7月下旬に以下の件名のメールをISCより受け取りました。 New! Free Career Development Courses – Just for ISC2 Members 本文を和訳すると以下のように書かれていました。 変化の激しい現代のサイバーセキュリティ業界において、時代の流れに乗り遅れないことはこれまで以上に重要です。私たちは、その道のりを一歩一歩サポートします。 そこで、今回 「キャリア開発エクスプレスコースバンドル」...
2025, Sep 07 —「経営層にセキュリティを理解させる技術」を書かれた伊藤和也さんの書籍の紹介第3弾。 セキュリティはツールの導入のような技術的対策だけではなく、全従業員の「意識づけ」が必要になります。セキュリティ対策を考えるのは私たちの役目かもしれませんが、それが守られないと意味ないですから。しかしあまりにガチガチのルールを作ると守ってもらえません、セキュリティ疲れも起こしてしまいます。日常生活や業務の中で空気を吸うかのように自然にセキュリティ対策ができるよう、セキュリティ担当者(セキュリティエンジニア)は現実的なセキュリティポリシーを策定してリードする必要があります。 この本で書かれている内容はCIAトライアドやCIAトライアドを実現するための施策など、セキュリティの界隈では「お約束」であり、セキュリティの専門家であれば「知っているよ」という内容も多いかと。しかし”知っている”と”できる”は雲泥の差。 組織内でリーダーシップを発揮して他の事業部や全社員を巻き込んでルールを浸透させられるか? 経営層にツールの導入を承認してもらえるのか? 責任感と倫理観を持ってセキュリティ対策に心折れずに取り組めるのか? セキュリティ担当の肩書が張りぼてでないかが問われます。自分も書いていながらあの対策(自主規制)・この対策(自主規制)が出来ていないことを思い出しました。多くの会社が他社のセキュリティ被害のニュースを見て”自分の会社は運よく現状攻撃されていないだけだ”と思っているのではないでしょうか。 この本では”内部犯行”についても章が割かれています。これは僕がセキュリティ対策について取引先に説明していた時です「しかしそれ、社員のAさんとBさんがグルになって不正を行ったら気が付きませんよね」実際そうなのです。セキュリティ対策が100%に達しないのも、内部不正を完全に断ち切ることができないこと。いくら操作ログを常に取得していたとしても、気が付くのは事故が起きた後、ですからね。悪意の前には無力です。 特に、ツールを導入、操作する立場にある人が内部不正を行った場合、アクセス制限は解除されてしまいますし、監視も無効化されてしまいます。登録セキスぺのオンライン研修で倫理を問われるのはそれだと思います。この本でも”サイバーセキュリティと倫理”という章で「技術力という”力”をどう使うかを考えなければならない」と書いています。 近年話題を聞かない日はないAIは、私たちのセキュリティに対する常識を根本的に変えうるゲームチェンジャーです。攻撃側も防御側もこれを利用します。つまり技術は人間の意志に従います。どれだけ技術が進化しても、セキュリティの真の鍵、真の弱点は人間です。 伊藤和也さんの他の書籍と内容が重複する部分もありますが、最後の「セキュリティエンジニアのキャリア戦略」はこれまでの書籍では書かれていなかった内容です。スペシャリストになるか、ジェネラリストになるか。自分の強み・モチベーションを踏まえてキャリアを積むことを意識しました。 このブログ記述によるアウトプット(とそれに必要なインプット)もキャリア蓄積の役に立つかもです。
