コロナ渦のリモートワークラッシュでサイバーセキュリティは人手不足

基本が大事。それはセキュリティも同じという話

Photo by Shahadat Rahman on Unsplash

Redditでこんなのを見つけた

コロナでリモートワークが普及したこともあり、いまだかつてなくサイバー攻撃が活発化していて、それに対応するサイバーセキュリティのプロは常に数で攻撃者に圧倒されているという話。

じゃあサイバーセキュリティ専門家の需要が高まったからと言って増やせばいいのかっていう話ではない。

３日で実戦に入れるような世界ではないので一朝一夕に人が増やせるわけじゃあない。私はサイバーセキュリティの専門家ではないITリスク屋で、サイバーセキュリティに関しての知識は最低限あるけど、今から実戦でサイバーディフェンスやれって言われたら何ヶ月も訓練しないと駄目だと思っている。知識として持っているのと前線で戦うのは違うのである。

で。この空前のパンデミック、攻撃者にとっては千載一遇のチャンスということなんだけれども対抗する人が増やせないとなれば我々はやられるしか無いのか、というとそうでもない。

ちょっと話はそれる（それない）けどOWASPという組織が数年ごとにOWASP top10という今流行りの上位10個のWebアプリの脆弱性を発表している。2017年が最新版だけどその日本語版がこれ。

引用すると

• A1：2017：インジェクション
• A2：2017：認証の不備
• A3：2017：機微な情報の露出
• A4：2017：XML外部エンティティ参照（XXE）
• A5：2017：アクセス制御の不備
• A6：2017：不適切なセキュリティ設定
• A7：2017：クロスサイト・スクリプティング（XSS）
• A8：2017：安全でないデシリアライゼーション
• A9：2017：既知の脆弱性のあるコンポーネントの使用