情報処理安全確保支援士のオンライン講習を受講しました(2025年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 1年に1度の情報処理安全確保支援士（通称登録セキスペ）のオンライン講習。普段はゴールデンウィークに対応しているのですが、来年（注：この記事を書いたのは2025年11月です）はAWSの資格更新などが忙しいので、今年のうちに対応することにしました。 最初の単元は 「登録セキスペに期待される役割と知識」でした。昨年と同じタイトル、そして役割の3か条も変更はありませんでした。 登録セキスペの役割（3か条） なぜ脅威が発生しているのか理解し、自らが能動的に必要な情報を収集・活用すること。 指導、助言、支援を求めている人に対し、具体的対策を説明し、その実施・支援を行うこと。 過去の事例を教訓とし、組織内で同様の事象が起きないための取り組みを進めること。 今年は、セキュリティ担当として、流行のランサムウェアやクリックフィックスの手口を従業員に啓発したり、セキュリティに関する問い合わせに回答したり、会社のセキュリティインシデントに対応したりと、上記の役割を着実に果たしているという自負があります。 来年は、ISMS（情報セキュリティマネジメントシステム）の取得や、2026年公開予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応など、挑戦したいことが山積みです。 とはいえ、セキュリティ担当者が全てを100%のガチガチセキュリティで固めてしまっては、業務は滞ってしまいます。「清廉潔白」が常に正しい行いであるとは限りません。「角を矯めて牛を殺す」という言葉もあります。 先日読んだ静かなリーダーシップという本が、映画のように堂々と正義を執行するのではなく、熟考し、周囲と調整した上で「グレーゾーン」を攻めることもまた重要である、と書かれていました。自分にとっても参考になる本でした。 情報セキュリティ10大脅威 2025からもわかるように、脅威には流行り廃りがあります。ある脅威への対策が進むと、その攻撃は息を潜めますが、別の脅威が流行り注目がそちらに移ると、再び息を吹き返すのです。2025年は、5年ぶりにDDoS攻撃がランクインしたのが印象的でした。 また、広島のG7首脳声明で紹介されたAIに関する国際指針・行動規範も紹介されていました。数年後には私たちに対するAIセキュリティ対策の骨子となるでしょう。昨年、高市早苗総理（当時）が以前書かれた書籍の内容が、民間でのセキュリティ対策として要望されるようになった事例からも、このスライドの内容は重要だと感じます。...

2026, Feb 22   — 

業務で使えるメール技術の教科書

「電子メールをビジネスに使うのはやめるべきだ」と日々の業務の中で言っている私ですが、実際のところは電子メールは無くなりません。皆さんも認識の通り、SlackやLINEなど、もっと使いやすく安全性が高いコミュニケーションツールは今やたくさんあります。それでも電子メールが無くならないのは、一企業に属さない汎用的なコミュニケーション手段（開発側の観点から見ると「統一されたプロトコル」）として世界中に普及していることと、そして多くのWebサービスにとってはログインID兼認証手段（メールアドレスに送信されるワンタイムパスワードや検証用URL）になっているからだと考えます。 この本の最初にもあるように、メールについての技術を学ぶ際、 Linuxなどのサーバー構築についての本→メールサーバの構築 DNSについての本→ドメインやIPアドレスの知識 セキュリティについてのほん→暗号化や認証、ウィルス、スパムなど 個別の技術が分散して紹介されます。そのため各個の知識については知っていても、それを組み合わせ、体系的にメールの送信、受信について学ぶということができていない、と感じていました。 まずはメール送信・受信の理解を深めます。「送信者→送信者のSMTPサーバー→受信者のSMTPサーバー→受信者」という流れは、最もシンプルで直接的なケースですが、現実のインターネット上では、セキュリティや管理上の理由から、複数のSMTPサーバーを介してメールが転送されることはよくあります。大きなISPは当然サーバが1つということはなく、クラスター化しています。あるいはスパム検知用のサーバが挟まっていることも考えられます。 また最近はWebメールが主流なので、送信者→送信者のSMTPサーバへの通信はSMTPではなく（ThunderbirdやOutlookなどツールの場合はこの間の通信もSMTPを使用する）HTTPSを利用します。 本書はメールの技術、その根幹にあるIP層のプロトコルについても現実のモノを例示するなどして分かりやすく解説しています。一度覚えたものの忘れてしまっている用語も多いです。メールには直接関係ない話ですが、今一度DNS正引きの流れを思い出しました。 1.PCやスマートフォンが、DNSリゾルバ（キャッシュDNSサーバ）にwww.example.comのIPアドレスを問い合わせる（DNSリゾルバはフルサービスリゾルバとも呼ばれる） ↓ 2.DNSリゾルバは、まずルートDNSサーバに.comのTLD DNSサーバの場所を尋ねる ↓ 3.次に、.comのTLD...