2025, Aug 31 —以前紹介した”セキュリティ担当者のためのセキュリティエンジニアとして活躍するために身につけておきたいSC思考”の著者が記した本になりますが、内容は異なります。同時に、今まさに自分が知りたいことがタイトルに書かれています。 情シスが社内にセキュリティの導入を進めることは多いと思います。しかし情シスはコストセンター、ただでさえお金を稼いでいない立場です。そのうえで会社にとっては追加のコストとなるセキュリティ対策をお願いしなければならないのです。 仮にあなたが会社のセキュリティ業務を密接かつ濃厚に携わっていたとします。取引先からもセキュリティ対策を求められ、社内のセキュリティの弱点も見えています。社会のニュースを見ていると明日は我が身、そうそうに脆弱性を潰しリスクを減らす必要があります。経営層に提案しなくては! ・・・しかし経営層は首を縦に振りません。そしてインシデントが発生しました。「なんで早くセキュリティ対策を導入しなかったんだ!」という未来は想像したくはありません。 僕も会社のCTOと話をすることがあるので身をもって分かっていることがあります。経営層は情報漏洩がブランド価値を損なうこと、法規制が厳しくなっていること、取引先から厳格なセキュリティ要件を求められていることは理解しています。また最新の技術についても僕たちより知っていることもあります。ではなぜ首を縦に振らないのか。経営層は文字通り経営を行っているため、まず第一に考えることはビジネスです。それに対してエンジニアは往々にして技術を語るため、提案された経営層はこう考えます。 リスクは分かっているが、今すぐ対応が必要なのか? 専門用語だらけで分からないから決められない リスクの大きさが分からない、どれくらい危ないのか、どんな影響があるのか この投資は企業の成長につながるのか? 他の事業投資に比べて優先すべきなのか? このギャップを埋める具体的なテクニックが紹介されています。以下を説明に盛り込むべきだ、とあります。 被害の可能性 このような脆弱性があるよ 年間でこれくらい被害がでているよ 競合他社は何%対策済みだよ...
2025, Aug 25 —暑い日々が続いていますね、今日は8月三連休の中日、雨が降って涼しい、恵みの雨となってくれると良いのですが。 今月もセキュリティに関する気になる記事をピックアップしていきます。 セキュリティ運用「自動化やAI活用が不可欠」言うは易し――現状プロセスを分析する4つの方法、AIも働きやすくする3つの環境整備ポイント セキュリティの現場が直面する課題として、保護・監視対象システムの増加、攻撃の複雑化、セキュリティ人材の不足、コスト削減圧力の4点を挙げる。これらの課題に対し、人による「運用でカバー」でなんとかするには限界があるので、「自動化やAI活用が不可欠」とされているが、そう簡単な話ではない 毎日のようにAIを業務に利用していますが、セキュリティの業務もAIで楽になりたい。なんかよい方法はないものか。やっぱりAIの利用をスケジュールによるAPI呼び出しで自動化するのが王道か。しかしどんな文言をスケジューリングすればよいのかはまだ分かりません。 ※この記事は連載記事なので、次更新する際には回答を得られるかもしれません。 4,000社のセキュリティ対策を読み解く|他社が実施できていること、遅れていることを徹底解説 SecureSketchは無料で利用できるセキュリティ対応を管理できるサービスで、その特徴として「共通化したセキュリティ対策がよその会社でもどれくらい対応されているのかを比較できる」点があります。まさに表題の件は知りたいことで、セキュリティがすべてを100%対応することができない以上「よそも対応していることを我が社も対応する」というのは対応の基準になると思います。 高いレベルで対策ができている項目について、自分なりの言葉で列挙してみました。 リスクアセスメント ハードウェア、ネットワーク機器の資産台帳管理 セキュリティポリシーの策定と社内への啓発 セキュリティ対策規程の策定と社内への啓発 うん、自分の会社もだいたいやっていると胸を張れそうだ。 いっぽうで対策が遅れがちな項目は...
