【ブックレビュー】経営層のためのサイバーセキュリティ実践入門

この本の冒頭にあるように、日本のDXはコロナ禍により大きく変わりました。私は社会人となってはじめてリモートワークを経験し、その後もリモートで働き続けています。苦痛だった通勤ラッシュから解放された一方で、「どこでも働くことができる」ことによるこれまでと異なるセキュリティを考えなくてはいけません。オフィスと違い個人の家には高性能なファイアウォールはありません。入退室管理、管理カメラもありません。VPNを使って社内インフラに接続することは大きなリスクがあります。 この内的状況変化に加え、外的な変化としては、これまでも散々当ブログで書いていますように、攻撃者がランサムウェアをサービス化して提供することで、サイバー攻撃のすそ野が広がっているという状況があります。KADOKAWA、イセトーのような大企業のみならず、中小企業すら攻撃対象となります。この本にあるように「まだ自社への順番が来ていないだけ」という危機感を持ったほうがよいでしょう。 最近私の会社でも、上司や取引先企業から「会社のセキュリティは大丈夫か」と言われる頻度は増えてきました。セキュリティ対策は待ったなし、契約を締結し売り上げを得るために不可欠な経営課題となっています。現場からボトムアップでセキュリティ対策をおこなうのではなく、事業戦略にセキュリティを組み込みトップダウンで各事業部に対して、できるセキュリティ対策の実施を指示する必要に迫られています。サイバーセキュリティ対策は「コスト」ではなく「投資」、それも必要不可欠な投資。サイバーセキュリティを実践することは経営者の責務、という時代のトレンドになっていることは間違いありません。 このことは政府も認識しており、経済産業省が昨年サイバーセキュリティ経営ガイドラインというガイドラインを制定しました。私もこれを読んで取締役向けに資料を提案作成したのですが、優先度が高い別業務が入ってしまい、ほこりをかぶっている状態です。 当時は上記サイトを見ながら我流でやったのでよく分かっていなかった（今もよく分かっていませんw）のですが、この本はサイバーセキュリティ経営ガイドラインに掲載されている図や表を使いながら、組織にどう反映させていくのかを分かりやすく説明してくださっています。この本は経営層向けに書かれていますが、経営層と認識を合わせ、手を動かすのは現場のセキュリティ担当です。互いに手元に置いておきたい本です。 この本が念を押しているのが、セキュリティは目標達成の「サポート」であるという点。当然ながらビジネスにとって利益を上げることが目的で、セキュリティ対策自体が目的ではありません。つまりセキュリティを考えることが目的化してはならない、考えるべきは「ビジネスの目的を達成するためのセキュリティ」セキュリティの目標はビジネスや組織の目標に紐づくべき。ビジネスに勝つためのセキュリティを提案する（コスト・ビジネスのスピード）セキュリティを適切にコントロールするべき、セキュリティは無くてはならないものの一方、サポートする役割です。ただしそのためにはどこまで対策するかは「どこにリスク受容を置くか」を決めなければいけません。リスクは0にはできませんから。それをふんわり決めるのではなく定量的に決めるためにはSLEやALEを利用できます。しかしそれを算出する時間はそのまま工数だよなぁ・・・。アウトソーシングしたくなりますが、会社として外部委託に任せられる作業と任せられない作業があり（それについてもこの本で説明されています）、注意しましょう。 そしてこの本も”インシデントハンドリング”に丸々1章割いていいます。もはや今のトレンドはセキュリティ事故は起こるもの。いかにインパクトを抑えるのかのようです。うんざりな話です。 情報としてはCISSPでも出てくる用語が多々ありますが、知っていると実践できるとでは大きな違いがあります。紹介されているランサムウェア事例はこれまで読んできたどの本よりも細かく事象が説明されているので、攻撃を受けてしまった理由の各ポイントが自社で大丈夫なのか、確かめるために役立ちます。 セキュリティコントロールに終わりはなく、これだけのセキュリティ対策を行ってもインシデントは起きてしまうことに、自分が所属する業務カテゴリーの途方のなさを感じます。船降りてぇ（N回目） 余談ですが、この本はNECのCISOが執筆したこともあり、NECの実例が紹介されています。NEC自身セキュリティ関連のビジネスを展開しているため、宣伝も入っていますが、組織体制や活動報告を読むと「ここまでやっているんだ、大企業はすごいな」となります。真似できないわけですが、大手の取り組みを知ることできました。自分が所属するような、中小企業に仕事を委託してくる大企業はこれに近しい組織体制だったりするのでしょうね。