2026, Feb 15   — 

サイバー攻撃その瞬間　社長の決定

サイバー攻撃が多発しています。 2025年の1年だけでも、アサヒビールやアスクルに対するランサムウェア被害だけでなく、IIJや駿河屋に対する不正アクセスなど、ニュースを日々騒がせています。 しかし、サイバー攻撃を受けた企業の中で実際にどのようなことが起きているのかを知ることは、なかなかできません。攻撃側に情報を与えてしまうリスクがあることは事実ですが、一方で自分が攻撃を受けた側だと考えてみてください。「こんな対策すらしていなかったのか」と暴露されることを恐れる、という内部事情もあると思われます。 そんな中、本書『サイバー攻撃 その瞬間』は、サイバー攻撃を受けた企業「関通（かんつう）」の社長が、攻撃を受けてから毎日（土日も含めて）どのような対応をしたのか、その時どう思ったのかを記述し、公開した貴重な一冊です。 前半は、毎日どのような対応を行っていたのか、その時の思いが時系列で書かれています。誰もが知りたい、でも考えたくはない「サイバー攻撃の被害を受けた際に何が起こるのか」「何をすればよいのか」という情報を学ぶことができます。後半は、その経験から得た教訓について書かれています。 まず何度も書きますが、今やサイバーセキュリティは経営課題です。私の取引先の某大企業は、サイバーセキュリティの部門が経営室の配下にあります。うらやましい……（笑）。 しかし「サイバー攻撃は他人事ではない」「サイバーセキュリティは経営課題」という意識を、どれくらいの経営者が持っているのでしょうか。この本を書いた社長も、被害を受けるまでは「サイバー攻撃というキーワードは頭の中になかった」と言っていますが、それは2024年の話。2025年は冒頭にも書いたように、そうは言っていられないでしょう。しかしそんな筆者だからこそ、平易な言葉で書かれている “サイバー攻撃が起きた瞬間” の解説にはリアリティがありました。 システムのデータが消去され、業務ができなくなる。既存のネットワークやPCは安心して利用できないことから、必然的にDR（Disaster Recovery）環境で対応しなければなりませんが、準備ができていなかったため、どう対応すればよいのかを全員で考えながら苦難を乗り越えていきます。 “詳細は語れません” と記者会見している会社や、Webサイトでプレスリリースを出している会社でも、この本に書かれているような事象が起きているのかもしれません。これまで「何が起こっているのかいまいちはっきりしないなぁ」と感じていた記者会見も、この本のおかげで、その裏側で実際に何が起こっているのかがイメージしやすくなりました。 前半を読んでいて特に印象に残ったのが、社内ネットワークが信用できないため、個人のテザリングや、SIMを新たに購入してインターネットに繋げて業務を行ったという話です。セキュリティ的には全然安全ではないのですが……背に腹は代えられません。...