2025, Aug 10 —AIという言葉を聞かない日はない日々この頃ですが、非常に面白いタイトルの動画を見つけたので視聴してみました。 Devinは昨年公開時たいへん話題となった「AIソフトウェアエンジニア」です。 これまでのAIコーディングツールが、コードの補完や部分的な生成といった「アシスタント」的な役割だったのに対し、Devinは「自律的なソフトウェアエンジニア」として振る舞うことを目指しています。つまり、人間が自然言語でタスクを指示するだけで、そのタスクを遂行するために必要なプロセスを自ら計画し、実行し、結果を報告することができます。人間が作業をしている裏で勝手にリポジトリからpullして、コードを書いて、テストして、デプロイします。進捗をSlackで報告することも。まだ人間に比べて能力は劣るものの、新入社員程度のソフトウェアエンジニアを、人間を雇うよりも(そして解雇するよりも)簡単にメンバーとしてプロジェクトにアサインできるようになる。そして昨今のAIの爆発的な進化を考えると、近い未来我々から仕事を奪う驚異的な存在になるかもしれません。 TakumiはGMO Flat Securityがサービス提供している脆弱性診断AIエージェント。GMO Flat Securityは、セキュリティ脆弱性診断を生業としている会社。自社に蓄積された豊富な知見を基にLLMを作成し、でソースコードに対する脆弱性診断をしてくれるAIエージェントを開発しました。AI・LLMの時代に覇権を握るには、自社でどれだけデータを持っているかはますます重要になるのでしょう。 まずはDevinに「ログインできるToDoリストアプリを作ってくれ」指示を出します。Devinがより理解できる英語で指示を出します。Devinがエディアを使って自動で開発を進めてくれます。人間やることないw DevinのようなAIソフトウェアエンジニアを使うと、人間がキーボードに手を置かずに開発が行えるようになります、これが”Vibe Coding”。これまで以上にソフトウェア開発が一般化し、非ソフトウェアエンジニアもソフトウェアを作れるようになりました。その能力はまだまだ発展途上ですが、将来的には利用者自身の能力を超えるでしょう。 一方、ソフトウェアの責任はAIではなく人間がとらないといけません。となると、コードを書くよりもAIがアウトプットを読むほうことのほうが増えるでしょう。皆さんも経験上、他者が書いたコードのレビューをするのはモチベーションが上がらなかった経験あると思います。さらに、AIソフトウェアエンジニアが並列で次々とソースコードを作ってくれると、それを管理するのがたいへんになるでしょう。今までエキスパートとしてふるまっていたソフトウェアエンジニアが、これからはAIエンジニアを束ねるマネージャーとしての役割を担うようになります。書いていて、あらためてすごい時代に生きているな…。 そうこう言っているうちにDevinが指示したアプリを作ってくれました。早い。人間では出せない速度です。さっそく発表者がコードのレビューをおこなっています。ざっと見た感じしっかり作ってそうですが、エンジニア側が高速化する以上、マネージャー側も高速化しないといけません。そこで作成されたコード、アプリケーションがセキュリティ脆弱性が含まれていないか、レビューする際に力を発揮するのが紹介されるTAKUMI(テレビショッピングの流れですねw) TAKUMIはSlackに常駐し、チャンネルごとにアクセスできるデータ(ソースコード)が分離されているとのこと。先ほどDevinがpushしたリポジトリにアクセス権を与え、脆弱性診断を指示すると、こちらも勝手にレビューを行います。Slackに何を確認しているのかを投稿しているのは面白いですね。TAKUMIはその性質上、スピードよりは繰り返しのレビューを行うことで、精度を重視しているとのこと。数時間くらいかかるそうなので、仕事が終わったら走らせて、翌朝レポートを見る、という運用がよさそう。脆弱性があるライブラリを見つけてくれたり、想定していないユーザが閲覧できてしまう権限が設定できてしまう、などの脆弱性診断結果レポートをアウトプットしてくれました。 で、ここからが本番。タイトルでは「vs」と書いてありますが、(アニメのvsが付いているやつと同じでw)最終的にはDevinとTAKUMIは協力します。TAKUMIのレポートをDevinに食べさせると、レポートで指摘された箇所を修正してくれます。うーん、人間のやることは仲介することだけか。そして修正されたコードをあらためてTAKUMIにレビューさせます。...
