「脅威インテリジェンスの教科書」石川朝久/著が素晴らしかったのでベタ褒めする

著者の石川さまから、「脅威インテリジェンスの教科書」を献本いただきました。これが素晴らしい本だったので紹介したく、この記事を書きました。
決して献本いただいたからではなく、自分で買ったとしても、同じ感想になると思います。

読んで良かった! 素晴らしい本をありがとうございます。

どのような本なのか

主な読者としては、セキュリティ業務の中でもSOCやCSIRT、それから「セキュリティ統括室」のような部門にいる方だと思います。しかしそれ以外でも、あらゆるセキュリティ業務の従事者にお勧めしたい。知っておくべき情報が山盛りです。

本書はその名の通り、脅威インテリジェンスについて体系的に紹介した本です。

Part1 理論編
Part2 実務編
Part3 応用編

の、3部構成からなります。「体系的に」というのがポイントで、私のようにきちんと専門教育を受けずに「体当たり」でこの世界に飛び込んだ人間は、どうしても知識や考え方が飛び飛びになりがちです。一つ一つのキーワードやフレームワークは知りつつも、それがどう有機的に絡み合って全体を構成しているのか、なかなか見渡すことができない。結果、eventごとに体当たりの非効率な動きになりがちです。

さらに脅威インテリジェンスという性格上、その範囲はどうしても膨大になります。技術的な部分や人間心理をどこまで細かく説明するか、いわゆる古典的な情報機関の活動をどこまで踏み込むか、それにより書き方も分量も大きく変わるでしょう。

情報機関の本として有名なものは、小谷賢氏の「インテリジェンス 国家・組織は情報をいかに扱うべきか (ちくま学芸文庫)」だと思います。

一方、本書は、多くの人が近年に脅威インテリジェンスと聞いて想像されるものの通り、CTI(Cyber Threat Intelligence)を扱っています。CTIは領域が実に膨大で、その広範囲な内容を書籍にしようとするのは一大プロジェクトです。テーマを抜き出すだけでも大仕事でしょう。その結果として、単語の羅列がひたすら繰り返される……という「本なのか、ただのリストなのか、よく分からん」状態になりがちです。

しかしこの本は、これだけの膨大な事項をきちんと整理し、それぞれについてきちんと解説を付けた上で、詳しい部分は参考文書/参考URLを付けて紹介するという形を取っています。そのため、より深く学びたいpointごとに迷うことがなく、また各説明は実に的確。かつ短すぎず長すぎず、非常に見通しが良い。

私も本を書いたことがあるので分かりますが、単に事例を紹介するにしても、きちんと理解し自分の言葉でかみ砕いて説明しているのものと、公式サイトからのコピペでごまかしているものの差は、読者が読めばすぐにバレてしまいます。この本では、そのようなごまかしが全く感じられませんでした。

「一歩先」を見据えた教科書

この本の特長は、キーワードや単語を説明してサラっと触れるだけでなく、「もっと理解するには、これを読んどけ」と細やかに参考文書を付けていることでしょう。これほど丁寧に、ひとつひとつの事項にreferenceを付けている本を見たのは初めてです。膨大な脚注を見てびっくりすると同時に、著者の知識の奥深さに圧倒され、自分の「無知」を思い知らされてしまいました。これだけの知識・ノウハウを研修やトレーニングなどで受けたら、こりゃ100万円は取られますよ。本の価格はもはや誤差です(?)。

駆け出しThreat Intelligenceの人間として、これからの指標となる素晴らしい本でした。この本でまずは全体を見回し、知らない言葉・あやふやな言葉は紹介されているreferenceを追ってみるという形で相当な力が付くと思います。ざっと一周しただけでも、調べなければいけないキーワードが山ほど出てしまいました。

Need-To-Know, Need-To-Share

2022年現在のオンライン時代では各地のカンファレンスがオンライン主流になったため、時差さえ克服すれば地球の裏側にも気軽に行くことができます。私はBSidesが好きで、2020年にBSides Athens(アテネ;ギリシャ共和国)にオンラインではじめて参加したときは、特に楽しかったです。

https://www.youtube.com/playlist?list=PL7WzoM1ttDZi9TThoAbcbE3jxEIhbqXLh

ギリシャには一度も行ったことが無いのに、日本から遙か離れたところにあるアテネのカンファレンスに、自宅のmacBookから一瞬で参加できる……今までそこに当たり前にあったはずのIT技術ですが、改めてその素晴らしさに感動しました。