2026, Feb 14   — 

AWS FTRの認証を得るための活動

これまで、AWSを利用する多くの企業が「AWSパートナー」として活動してきました。これまでは、社内に一定数のAWS資格保有者が在籍し、パートナーとしての年会費を支払う（実際には年会費以上のクレジットがもらえるため、実質プラス）ことが主な条件でした。 パートナーとして認められると、自社サイトにAWS公式のパートナーバッジを掲載できたり、AWSと共同セミナーを開催できたりと、より深い関係を築けるメリットがありました。しかし、2025年にこのルールが大きく変わるというアナウンスがあったのです。 AWS パートナーの成功を加速 : 2025 年に向けた顧客価値を推進する新たな取り組み 公式ブログには詳細が伏せられていますが、昨年AWSから届いたメールを要約すると、以下のような内容でした。 「今後AWSパートナーのステータスを維持するには、少なくとも1つのソリューションを『Validated（検証済み）』にする必要があります」 急な通告に「何をすればいいのか……」と戸惑いましたが、まずはこの変更の背景から解説します。 なぜ「Validated」が必須になったのか AWSがこの方針を打ち出した背景には、「パートナーの信頼性を企業単位ではなく、具体的なソリューションの品質で担保する」という戦略的なシフトがあります。 顧客が求めているのは「そのパートナーに資格者が何人いるか」ではなく、「提供されているソフトが安全に、正しく動くか」です。そのため、資格者の数だけでなく、実際に提供しているソフトウェア（サービス）がAWSの掲げる品質基準を満たしているかを重視するようになりました。「ただAWSを使っている」企業と、「AWSの設計思想に則った高品質なソフトを持つ」企業を明確に区別し、優良なパートナーにリソースを集中させる狙いがあるようです。 これまで得られていたパートナーの恩恵が失われるのは困るため、私は昨年、通常業務の合間を縫ってソリューションを「Validated」にするための活動を行っていました。 ソリューションを「Validated」にするために...

2026, Feb 11   — 

中堅・中小企業のための サイバーセキュリティ対策の新常識

この本の前書きには、こう書かれています。 ほとんどの中堅・中小企業は、サイバー攻撃に遭ったことがありません。そのためセキュリティ対策を他人事のようにとらえています。しかし、一度被害に遭うとその日からたいへんな状況に見舞われます。本書は「サイバー被害に遭うとどうなるのか」「攻撃者は何故襲ってくるのか」「日本が企業のセキュリティを守ってくれないのはなぜか」「内部からの情報漏洩はなぜ起こるのか」「情報事故に遭わないためにやることは何か」「万が一被害に遭った時に何をすればいいのか」「サイバーの近未来はどうなるのか」 まさに知りたいことが簡潔にまとめられており、期待が高まります。ただ、「今後、本書を読んでいるかいないかが、自社がサイバー攻撃に遭うか遭わないかの分岐点になるでしょう」 とは、随分と大きく出ましたね……。 セキュリティに対する投資判断は経営者にしかできないのは事実ですが、個人的には、こうした本を社長が自ら読むかというと、正直「否」ではないかと思います。社長が考えるべきことは多岐にわたり、その中にセキュリティの知識まで詰め込むのは大変なはずです。 そのために企業にはセキュリティ担当がいて、経営層に現状を上申するのが彼らの仕事です。担当者が責任を持って本書の内容を伝え、経営層に危機感と認識を持ってもらい、予算を確保する。それこそがミッションではないでしょうか。「経営層がお金を出してけない」と嘆くのではなく、それを自分の責任として引き受ける覚悟を持ちたいところです。 僕は中小企業に勤めていますが、大企業からの仕事も請け負っています。大企業からのセキュリティ要望はまさに「水も漏らさぬ厳しさ」で、現場としては正直かなり疲弊しています。しかし逆を言えば、これほど堅牢な環境で働けることは、不便さはあっても大きな安心感に繋がるのだと感じます。 事実、最近の調査では大企業に対するランサムウェア攻撃は減っているという話もあります。一方で、日本の全企業の99.7%を占める中小企業への攻撃は増加しているというニュースもあり、この本のタイトルは非常にタイムリーと言えます。 第1章では、著者の会社にセキュリティインシデントを起こした企業が相談に来る、という形で実際の被害事例が紹介されています。読んでいるだけで「もし自分の身に同じことが起こったら」と考え、心臓がキュッとなりました。フォレンジック調査に1,000万円かかるなんて、自分の口から経営層に報告したくありません……。本書にある通り、DXのように価値を生む投資ではなく、ただ原因を調べて報告するという「何も生み出さないもの」のために1,000万円払うわけですから。 実際、こうした攻撃が増えていることは日々のニュースや総務省の報告からも確かだと言えます。 総務省：令和6年版 情報通信白書 本書に登場する被害企業も、決して無頓着だったわけではなく、それなりの対策は行っていました。しかし攻撃側はそれをあざ笑うかのように、「ClickFix」などの手法で防御をすり抜けてきます。奴らはこちらの策を熟知しているのです。ランサムウェア攻撃が儲かるビジネスである限り、攻撃が止むことはないでしょう（だからこそ、身代金を支払うことはNGとされるわけです）。 続く章では、サイバー対策が進まない理由が分析されています。日本の法律や「日本は安全だ」という意識、経営層の高齢化による感度の鈍さなど、要素は様々です。ただ、「日本が悪い」「外国が悪い」と他責にしても問題は解決しません。セキュリティ担当、経営者、国の機関、それぞれが自分の立場でできることをやる。それがセキュリティ強化の近道です。 今や一つの製品やサービスが単独の会社で完結することはありません。いわゆるサプライチェーンにおいて、鎖の弱い部分からセキュリティが破られ、侵入を許してしまうのです。...