2024, Nov 01   — 

CloudFlare Zero Trust無料化で何ができるのか調べてみた

10.23 現在CloudFlare OneはCloudFlare Zero Trustに改称しているということですので、タイトルをCloudFlare OneからCloudFlare Zero Trustに修正しました。とはいえ、最近の公式の文章の中でもCloudFlare Oneが使われているのをよく見かけます。 CloudFlareは今最も勢いのあるインターネット企業の1つです。僕もCloudFlare Pagesを利用させてもらっています。zipもしくはGitHubのリポジトリから簡単に静的サイトをデプロイできる便利なサービスです。そのCloudFlareが9/24に自社のセキュリティツールを無料化するとアナウンスしました。 Cloudflareが「ゼロトラストセキュリティ」のツールを無料化　何が狙いなのか(ITmedia) ※会員限定記事ですが、無料で読める枠にほぼすべての情報が入っています Cloudflareでより安全なインターネットを：無料の脅威インテリジェンス、分析、新しい脅威検出(CloudFlareブログ) 非常に長い文章が書かれていますが、終盤に登場します。...

2024, Oct 14   — 

「isoon文書」とサイバー空間での「認知戦」について

9月、セキュリティクラスタでも話題になったNHKの番組がありました。 ＮＨＫスペシャル　調査報道　新世紀　Ｆｉｌｅ６　中国・流出文書を追う 過去このブログでも名著「サイバー戦争」を紹介しましたが、今や戦争はミサイルや戦車を街に繰り出すのみならず、インターネット上でも行われています。不正アクセスによるシステムダウンや情報の窃取はもちろん、アメリカ大統領選で実際にロシアがしかけ、トランプ大統領を生み出したとされる世論の誘導など、その影響は多岐にわたることは知られています。 しかし実際にテレビで、それも国営放送のNHKで報道されれば今までより多くの人がことを知ることができるでしょう。僕もこの番組を視聴しましたが、映像の力は強い、と改めて感じました。 追跡 中国・流出文書 1 ～世論操作ツール～ 今回取り上げられたのは、今年の2月、中国の安洵信息(I-Soon)という、表向きはセキュリティ企業、しかし裏では中国政府とも深い関連があるとされる高度持続的脅威(APT)グループ内部の様々な情報がGitHubに公開されたという事案（意図的だったとされています）。 中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家 安洵信息技术有限公司（I-SOON）　中国スパイウェア企業からの情報漏洩 上記の記事は初報になり、その後世界中のセキュリティ専門組織が協力して、中国政府のインターネット上での活動を調査しました。その結果が番組の中心でした。 台湾侵攻を念頭とした道路交通網の情報や、少数民族の抵抗を防ぐための盗聴など、膨大なデータを集めていたようです。そしてリンクをクリックしたらtwitterアカウントを乗っ取り、botのように投稿を行うようになる「Twitter世論コントロールシステム」。これにより自分たちの望むような情報を一気に拡散したり、逆に押し込めたい考えを投稿するユーザに一斉にレスを送り付けるような挙動も可能になります。 番組で紹介されていた、コントロールシステムが利用していたとされるアカウント。モザイクかかっていますがどうみてもド〇えもん、このアカウント自分は見たことがあります。自分はフォローしていないのですが、誰かのリツイートで流れてきたのかもしれません。変な投稿をしていた記憶があります。 “変な投稿をしている”と勘づけるのはある程度のリテラシーを持っているからかもしれませんが、一般の人はそうは思わず、安易にリツイートし、結果として偽情報の拡散に協力してしまいます。...