2025, Aug 03 —ゴールデンウイーク明けから先月末まで仕事が特に忙しく、自己研鑽もセキュリティに対する自己研鑽もアンテナも動けませんでした。7月になってやや落ち着いたのですが、学習意欲が減退していることに気が付きこれはいけないと、2か月分のセキュリティニュースをチェックします。 「Cyber-sec+(サイバーセキュリティ プラス)」から情報チェックです。 生成AIセキュリティの最前線:LLM活用で考える「攻め」と「守り」のバランス Office 365やGoogle Workspaceなどの企業内で利用しているグループウェアにもLLM機能がどんどん実装されていくため、必然的に生成AIが業務内に組み込まれています。そんな中情報セキュリティ部門は何を気を付けなければよいのでしょうか。 新しいツールやモデルが日々登場し、進化していくスピードに対して、それらを評価・導入するためのセキュリティチェック体制が追いつかないという問題です。特に大規模な組織ほど、既存のソフトウェア導入フローに則ってセキュリティチェックを行う必要があり、これが数週間から数ヶ月かかる場合があります。このチェックがボトルネックとなり、新しい便利なツールを迅速に導入できない状況が生まれます。 解答案としてこの記事では生成AIツールの利用をトライアルという形で社内で申請させる案を出していますが正しいと思います。シャドーITを防ぐ効果もありますし。 個人情報の漏えい時のインシデント対応のキソ タイトル通り基礎的な内容ですが、とても分かりやすいです。 個人情報保護法の改訂によりISO:27001も改訂され、個人情報と個人データは別物に扱われるようになりました。僕も会社のセキュリティインシデントの対応していることがあるため、個人情報における個人識別符号の定義など参考になりました。 内閣官房に聞く「能動的サイバー防御」~今、知っておくべき6つのポイント インタビュー内容自体はこの記事にはほとんど載っていませんでした。記者が取材した内容を自分の言葉でまとめてくれたからでしょう。そのため、このインタビューの中で引用されているサイバー対処能力強化法及び同整備法についても併せて読みました。 パッと見分かりやすく見えますが、これ強化法と整理法の内容をほぼすべて記載していますよね。...
2025, Jul 27 —2023年頃からにわかにニュースで聴くようになった「能動的サイバー防御」。今年の春に衆議院・参議院ともに可決されました。2027年の施行を予定しています。 参議院:能動的サイバー防御法案等を議決 内閣官房:サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など) 政府がサイバーセキュリティにおいて連呼しているトピックとなっていますが、これはいったいどういうものなのでしょうか。この本はまず、この言葉について解説します。 名前から分かるよう、受動的ではなく、自発的にサイバー防御を行うというイメージが想像できます。しかし情報処理安全確保支援士(登録セキスぺ)のオンライン研修でさんざん言われているように、サイバー攻撃を先制で行う、あるいはやり返す(ハックバック)ことは厳しく禁止されています。しかし能動的サイバー防御は、今までのような攻撃に対する情報収集やファイアウォールのような防衛から1つ先に踏み込み、攻撃側のサーバへの侵入と攻撃の無効化を試みるとされます。そしてそのために民間企業と政府が連携して対応することがアナウンスされています。きれいごとだけでは社会を守ることはできない、残念ですがそれが現実のようです。 そして能動的サイバー防御の歴史について語ります。その背景は国際的にサイバー攻撃が増加していることとがあります。一部の趣味ハッカーではなく、今ではサイバー攻撃の背景に国家が存在するため、レベルも相当に高く、既にサイバー防御は国家安全保障の領域に達していることが挙げられます。外国のサイバー防御にレベルを合わせなければ、と日本も活動を始めましたが、元々諜報機関などがメインとして発展してきた外国のサイバー安全保障と、民間が主体となって発展してきた日本のサイバー安全保障は現状に差異があります。また憲法9条の存在が原因の一部と思われますが、専守防衛の思想の強い日本のサイバー安全保障における攻撃能力は国際的には低いようです。その一方で平和外交を主体とした外国とのサイバー外交については高く評価されています。次の章に書かれているようにサイバー防衛には国際協調が欠かせません。これは日本の大きな強みと言えるでしょう。 国際社会ではサイバー攻撃に対する国際的な取り組みを協調して行おう、という動きはあるものの、各国の思惑もあり一筋縄ではいかないようです。アメリカでは10年以上前からサイバー戦略をパッシブからプロアクティブに変遷してきました。日本がアメリカより10年遅れている、とは昔から言われていましたが、サイバー安全保障についても同じようです。