情報収集 - 雑な日記

一人CSIRTの情報収集はどうしているのか書いてみよう

一人CSIRTって、やる事が多いから正直情報収集に割ける時間は限られてくる。NCAの資料に書いてある役割の多くをこなさないといけないからね。でも、情報は何よりも大切だし、おろそかにはできない。脆弱性が見つかった場合なんかはすぐにパッチの検証とかやらないといけない場合もある。

けど、正直ムリ。全ての情報を集めるのなんてムリムリ。

その辺はスッパリと諦めよう。

デマに流されないようにするためにも、一次情報は重要だけど、鵜呑みにはできないので、検証とかを自分でやらないといけない。ただ、一人CSIRTには検証する時間なんかどこにもない。だから勇気を持って諦めよう。そこは専門のリサーチャーに任せる領域と割り切ろう。

一人CSIRTにとって大事なのは、一次情報じゃない。信用できる二次情報のほうが大事。

信用できる二次情報をどうやって見分けるかって？

一人CSIRTにはTwitterが最強の装備品なんだよ

もはや説明する必要もないと思う。

Watchするのは、次の二つのリスト。ただそれだけ。

・whitehats（@yousukezan さん）

・Security-JP（@MasafumiNegishi さん）

重複して流れてくる情報も多いけど、基本的にはこの二つのリストを見ておけば大丈夫。

常にTwitterを見るためにも、画面は複数枚必要。最低でもデュアルディスプレイの環境は必須。

他に見るべきものとしたら、会社名とかサービス名とかでエゴサーチしておけばいいんじゃないかな

Twitterの画面は常に表示させておいて、他の仕事をしながら眺めてる感じ。

初めはなれないかもしれないけどそのうち慣れるから大丈夫。

もちろん流れてくるものを全部追う事はできないし、そもそも追うつもりはない。

重要な情報や脆弱性の話は、何回か見逃しても他の誰かがリツイートしたりするから、結果的に何回も流れてくる事になる。だからタイムリーに情報をつかむ事も諦めよう。

流れてきた時に捕まえられたらそれが自分にとってのベストのタイミングだった。そう思うことが大事。

Twitterのもう一つ便利なところは、時事的にHOTなトピックが勝手に流れてくるところ。それはセキュリティだけではなく世の中的な話題ももちろん多い。なのでそういった情報もちゃんとキャッチしておこう。特に他社で発生したインシデントなんかはチェックしておかないといけないよね。

それと、自分が気になった情報はリンク先を開いておいて、後でまとめて読もう。

知識の幅を広げるためにも興味があったものはとりあえず開く。これは業務に直接の関係がなくてもOKだと思ってる。周りに何か言われても「何かの役に立つかもしれないから見てるんだよ」って言えるくらいになるといい

1日に何回も情報が流れてくるとしても、やっぱり情報はすべて拾う事は難しい。

なので、他人の力を借りよう。

さっきも出てきた　yousukezanさんがほぼ毎日その日のトピックをまとめてブログにUPしているので、このサイトを見るのは日課にしよう

他にもインシデントが発生した時には、piyologとかもあるけど、それは別の機会に書こう