします。
自分の書いた推測が多分に含む記事に対して、事件の公式発表では曖昧な書き方しかされない事が多いので、正直、自分の書いた推測記事が合っているのかは分からない事が多いのですが、同僚との会話であったり、セミナーやセキュリティコンサルでお客のところで会話した時に、意見交換の材料ともなっているので、自分としては良い効果が出ていると思います。
とは言え、間違ってる事を書いている場合も結構あるかも知れません。
その時点で入手できる公開情報の中で考えるので、自分としては仕方が無いのかなと(勝手に)思っています。
とは言え、書く際に気をつけているのは、自分の意見なのか、記事で専門家の方が言っている事なのかをはっきり分けること(このブログ記事だと青字が私の意見、緑が引用内容となるべく使い分ける様にしています)、そしてその考えに至った根拠(らしきもの)は何かは、意識して書ける様にと努力しています。
考えるトレーニングという意味で効果があったと感じるのは『時系列』で整理する事です。ニュース記事の文字を読むと、そのまま流してしまうことも、時系列にまとめ直すと、文字では見えない矛盾(疑問点)が出てくる事も多いので、色々な意味でセキュリティ分野での『勘』が良くなるトレーニングとなると思います。
更新履歴
