情報収集と情報発信のポイント/IT-security-info

Transcript

1. 情報収集と情報発信の ポイント ITセキュリティに興味がある学生のための

2. はじめに  ITセキュリティに興味があり、どんどん情報を吸収して 自分のものにし、さらには自分から発信していきたいと いう学生向けにすこし役立つ情報をまとめてみました。  学生として、セキュリティを学びたいという方はこちら をどうぞ。  情報セキュリティ関連の大学研究室Webサイトをまとめて

   みた  https://github.com/akirakanaoka/seclablist  なお、本資料を公開しているSpeaker DeckではLinkが Clickできないので資料をDLすることをおすすめします

3. Webからの 情報収集①  セキュリティ団体の活動を、俯瞰してみて見るには下記資料 がお勧めです。  「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の 活動やイベントを調べてみた」  https://www.slideshare.net/OwaspKansai/owasp-83458226

    「セキュリティ情報の収集方法について」  https://speakerdeck.com/ctrl_z3r0/sekiyuriteiqing-bao- falseshou-ji-fang-fa-nituite  スライド共有サイト  IT勉強会などの発表資料が公開されています。上のLinkもまさ にそのサイトを利用しています。サイト内で気軽に[セキュリ ティ]と検索するとさまざまなスライドに出会えます。  Speaker Deck  https://speakerdeck.com/  Slide Share  https://www.slideshare.net/ 情報の収集

4. Webからの 情報収集②  SNS  Twitter  誰をフォローしてよいか分からない場合  [Hatena]セキュリティ界隈の方々って誰をフォローしてるの？

    http://waaai- tanoshiiiii.hatenablog.com/entry/2018/01/08/023437  Facebook  30代以上のユーザの情報発信が活発な傾向、友達申請するのは、 実際に会って話しをした人が良いでしょう。  さらにセキュリティ関連のグループもあるので探してみてください。  Slack  脆弱性の診断方法を議論するためのグループもあるようです。  ブログ  IT／セキュリティベンダーの技術ブログ  Qiita  Hatena  リアルタイムに進行するセキュリティインシデントを詳細にまとめ た個人ブログ「piyolog」  http://d.hatena.ne.jp/Kango/ 情報の収集

5. 勉強会に 行ってみる  IT勉強会は下記のようなプラットフォームから、開催情 報が発信されているのでチェックしてみてください。  Connpass  Doorkeeper 

   ATND  Peatix  他の参加者とコネクションを作ることで、さらにさまざ まな情報が収集できるようになります。  名刺を作って、出かけてみましょう。 情報の収集

6. SNSで 発信する  自分の得た情報を発信し、共有しましょう。 IT勉強会な どでは、内容のTweetが推奨されていることも多いです。 イベントのハッシュタグを揃えておくとTogetterまとめ に役に立ちます。  内容によっては制限もあるので要注意です。

    スライドを撮影可能かどうか確認しましょう。  発言内容をTweetが可能であるかどうか確認しましょう。  Tweetが思わぬ炎上を招かないよう配慮が必要です。  自身の立場や利害関係者について落ち着いて考える。  公開範囲を確認する。 情報の発信

7. 勉強会で 発表する  さまざまな、情報から刺激を受けると自ら手を動かして みたくなるはずです。その知見をまとめて勉強会で発表 しましょう。  ５－１０分程度のＬＴやピッチとよばれるショートプレ ゼンを披露する場は多数あります。 

   立派な内容はもちろんですが、自分が経験した失敗など でも歓迎されます。  発表が終われば、ブログやスライド共有サイトなどで公 開してみましょう。  発表版／公開版を分けてもよいでしょう 情報の発信

8. 個人情報 の漏えい  勉強会用アカウント、SNSアカウント、さまざまなアカウン トを運用する場合、それぞれで自身の情報をどこまで公開す るかルール決めをしておいたほうがよいでしょう。  自身の情報（メアド、ハンドルネーム、氏名、趣味嗜好）  家族の情報

    居住地や所属の情報  その他のアカウントの存在  投稿内容、アプリ間のアカウント連携、フォロワーやお気に 入りなどさまざまな公開情報をもとに、個人が特定される可 能性もあります。（そのような調査をOSINTと呼びます）  国内のセキュリティ機関も下記の興味深い発信をしています ので検索してみてください。  IPA 2015年5月の呼びかけ  JVN20459920 ファイルの保存場所 情報漏えい 情報の発信

9. おまけ ～CTF ～  楽しみながらセキュリティを勉強する方法の一つにCTFがあります。  CTF (Capture The Flag)

   とは  コンピュータセキュリティの技術を競う大会  Flagとよばれるキーワードを探し当てると、得点となる  CTFに参加するには  ひとまず簡単な常設CTFに参加してみる  自信がついたらオンラインCTFに  CTFを勉強するには  参加記録や解説記事を探す  Google検索→ “CTF Write-up”  書籍で学ぶ  セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るた めの戦い方  イベントに参加する  SECCON Beginners  数か月に一度、全国を巡るキャラバン方式 情報の収集

10. 最後に  この資料の中に、Flagを3つ隠しています  ぜひ楽しんでください  Misc 100点