本書でもBSidesの紹介はあるのですが、普通はBSidesというと、大抵はBSidesLV(ラスベガス)のみを紹介してオシマイ、というのがほとんどです。でも地方の小さいBSidesも、ローカルでゆるい感じがあって楽しいですよね。
それに大物の方が、大きな有償カンファレンス(ものすご〜くお高い)の内容をチョイ出ししてくれたりして、嬉しいハプニングもあったりします。この辺りも触れてくれていて、

また、小さなカンファレンスであっても、……<中略>……講演を聴くことのできる非常に良い機会でした。

「脅威インテリジェンスの教科書」p.239 より

と、著者の石川さんも各地のBSidesへ参加されていたことが書かれていました。なんというフットワークの軽さと、旺盛な行動力。うへー。

終わりに

書評というかベタ褒めというかファンレターっぽくなってしまいましたが、それほど感動したということです。うーん、良い本だ。

脅威インテリジェンスの教科書 / 石川朝久

2022年のBestセキュリティ本は、既に決まった!

目次

出版社からの引用です:

第1章 脅威インテリジェンスの基礎理論
1.1 脅威インテリジェンスの定義
1.2 脅威インテリジェンスの目的と必要性
1.3 脅威インテリジェンスの分類
1.4 インテリジェンス利活用に必要な成熟度とアーキテクチャ
1.5 まとめ

第2章 Tactical Intelligence:戦術インテリジェンス
2.1 IOC
2.2 事例:IOCを利用した予防・検知・対応
2.3 事例:脆弱性管理への応用
2.4 まとめ

第3章 Operational Intelligence:運用インテリジェンス
3.1 TTPs
3.2 MITRE ATT&CKフレームワーク
3.3 事例1:リスク評価
3.4 事例2:敵対的エミュレーション
3.5 事例3:アーキテクチャの改善
3.6 事例4:脅威ハンティング
3.7 事例5:インシデント対応
3.8 まとめ

第4章 Strategic Intelligence:戦略インテリジェンス
4.1 セキュリティにおける経営層・リーダーの役割
4.2 Strategic Intelligenceとは
4.3 準備フェーズ
4.4 分析フェーズ
4.5 報告フェーズ
4.6 まとめ

第5章 脅威インテリジェンスの実務
5.1 良いインテリジェンスとは
5.2 インテリジェンスプロセス
5.3 メンタルモデル
5.4 情報収集技法
5.5 分析技法
5.6 レポーティング技法
5.7 インテリジェンスの失敗
5.8 さらなる学びのための文献紹介
5.9 まとめ

第6章 脅威インテリジェンスの共有
6.1 インテリジェンス共有の理論
6.2 情報共有コミュニティ
6.3 脅威インテリジェンスプラットフォーム
6.4 共有フォーマット
6.5 まとめ

第7章 脅威インテリジェンスプログラムの構築
7.1 脅威インテリジェンス活用に向けた組織的成熟度
7.2 脅威インテリジェンスプログラムの構築
7.3 プログラムの運用
7.4 まとめ

第8章 Attribution:アトリビューション
8.1 Attributionの基礎
8.2 Attribution技法による分類
8.3 攻撃グループの動機に基づく分類
8.4 Attributionにおける分析モデル
8.5 攻撃キャンペーン・攻撃グループの命名
8.6 Anti-Attribution:アンチアトリビューション
8.7 Anti-Anti-Attribution:アンチアトリビューションへの対抗
8.8 Attributionの課題と倫理
8.9 まとめ

第9章 Cyber Counter Intelligence:サイバーカウンターインテリジェンス理論
9.1 Counter Intelligence:カウンターインテリジェンス
9.2 防御的アプローチ:Defensive Cyber Counter Intelligence
9.3 攻撃的アプローチ:Offensive Cyber Counter Intelligence
9.4 Active Defense
9.5 まとめ

Appendix A サイバーセキュリティフレームワーク
Appendix B リスク評価
B.1 リスク再考
B.2 リスクマネジメントプロセス
B.3 アセスメントフェーズ


この記事が気に入ったらサポートをしてみませんか?