2024, Oct 06   — 

【ブックレビュー】ランサムウェア対策実践ガイド

表紙にあるようにこの本は「セキュリティ対策にコストをかけられない」会社や組織に対して、「コスパの良い」対策と具体的な対応策を実例をもとに紹介している本です。コスパという言葉に良くないイメージを持つ人もいるかもしれませんが、実際セキュリティ対策に「コスパ」という概念は重要だと思います。 セキュリティは究極的には「時間とお金を書ければいくらでも強固になる」ものですが、 それができれば苦労はしねぇ！ ヒト・モノ・カネは有限であり、セキュリティ対策自体はおカネを生み出さないため優先度は下がります、小さな会社に勤める僕は大きな会社と取引をしていますが、大きな会社は扱っている情報の質量ともに大きいため、セキュリティに対する施策もたくさんです。対応が面倒だな、と思いつつもその堅牢さは羨ましさを感じます。 ですがこれも口を酸っぱくして言い続けていますが、セキュリティ対策は鍵をかけずに外出するようなものであり、攻撃にあえば被害は甚大、経営問題です。これほどランサムウェアが騒がれてもはや今日の天気並みに日常ニュースになってしまっている現在、ランサムウェアを知ること、リスクを下げること、そして万が一被害を受けてしまった場合にどうするかの備えは必須ではないでしょうか。 ランサムウェアが流行っている、被害が甚大だ、とはわかるのだけど、具体的な侵入事例などはなかなか公開されていません。この本は数少ない公開事例を分かりやすく説明しています。例えば本では”大手ゲーム会社”と書かれていましたが、大きなニュースになったことで皆さんもご存じでしょう、CAPCOMのランサムウェア被害がどのように発生したのかが図入りで説明されています。やはりVPNルータが攻撃のトップの起点なのか・・・脆弱性があったりパスワードがもろい場合は不正侵入の入り口になってしまいます。 また、別の事例ではOSの脆弱性を突く攻撃からランサムウェアに至った事例も解説されていました。特にWindowsはMacOSよりもサイバー攻撃に弱いと言われる一方で普及率は高いため、現場としてはWindowsの対策を欲しているでしょう。このように、この本に記されている対策は「Windowsではこのように設定する」など敢えて特定のOS（Windowsはよく使われているOSとも言えます）にフィーチャーすることにより、現場がすぐ手を動かせる対策が多数掲載されているところが良いと思いました。実際自分の会社の状況と照らし合わせ、「これならできそうだ」「これならやれそうだ」とリストアップしました。これを会社で使っていこう。 ランサムウェアは基本的に外部からの攻撃になります。せっかくの二段階認証やIPアドレスによるアクセス制限も、脆弱性によりバイパスされてしまっては意味がありません。アプリやOSのセキュリティパッチを当てるということは当たり前すぎてなおざりになりがちですが、基本のきです。 また、情シスが普段からできる対策としてはIPS,IDS/FWのようなアプライアンスだけでなく、IPアドレスのサブネットを事業部ごと切るなど教科書的な対策も重要なようです。そしてセキュリティ製品を導入しても、ちゃんと設定すること、パッチを当てること、パスワードは複雑なモノにして使いまわししないこと、という初歩的な対策も効果的とのこと。 次に、ランサムウェアとはどのような組織がどのような手順を踏んで攻撃を仕掛けてくるのかが解説されています。