先ほど登録セキスぺではハックバックを禁止していると書きましたが、アメリカでは議論を積み重ねた結果、悪意あるサイバー作戦やキャンペーンの対応であればボットのテイクダウンやハックバック、攻撃側の機器の破壊までやってよい、と踏み込んでいます。そのうち登録セキスぺの研修も変わっていくのでしょうか。 とはいえ「大いなる力には、大いなる責任が伴う」この”悪意あるサイバー作戦に対する正当な防衛・報復”が、国家や権力者に恣意的に取りあげられるリスクはもちろんあるでしょう。実際その名前の下に国民を監視検閲下に置いている国もあるはず。 次に各国が行っているサイバー戦能力を紹介。まずはアメリカ。アメリカ含む多国籍軍がISに対して行ったサイバー戦は単に攻撃側のサーバをテイクダウンするだけではなく、ソーシャルネットワークで離間策をしかけたりもしています。ロシアがウクライナに対し、戦争が起こる前からサイバー戦を支援していることも分かりました。アメリカはサイバー戦においても先を行っていて、状況の変化に応じその戦略も変化させています。その骨子はドキュメントとして公開されており、特に2023年に発表されたサイバーセキュリティ戦略は5本の柱で構成されていて非常に具体的です。サイバーセキュリティに対する予算も年々増加し、現在全国防費の10%に達しています。以前紹介した本「サイバー戦争」では、ロシアによるアメリカに対する主にソーシャルネットワークを使った世論操作のサイバー攻撃が紹介されていましたが、これに対する激しい防諜作業も行われているのでしょうね。イギリスもサイバー分野に対し大幅に予算を増額しています。 中国とロシアについては日本の隣国、そして昨今の国際情勢を考えるとどのような能力を持っているかは重要な関心です。中国に関してはアメリカと同レベルの戦略と技術を持っていると思われます。対外的にはサイバーセキュリティに対する国際協調を訴えていますが、そもそも国家体制として、国内の組織に対してデータの国内保存と考案への協力を要求しているところです。さすが中国、独裁体制、と言いたくなる人もいるでしょうが、先日のアップルに対する英国政府のバックドア作成要求でもあったように、自由主義国家でも暗号化されたデータの中身を閲覧したいという願望はあることは知っておくべきでしょう。 また、MITREのような”脆弱性の世界的な情報共有”という思想と相反する”中国国内で発見された脆弱性に関しては当局の調査が完了するまで公表を禁止する”脆弱性管理規定も制定されており、これが何を意味するかは言うまでもありません。中国にも脆弱性を収集・公表する組織がありますが、リスクの高い脆弱性を意図的に公表を遅らせることもしており、国家安全部との関係性は明らかです。中国が高い性能のAIを作り「使ってもいいよ」としても簡単に普及しないのは、このような国家の影が見えるからでしょう。また、台湾統一のための情報戦やネットワークインフラの妨害・物理的切断や監視カメラによる分析など、国内外に対して攻撃的な施策を行う一方、防御防衛に対してはまだ経験不足、という評価もあるようです。 ロシアに関しては「サイバー戦争」で紹介されたサイバー攻撃が恒常的に国外に対して行われており、国内のインターネットは検閲・監視されています。自分はロシアに行ったことはありませんが、中国に旅行する際にはGoogleもLINEも使えないことに苦労しました。日本にだけいると、インターネットは自由な世界と思いがちですが海外に目を向けると必ずしもそうではないということですね。2022年から始まり今なお続いているロシア・ウクライナ戦争では。脆弱性を突いたインフラへのサイバー攻撃や、ディープフェイクと言われる偽映像を用いたゼレンスキー大統領の降伏動画など、私たちはリアルタイムでロシアのサイバー戦を見せつけられています。 次にサイバー戦略の枠組みについて解説。従来の戦車や核兵器といった戦争における戦略と、サイバー戦略とでは共通する部分もありますが、大きな違いとして、サイバー空間は物理的な空間ではなく仮想的で、常に変化することや、地理的条件がないこと、さらにいえば平時と有事(戦争と平和)の区別があいまいとなり、常時攻撃している、常時防衛しているような状態であることが解説されています。また、サイバー戦略においては抑止力ではなく、脆弱性を懐に抱えた持続的な優勢状態を維持するほうが強いとされているそうです。この本ではサイバー攻撃を行うために用いられる、ヒト・モノについても良く分析・紹介されています。 最終章は「日本の転換」というタイトルでサイバー政策における日本の対応について解説します。日本は先ほど紹介されてきたような海外とは異なり、自分達からの攻撃を憲法が認めていません。しかし能動的サイバー防衛は自分達から相手のサーバーに攻撃を仕掛けたり、ネットワークを物理的・論理的に切断することを可能とします。自衛権発動の三要件、日本が武力行使による自衛措置をとるための憲法上の解釈である 我が国に対する急迫不正の侵害があること...
