徳丸さんに質問した人と、それに対する徳丸さんの返事が重い。
質問内容にやや丸投げ感はあるものの、核心を突いていて大変ためになる。質問力が高いと唸らされる。
それに対する徳丸さんの返事も比較的明確だが、いまいち歯切れが悪い。
アップデートが早すぎて体系化されていないのかなあ。忙しすぎて体系化できないのかなあ。
難しい。そんなことにも気づかなかった自分の勉強不足を痛感。
脅威分析については良い教科書がなくて困りますね。こちらは古典ですが、入手困難です。https://t.co/QVx26cINVW
英語でよければ下記があります。https://t.co/gqsBDU03fV
無料の教材はIPAが出している資料が使えますので、検索してみてください。
しかし、独学は…https://t.co/lPsD2w6YX4— 徳丸 浩 (@ockeghem) March 15, 2021
閑話休題。
脆弱性診断、脅威分析って奥が深いなと思い適当にググったら良さそうなサイトが見つかった。
オワプス・ジャパンと読むらしい。徳丸さんも関係している団体らしい。
上記のサイトによると、
脆弱性診断=脆弱性やセキュリティ機能の不足を「網羅的に洗い出す」ことを目的とし、システムに内在するリスクをすべて洗い出す診断。
ペネトレーションテスト=実際に「脆弱性を悪用する」ことで、明確な意図を持った攻撃者がその目的を達成することが可能であるかどうかを検証すること。
らしい。
自分もペネトレーションテストと脆弱性診断を同じものとして括っていた。
反省反省。
後半は脅威分析の話関係ないけれど自分メモなのでまとめて記載。
コメント