現代はSaaS、PaaS、IaaSなどなんでもサービス化していますがランサムウェアもそれに漏れず、RaAS(ランサムウェア・アズ・ア・サービス）としてエコシステムを構成しています。 攻撃は8つのステップを得て段階的に行われる（途中のステップをスキップしたり、前のステップに戻ったりもする）ので、本来警戒するべきは最終ステップの暗号化ではなく、それ以前の侵入や内部での不正な活動に気が付かないといけません。ActiveDirectoryのような端末・アカウント管理ツールや、エンドポイントセキュリティの管理コンソール、本来は自社サービスのセキュリティ強化に利用されるペネトレーションテストツールなど、身近にあるお役立ちツールが不正侵入された攻撃者に使われて社内の防御が次々無効化、システムが丸裸にされていく一連の手順はセキュリティ担当にとってはリアリティがあり、ホラー映画より恐怖です。 8つのステップごとに何を対策すればよいかも紹介されており、やることは多いのですが推奨項目には〇をつけたうえでチェックシート形式で記載されているので現場にも導入しやすいです。セキュリティ強化にすぐ使えるWebサービスも紹介されています。ShodanやViewDNSなど、セキュリティ分野の人にとっては知っていて当然なのかもしれませんが、自分は知りませんでした、参考になります。 あとはやった気になったセキュリティ対策ではダメ、ということですね。EDRは各PCに入れました、あとはお任せでは意味がないとは自分では思っていて、EDRが発している警告を毎月減らしていくぞ計画を立てたのですが、この本はさらに一歩進んだことを推奨しています。だいたいのエンドポイントセキュリティソフトにはログ機能が付いています。エージェントがインストールされた業務PCの活動を記録しています。この中身を見ているか、不審な痕跡は残ってないのか、と説きます。そこまではやっていなかった・・・。 よくサイバー攻撃を受けた場合LANケーブルを引っこ抜け、もしくはWi-FiをOFFにしろ、は僕も会社で啓蒙している対策ですが、最近のニコニコ動画のランサムウェアでは、電源OFFにしたノートPCが自動で再度電源Onになるという恐怖のプログラムに感染していたとのこと（根本対策は電源ケーブルを引っこ抜いて電源の供給を断つしかなかったとのことです）端末の特定をしようとしてもそれすら偽装されていたり、ログは改ざんされていったりと、自分達だけではインシデント対応は進まないかも。やはり専門業者に依頼しないといけなさそうです（ただし、この本の著者がその「専門業者」であるのでポジショントークを疑ったほうが良いでしょう） 最後に、先月読んだ本でも強調されていた（昨今のトレンドなのかな？）インシデント対応について。インシデントハンドリングマニュアルがJPCERT/CCから公開されています。JPCERT/CCがインシデントハンドリングマニュアルを公開しており、この内容通りに従って対応すれば大きくずれはなさそうです。また本書には社内外向けにどのようなコミュニケーションを取る必要があるかを列挙しており、これが有用です。誰もがインシデント対応などしたくはありません、しかし本書に書かれている平時の準備や、不幸にもインシデントが発生してしまった場合の対応フローは用意しておく必要があります。何が必要なのか、割かれている文章の量は短いものの必要なものを抑えてくれています。...

