聞いてるポッドキャストでセキュリティ情報収集どうしているのかといった話題があった*1ので、いい機会だから自分の行っているセキュリティ関連の情報収集をまとめてみた。

前提

• どんな人
  • セキュリティに興味あるWebアプリケーションエンジニア*2
• 興味の範囲
  • Webアプリケーションにまつわるセキュリティ全般
  • サービス開発・運用まわりに関するセキュリティ
• 知りたい情報
  • 関係ありそうな脆弱性情報
  • 興味範囲の最近の話題やトレンド
  • その他セキュリティ関係で話題になっていそうなこと

話題やトレンドはキーワードを拾い後から調べられるように脳にインデックスを作っておくのが目的で、網羅や詳細に知ることはあまり意識していない。

情報ソース

前提に書いた知りたい情報を、各種サイト・ブログ、Twitter、Podcast から収集している。 Twitter は脆弱性情報などスピードが重要なものからトレンドまで幅広く知れてやっぱり便利。

サイト・ブログ

インシデントや脆弱性情報などのニュース的なものは Security NEXT で知り、ブログや発表などは はてなブックマーク に流れてくるものを見ている。 はてブに流れてくるものは関心ワード機能を使ってセキュリティに関する情報を集めるようにしている。

id:piyokango さんのブログは出来事を詳細にかつ客観的にまとめてくださっているので、理解の助けになる。 また、自分がでタイトルだけ見てスルーしていた出来事でも、ここで取り上げているのを切っ掛けに出来事を知ったり考えたりしているので、新たな視点を得る機会にもなっている。いつもありがとうございます。

CISA を見ているのは Known Exploited Vulnerabilities Catalog に追加される脆弱性を見てヤバそうな脆弱性を把握するため。本当は KEV の更新だけ見たいが、これだけ見るには ML に登録する必要があり、面倒で見なくなる気がしたので CISA の更新を丸ごと見ている。

• セキュリティ、個人情報の最新ニュース：Security NEXT
• はてなブックマークの関心ワード
• piyolog
• Cybersecurity Alerts & Advisories | CISA

他にも見ているサイトやブログはあるが、常に見ているのはこの4つが主。 他のサイトは大チェッカーにまとめておく。

Twitter

興味範囲の界隈の人をTwitterのリストに入れて見ている。 過去24時間分を遡れないくらいの人数は入れていない。今数えたら35アカウントだった。

これについては先人の方がまとめてくださっているのでそちらを参照しておく。

ポッドキャスト

日本語でセキュリティについて話すポッドキャストがいくつかあるので聞いている。

ポッドキャストは情報の内容を知ることはもちろんだが、情報そのものよりもそれを元に話される考察だったり話者の反応だったりが一番タメになると思って聞いている。 考察はニュース的なメディアだと得づらいし、テキストだと反応や雰囲気を感じにくい場合もあるので、ここがポッドキャストを聞く価値かなと思う。

また、雑談パートがあるなど聞いていて楽しくラジオ的に聞けるのも重要だと思う。 自分の性格かもしれないが、娯楽な要素があることで聞き続けられる面もあると感じている。

一時期英語圏のポッドキャストも登録していたが、英語のリスニングと内容理解を同時に行うことは今の自分にはやや負荷になるなと思いやめてしまった。いつか再チャレンジしたい。

• podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
  • まとめるきっかけになったポッドキャスト
  • 毎週更新していて関心の外の話題も話してくれているので、コンスタントに幅広く情報を得られる
  • わかりやすく伝えようとされているからか、全然知らない分野の話でもわかったような気になれる
• Secure Liaison • A podcast on Spotify for Podcasters
  • Secure旅団というセキュリティサークルの人達が話しているポッドキャスト
  • 開発者視点の話題が多いので共感して聞けるのが良い
• ひとくちPKI • A podcast on Spotify for Podcasters
  • PKI まわりの話題について話しているポッドキャスト
  • やや関心の薄い分野だけど、知らない世界を聞けるような面白さがあってよい

情報収集に使っているツールと使い方

ここではツールの紹介。

• Slack RSS
  • サイト・ブログの更新チェックに使っている
  • RSS リーダーも使っていたけど、これが一番定着した
  • Slack はずっと立ち上げているし、更新もわかりやすい
  • PC / スマホ / タブレット とマルチデバイスで同期も取れているというもの要素の一つかも
• Twitter
  • リスト機能で気になる人のツイートを見るため
• はてなブックマークの関心ワード
  • 話題になっている情報を見るため
  • ホットエントリーだと見たい情報を絞れないので、関心ワード機能で気になる話題だけ見ている
  • キーワードにしているのは Security と セキュリティ の2つ
    • 微妙に流れてくる情報が違うので、2つ入れることで網羅性を上げている
    • ただし、 セキュリティ の方は時期によってはサイバーセキュリティ以外の情報が多く流れてくるので注意が必要
• Google Podcasts
  • ブラウザがあればどこでも聞けるのが便利で使っている
  • ただし質は微妙な気がするので、代わりになりそうなものがあれば検討したい

普段の情報収集の様子

毎日・週1、更新があればの3パターン。 全部丁寧に見ていると大変なので、ポッドキャスト以外はあまり時間をかけずにさっと流す程度にしている。

• 毎日
  • Twitterのリストに入れている人の直近の更新を眺める
  • RSSの更新を眺める
  • 更新量は日に1回でも見切れる量だが、2,3回に分けてみると丁度いい
    • 自分は暇になったり休憩中に見たりしている
• 週1
  • はてなブックマークの関心ワードを1週間分眺める
    • 週に1回会社のセキュリティ会という集まりがあるので、それにあわせて見る
    • 全部見るのではなく、気になったページを開く程度
    • 読むのに時間がかかりそうなものはブラウザのタブで開きっぱなしにしていたり あとで読む 系ものに放り込んだりする
  • セキュリティのアレを聞く
    • 月曜の夜更新なので、だいたい火曜の午前中に聞いている
• 更新があれば
  • ポッドキャストを聞く

まとめ

自分のセキュリティ関連の情報収集のやり方をまとめてみた。 書き出してみると、結構色々やっていることに気がついた。

インプット分のアウトプットやそれ以外の何かが出来ているのかと言うと微妙な気もしてきたので、今後はアウトプットの方も意識していきたいなと思う。 まずは感想をツイートしてみるくらいから始めていきたい。