2026, Jan 25   — 

2025年12月の気になるインターネット記事をピックアップ

新年あけましておめでとうございます。新しい1年、新たな気持ちではじめていきます。 セキュリティに対して、頭と手を動かし続け、自らを磨く1年でありたいと考えています。 そんな中、最近気になったセキュリティ関連のニュースを紹介します。 このChrome「拡張機能」を今すぐ削除せよ、生成AIとの会話を収集し第三者に販売 最近よく聞く「最初は正しい動きをする拡張機能に、知らぬ間に悪質なコードが注入されている」という手法に似ています。インストール後のアップデートにより、あらゆるエージェントAIとの会話を収集し、外部サーバに送信する機能が追加されたとのことです。 利用規約にも、以下のような記述があります。 『当社はウェブ閲覧データを当社の関連会社と共有します』。この関連会社はデータブローカーであり、『商業目的で利用され、共有されるインサイトを作成します』」 しかし、規約を隅々まで読む人はなかなかいませんよね。対象の拡張機能一覧は上記記事で紹介されています。今回のケースはVPNを謳う機能だったようですが、無料でVPNを提供することは根本的に信用ならないと改めて感じさせられます。 JC3ポッドキャストの配信(Spotify、Apple Podcasts、YouTube)について JC3：日本サイバー犯罪対策センター（JC3）は、産業界、学術機関、法執行機関等が持つサイバー空間の脅威への対処経験を集約・分析し、共有することで、サイバー犯罪等の大本を特定・軽減・無効化することを目指す非営利団体です。会員企業のセキュリティ担当や警察などの公的機関が連携している組織のようです。 ランサムウェアの脅威に最前線で立ち向かう専門家たちとの対話を通じて、サイバーセキュリティ対策を考えていく「JC3ポッドキャスト　ランサムウェア・ダイアログ」を2025年12月8日より配信開始いたしました。 第1回、第2回を聴いてみましたが、実際にランサムウェア対応をしている警察庁職員の方の生々しい話が聴けます。「私もセキュリティ分野で働きたい！」という方には、非常に価値のある内容だと感じました。 「LINEグループ作成」を要求する詐欺メールに注意　海外のサイバー監視が日本向け攻撃を警告 <blockquote...

2026, Jan 12   — 

セキュリティエンジニアの知識地図

貴方はセキュリティエンジニアですか？セキュリティエンジニアを名乗るにふさわしい役割を会社で果たしていますか？ この本はセキュリティエンジニアにとっては入門書レベル。新しい何かを得られるものではありませんが、1年の初めに改めて自分の役目・目指すべき道を再度思い出す良い機会を作ってくれました。 セキュリティエンジニアの役割は 1.CIAの確保 2.リスクアセスメント 3.インシデント対応 4.コンプライアンス準拠 5.セキュリティ意識の向上 胸に手を当てます。1と2はPマーク取得活動で役割を担ってきました。5も従業員へのセキュリティ啓発活動を行っています。3についても会社が提供するサービスのインシデント対応手順を作成済。4はどうだろう。4は法律や業界ニュースの継続的キャッチアップが必要です。自分は法律については読んでも頭に入ってこない苦手分野。しかし今私たちの手元にはチャットAIがあります。彼らの助けを借りて、自社の現状がコンプラ違反をしていないのか、考えて行きましょう。 セキュリティエンジニアは企業の以下を守ります。 1.情報資産 2.システム・インフラ 3.ビジネスの継続性 4.評判とブランド価値 5.法令順守と規制対応...