2024, Sep 29   — 

ITmedia Security 2024 Summer

ITmediaが開催しているセキュリティのオンラインセミナー「ITmedia Security 2024 Summer」。 いくつか視聴しましたので内容と感想を残します。 2030年問題への処方箋――持続可能な次世代サプライチェーン統制の要諦 NRIセキュアテクノロジーズ株式会社 DXセキュリティプラットフォーム事業本部 本部長 足立 道拡 氏 標的が会社自体から、会社の委託先・サードパーティへ（サプライチェーンリスク） ちなみに、「サードパーティ」と「サプライチェーン」の違いは、 サードパーティ・・・業務上の関係、契約のある組織...

2024, Sep 06   — 

【ブックレビュー】セキュリティエンジニアの教科書

2024年の上半期を振り返ると、毎日のように情報漏洩とランサムウェアのニュースが流れて、セキュリティに難があるのがもはや当たり前のような時代になってしまっているな、という感じがあります、そんな状況下で読んだこの本はタイトル通り教科書的かつ初歩的な内容となっていますが、何事も基礎が大切であるということは言うまでもありません。CISSPでも出題される知識も記載されているので、復習がてら読みました。過去の記事にも書いていたかもしれませんが、この本で紹介されているようなリスク分析・評価と対策を1度会社でやったことがあります。その時は今より知識も不足していて、周囲に対しても協力を上手に得ることができず、中途半端な状態で終わりました。そも、各事業部のメンバーにとっては（こんなことやっている時間はないんだけどな…）と思われていたかもしれません。 この本の前半はどのような本でも紹介されているセキュリティの基礎知識なのですが、中盤からは脆弱性対応に使用するフレームワークやテストの方法、後半からはインシデントハンドリングフローへの理解など詳しく図で載っているのがとてもありがたいです。CSIRTに関する記事はネットに散見されるが本は少ない印象があります。また手を付けると終わりのない作業になるため、この本が基本レベルの記載で留まっているのが逆にありがたいです。まずここを抑えればよいと考えれられるので。ただセキュリティインシデントの対応手順を作る必要があることは分かっているので、参考になるサンプル手順書を紹介してほしかったなぁ。 セキュリティオペレーションセンター(SOC)の役割：リアルタイム監視、ログ分析、異常なふるまいの検知、インシデントの検知と暫定対応です。中小企業だとCSIRTが利用するものと定義づけられる、と自分は思っているのですが、（そもそもセキュリティ業務すら兼業）SOCはSOC、CSIRTはSCIRTとちゃんと役割がに分けられていて、必要に応じてアウトソーシングされることが分かりました。むしろ中小企業こそ、全部自分たちでやろうとするのではなく、パブリックSOC/共用SOC（セキュリティ企業が複数の企業をまとめて監視してくれる）を利用するべきと知りました（KADOKAWAのような大きな会社がプライベートクラウドを社内に構築する一方、中小企業がAWSを活用するように）結局一番お金がかかるのは人件費なので。SOCで使われるツール、SIEMやSOARはとても高機能で。現代はAIを活用してインシデント初動対応もやってくれるらしいです。 そしてCSIRT。CSIRTに関連する資料はいろいろなサイトに掲載されていますが、この本は日本CSIRT協議会に加盟している組織のエンジニアが記載した本だけあり、まずはおさえるべきポイント、勘所を列挙しています。CSIRTは各事業部の情報連携の役割が主であり、インシデントマネージャやインシデントハンドラーは本来別の組織が担当するべきなのですが、中小企業だとどうしても兼務になってしまいますよね。 一つ印象に残っているのが、CSIRTに求められる人物像について記載されていた点です。こういう血の通った解説はこれまで読んだことがなかったのでありがたいです。 CSIRTコマンダーに必要な能力 IT、セキュリティ知識 情報を正確にやり取りするためのコミュニケーション能力 聞く 理解する 伝える 交渉力 論理的思考力 精神力（現場では攻撃側ではなく防御側を責めることがある） 知識、技術があることのみならず（むしろそれよりも）社内で様々な関連部署（経営層、法務、広報、各事業部、そしてインシデントマネージャ）との折衝が必要になります。上の箇条書きを見る限り、自分が向いているとは思えない…。人間力が求められます。僕にはとてもできない、という気持ちになる…(-...

2024, Aug 25   — 

2024年7月の気になるインターネット記事をピックアップ

暑いですね…不要不急の外出禁止、という懐かしいフレーズがニュースで流れています。コロナも流行っているようです、皆さんお気を付けください。 今月取りあげる記事は偶然にもすべて障害発生後にフォーカスを当てた記事となります。それだけサイバー攻撃、インシデントが身近なものになってしまったということでしょうか。 今だから再認識したいセキュリティの原則 組織に最も必要なセキュリティ機能とは どんな組織にも絶対に必要なセキュリティ機能を取り上げます ＜略＞ その中から絶対に必要な機能を1つだけ選ぶとしたら、何になるでしょうか。究極の質問の答えは、「セキュリティインシデント対応機能」です。 どんな組織でもセキュリティインシデントは発生します。他業種に比べてセキュリティ対策に多額のコストを投じている金融機関であっても、社会のインフラとしてセキュリティ対策に一層の力を入れているクラウド事業者であっても、セキュリティインシデントに見舞われてしまうのは報道の通りです。企業においては、システムのバグや故障、悪意のある人間による攻撃などにより、セキュリティインシデントが起こるのは当然と考えたほうがよいでしょう。 これに関しては完全に同意です。毎日のように情報漏洩ニュースが流れています。この記事には “どんな組織であってもセキュリティインシデントは起こるとの認識のもと、対応機能を備えておく必要があるのです” と言われてしまいました。では何をするべきか。企業がセキュリティ対策としてすべきことは ID管理、ログ管理、資産管理といった予防的対策 インシデント対応訓練 とあります。現在はGoogle WorkspacesやOffice...

