セキュリティ情報の情報源(どこを調べればよいか)
IT関係の技術者はセキュリティに関心を持たねばならない、とよく思います。じゃあ具体的に何に関心を持って、どこを調べて、どんな知識を仕入れればいいの、とも思います。勿論こういうことはケースバイケースだし、自分がどんなフィールドにいるかでも変わって来るので一概に言えるわけではない・・・。なので、ここではよくそこらに居そうなWebのバックエンド系や、エンタープライズ系のSE(ようするに自分のような人)向けの情報をまとめようと思います。
まとめるとか言ってるけど、単に自分用の備忘録でもあります。
人
- 高木浩光 高木浩光@自宅の日記 http://takagi-hiromitsu.jp/diary/ サービスの利用規約とか個人情報とかに対する切り込みが激しい。脆弱または悪質なサービス・システムはこの人に指摘される・・・!
- 徳丸浩 HASHコンサルティングオフィシャルブログ http://blog.hash-c.co.jp/ 徳丸浩の日記 http://blog.tokumaru.org/ 結構実装寄り・システム寄りの話が多い。DNSキャッシュポイズニングとかハッシュの扱いとか。
本・資料
- [tmkm-amazon]4797350997[/tmkm-amazon] 情報セキュリティスペシャリストの勉強のために読んだ。良い本。共通鍵、秘密鍵、証明書などしっかり理解できる。
- IPA 安全なWebサイトの作り方、安全なSQLの呼び出し方 https://www.ipa.go.jp/security/vuln/websecurity.html 上記の徳丸さんなども、ここを読んでくださいと言っているように(著者の一人だし)、正確かつ基本的な情報。SQLインジェクション対策の基本はサニタイジングではなく、PreparedStatement(静的プレースホルダ―)、など情報が正確。
まだ情報は少ないですが、見つけたらどんどん追記したいです。