2026, Jan 11   — 

ハッキング・ラボのつくりかた 完全版

今年最後のブックレビューは、なんと1200ページの大作です。この本に手を出すきっかけとなったのは2点。まずは9月の記事でも紹介した以下の記事。 開発と脆弱性と脆弱性診断についての話 こういう記事を読むと、自分もセキュリティスペシャリスト、情報処理安全確保支援士を名乗っていながら、実戦経験がぜんぜん足らないなぁと思います。言い訳はいくらでも思いつくのですが、やっぱり脆弱性診断、ペネトレーションテストを手を動かす経験を自分のスキルとして身に着けたいです。 もう一つは会社の業務で「あなたの会社が提供しているサービスはペネトレーションテストを受けていますか」というセキュリティチェックシートが送られてくる機会が増えてきたこと。受けていません、と回答したから契約が打ち切られるということはないのですが、「やっていますがなにか？」と胸張って応えられるようになりたいです。 とはいえペネトレーションテストを委託するのはたいへん高くつきます。だいたい数百万円単位といわれ、まあ払えないですよね。自前でAWS上にOSSのペネトレーションテスト用のツールを組み合わせて環境を構築すると費用自体は安くなるものの、専門の知識が必要ですし、保守運用の工数を考えるとアウトソーシングするほうが安い、と考えるのは自然です。つまりこの本を読むことで脆弱性診断やペネトレーションテストがどういう手段で行われているかを学ぶことはできるものの、それを業務で自分が手を動かして実践する、とはならないと思います。大きな会社ではこれらの作業を自前でやっている会社もあります（知っています）羨ましいです。 この本では手元のPC上に仮想環境を構築して攻撃用のVM PC（ペネトレーションテスト、脆弱性の評価、コンピュータ・フォレンジック用にカスタマイズされたParrotOS Security Edition）と、ターゲット用のVM PC（インターネット上には有志がペネトレーションテスト用の練習のために、わざと脆弱性があるOSのイメージを公開しています。こちらを利用します）を用意し、CISSPの試験でも名前が挙がるお約束のペネトレーションテスト用のLinuxコマンドやツールを利用して、実際にハッキング（ペネトレーションテスト）を行います。 解説は非常に丁寧で、インストールに詰まることはありませんでした。しかし私のPCが2台のVP PCを動かすほどのスペックが足りない…メモリ4GBはもうきついか。 インストール後もLinuxを操作する基本的なコマンドやプロセスについての概念が説明されていて、Linuxの基礎について学ぶこともできます。一般的なハッカーのイメージにあるように、侵入する際や侵入した後にはシェルを作り、コマンドを叩いてOS内の設定を調べる必要があるのでLinuxの知識は当然必要です。ネットワークプロトコルの知識も細かく解説しているので、技術の基礎から学ぶことができます。 基礎を学んだら、いよいよ用意されているEXPERIMENTへ移ります。各EXPERIMENTではまず座学でツールや考え方を学び、実習で実際にターゲットを攻撃します。用意されているターゲットと、それを攻撃する手段は多種多様。様々なツール、OSの仕様とコマンド、人間のミスを利用してターゲットの穴を探し、侵入したら各種コマンドやシェルを駆使してシステム及び人間の脆弱性を探し権限を奪い取る、推理小説を読んでいるようです。 ~/.bash_historyを開いて過去の操作履歴から特定のディレクトリやコマンドを探し出す行為は自分の頭の中にはなく、目を見開きました。加えてそこで呼び出されるコマンド（プログラム）を改ざんして、正規ユーザに悪意あるコマンドを実行させる。”ハッキングは芸術”という言葉がありますが、これは確かにハマってしまう人もいるかもしれないw...

2025, Dec 27   —