2024, Aug 05   — 

【ブックレビュー】OAuth 徹底入門

CISSPの勉強中ですが、かなり寄り道してOAuthの勉強をしていました。 OAuth、というか正確にはOpenId Connectを業務で利用しており、業務のアプリチームの会話についていかなくてはいけないことと、業務内でよく使われているのであればそれについて理解しなければ、その実装のセキュリティリスクについて想像もできないことから今回この本を取りました。そもそもその両者の違いがネットで調べてもちんぷんかんぷんだったのもあります。 OAuthはどういう場所で使われているかというと、一時期は流行ったＸ(旧twitter)と連携し、過去のツイートを分析し、診断結果をツイートする診断メーカーをイメージすると良いかと。診断メーカーを利用する際皆さんはtwitterのIDとパスワードでブラウザで認証し、その際「過去の自分のツイートを読み取ること」「自分のアカウントでツイートすること」を許可にチェックを入れてボタンを押すはずです。この”許可”こそがOAuthです。以下が登場人物です。 リソース所有者・・・私たち クライアント・・・・診断メーカー 保護対象リソース・・twitter（投稿機能や過去の投稿データ）　←単なるデータ置き場ではなく、認可サーバが返すアクセス・トークンを元に処理を行うため”保護対象リソースサーバ”のほうが役割のイメージが湧くと思います 認可サーバ・・・twitter側の認可サーバ 認可エンドポイント・・・・・Web API。ここに向けてクライアントは認可を求める トークンエンドポイント・・・ OAuthはクライアントにリソース所有者が自身が実行できる保護対象リソースの権限の一部を委譲させ、代わりに実行させるプロトコルです。そしてリソース所有者の権限を委譲する機能を持つのが認可サーバ。認可を行う認可エンドポイントは”認可コード”をクライアントに返します。クライアントはこの認可コードをトークン・エンドポイントに対して送付すると、トークンエンドポイントは保護対象リソースへアクセスするためのアクセス・トークン（投稿ができるよ、この人のタイムラインを閲覧できるよ、という情報を持ったクレデンシャル）をレスポンスで渡します。このアクセストークンを使ってクライアントは保護対象リソースにアクセスします。 OAuthは「誰がこの認可の委譲を許可したよ」「どの権限を付与したよ」は分からず、「権限の委譲が行われたよ」というトークンを認可サーバからクライアントに返すプロトコル。そのトークンを分割して必要な情報を解釈するのはクライアントと保護対象リソースサーバの間で行われます。 文章で読んでも「？」となってしまうのは分かります。自分で書いていても上手く説明できてないな…と思いますから。図で見ると分かりやすいのですが。そしてその図と、実際のクライアントおよび保護対象リソースサーバ内のコーディングが手を動かしながら学べるのがこの本です。OAuthはシンプルな構造と度々書かれていますが、実際にはいくつものプロトコルを組み合わせて使います。実装の方法も複数あり、OAuthは「これを使え」という決めはしていません（これを利用しろ、という規約は特定の業界で作っていたりしますが）。そのため一度に学ぼうとすると頭が爆発してしまうでしょう(^^;) この本はOAuthを0から1つずつ順を追って解説してくれているため分かりやすいです（それでも一回読んで理解できるものではありませんが…）、各構成要素の実装方法から脆弱性とその対策（徳丸本で学んだ知識が活きます）、さらに応用である認証機能や第三者に権限を委譲する方法なども紹介しています。発売は5年前と古いため最新の情報ではないかもしれませんが、基礎は変わらないはず。OAuthについて0から学ぶのであればふさわしい本と思います。...

2024, Jul 28   —