2025, Jul 21 —様々なセキュリティサービス、セキュリティツール、セキュリティに対する知識をこれまでインプットし、このブログでアウトプットしてきました。しかしこの本はセキュリティインシデントの多くは技術的欠陥ではなく、人間の判断ミスで起こると言います。 それはセキュリティインシデントの上位がずっとフィッシング詐欺であることからも明らかです。しかし見落としてはいけないのは、一般的な従業員だけでなくセキュリティエンジニアも人間であること。人間の弱さを持っています。 仮に機器の操作ログを記録し、警告メッセージが出たとします。最初はしっかり調べていても、「いつもの従業員の月末月初の操作だろう」と慣れからスルーするようになってしまう。あるいは「監視ツールを導入すること」という手段自体が目的化してしまい、導入、初期設定して後は放置(本当は放置したいわけではないのですが、他の仕事が忙しくて手が回らない)。結果としてセキュリティインシデントを招いてしまう、というのは想像できる話です。 タイトルの「SC思考」は「セキュリティ思考」の略で、筆者の造語です。筆者の造語です。セキュリティ思考とは、技術について知っていることを前提の上で「どのように考えるべきか?」「どの対策が本当に必要なのか?」を考える思考になります。そのポイントは 1.攻撃者視点を持つ セキュリティエンジニアは組織のセキュリティの弱点を知っています。ええ、よーく知っていますとも。世間でセキュリティ事故のニュースが報道される時、「あの会社はダメだなぁ」などとは決して思いません、明日は我が身、まだターゲットになっていないだけだ、と思います。 セキュリティにおける攻撃者、防御者は同じ知識を持っています。そのため自分が攻撃者ならばここを攻めるという想像力は持っているべきですし、それに対し防御する必要があります。 技術的観点からいえば、「既知の脆弱性が放置されていないか」、「外部からアクセス可能な管理画面、apiが存在しないか」、「古い暗号化方式や不適切な管理権限が残っていないか」などの外部からの技術的な攻撃を想定しますが、「内部不正についての防御は十分か」、「ITに精通していない従業員のオペレーションミスを起こしやすい状況となっていないか」、「システムの運用ルールが厳しすぎて例外処理が生まれ、抜け道が生まれてないか」などの人間起因、それも悪意があるモノではなくミスによるセキュリティリスクも考慮する必要があります。 2.リスクアセスメントをする 各情報資産に対するリスクのアセスメント(量・価値の計算的評価)を行います。 すべての情報資産に100%の対策を行うことは現実的でなく、逆にリスクを増大化させます。そもそも人の稼働工数も、会社が支払える費用も限度があります。 最新のセキュリティ機器を全拠点に導入 従業員すべての操作を監視 あらゆるデータのバックアップ、同期 上記は不可能です。基準を作り、優先度を決めて長い期間をかけて対策を実施する必要があります。自分も社内でリスクアセスメントを行っていますが、優先度を決めるための基準はCIAを使っています。つまり...
2025, Jul 12 —