どの業界にも言えることですが、実体験では手に入らない情報やノウハウを書籍を読むことで入手することはとても重要です。本企画では各分野の専門家の方にお勧めの書籍を紹介していただきます。

初回は、セキュリティの有識者、辻伸弘氏に紹介をお願いしました。テーマはもちろんセキュリティ。ソーシャルといった最新分野から、パケット解析などの専門性の高いものまで、幅広く取り上げているので、皆さんの興味にあったものを見つけて、このお正月休みにご覧になってはいかがでしょう。

関連記事 : スペシャリストの選書 - (1) セキュリティ 辻伸弘氏      
関連記事 : スペシャリストの選書 - (2) 要求定義 三輪一郎氏       
関連記事 : スペシャリストの選書 - (3) 開発プロセス 正木威寛氏     
関連記事 : スペシャリストの選書 - (4) プロジェクトマネジメント 岡大勝氏
関連記事 : スペシャリストの選書 - (5) モデリング 羽生田栄一氏     
関連記事 : スペシャリストの選書 - (6) プログラミング 伊藤直也氏    
関連記事 : スペシャリストの選書 - (7) クラウド 後藤和貴氏       
関連記事 : スペシャリストの選書 - (8) システム運用 原田旨一氏     
関連記事 : スペシャリストの選書 - (9) ネットワーク 藤田雄介氏     

プロフィール

辻伸弘(TSUJI Nobuhiro)


NTTデータ先端技術株式会社 セキュリティ事業部 セキュリティ診断ビジネスユニット ネットワークセキュリティグループ チームリーダー。1979年大阪府生まれ。

セキュリティ・エンジニアとして、コンピュータの弱点を洗い出し修正方法を助言するペネトレーション検査などに従事している。自宅では、趣味としてのハニーポットの運用、侵入検知システム(IDS)による監視、セキュリティ情勢の調査および分析などを行っている。

『実践ネットワークセキュリティ監査』

『実践ネットワークセキュリティ監査』
 ―― 著者 : Cris McNab、発行 : オライリージャパン

ネットワークセキュリティに欠かせないペネトレーションテスト(侵入テスト)とは、システムに対して実際に攻撃を行い、脆弱性を発見し修正の提案を行うテストを指します。そのペネトレーションテストについて網羅的に解説しているのが本書です。

実際の攻撃の手法やその改善策にも言及しているほか、Webサーバーやメールサーバー、FTPサーバーなどを例に上げ、それぞれに対する攻撃の仕方を解説しています。

ネットワーク管理者やサーバーの構築者、これからシステムのセキュリティに携わろうとする人にお勧めの1冊です。

『実践Metasploit』

『実践Metasploit』
 ―― 著者 : David Kennedy、Jim O'Gormanほか、発行 : オライリージャパン

Metasploit Frameworkとはペネトレーションテストに使うソフトウェア群です。攻撃やその調査に役立つのコードなどがたくさん詰め込まれており、有償でも無償でも提供されています。

本書では、Metasploit Frameworkの各機能を章立てて説明しています。システムに対する攻撃方法だけでなく、システムに侵入した後にサーバーから情報を取得する手法なども解説しています。

先ほど紹介した『実践ネットワークセキュリティ監査』を読んでシステムに対する攻撃の手法を幅広く学んだ方が、侵入の手法をより深く理解するのに適しています。

『体系的に学ぶ安全なWebアプリケーションの作り方』

『体系的に学ぶ安全なWebアプリケーションの作り方』
 ―― 著者 : 徳丸浩、発行 : ソフトバンククリエイティブ

先ほど挙げた2冊がOSおよびサーバーにおけるセキュリティであるのに対して、本書ではその上のレイヤー、つまりWebアプリケーションにおけるセキュリティを取り扱っています。

プログラムのコードを数多く例示しており、プログラマが見落としがちなコード内の脆弱性はなぜ生まれるのかや、それらを解消するプログラミング、対処方法などを体系的に学ぶことができます。

サンプルコードを通して学ぶ事ができ、Webアプリケーションの開発者やテスターに必読の1冊です。

『ソーシャル・エンジニアリング』
 ―― 著者 : Hadnagy、Christopher、発行 : 日経BP社

『ソーシャル・エンジニアリング』

システムを安全に運用するには、コンピュータのセキュリティだけでは不十分です。コンピュータに接する人の振る舞いも含めた広義のシステムを意識しなければなりません。どんなに堅牢なコンピュータシステムを構築しても、それを使う人から情報が漏れたりしたら意味がないからです。

そうした人の心理にフォーカスしてセキュリティを論じているのが本書です。人の隙を見つける方法や、その隙につけ込む方法など、コンピュータとは直接関係ないことも取り上げています。コンピュータセキュリティへの関係の有無を問わず、すべての人にお勧めします。

『実践パケット解析』
 ―― 著者 : Chris Sanders、発行 : オライリージャパン

アプリケーションの実行中に起きるトラブルの原因を知るには、通信の中身を見る必要があります。

『実践パケット解析』

Webブラウザでリンクをクリックするというひとつの行動に対しても、アプリケーションの裏側ではさまざまな通信が行われます。アプリケーションの画面上ではわかりにくい事象も、裏で行われる通信を見ることでその原因を知ることができ、トラブルシューティングの取っ掛かりを得ることができます。

本書ではその通信の解析について説明しています。アプリケーションの開発者、テスタ-、学生など幅広い層に読んでいただきたい1冊です。