「令和6年度セキュリティ人材活用促進実証に係る業務」報告書を読む

最近サイバーセキュリティに特化したコミュニティ(Slack)「Cyber-sec+(サイバーセキュリティ プラス)」に参加しました。 多くのセキュリティ担当者が価値ある投稿してくださっており、情報収集や最新ニュースの把握に役立たせてもらっています。 紹介されていた現場のAI活用希望 vs セキュリティ - 板挟みコーポレートエンジニアのためのセキュリティ・ガバナンス実践録はとても参考になりました。 先月「令和6年度セキュリティ人材活用促進実証に係る業務」報告書が公開されていました。 報告書は100ページ越えの長い資料なので、概要版を読みました。 セキュリティ専門家の支援内容で希望する上位3項目は、「従業員向けセキュリティ教育」、「インシデント発生時の緊急対応」、「情報セキュリティ規程の整備」であり、緊急対応のニーズに加え、従業員教育、規程整備といった体制整備へのニーズがあることが示された。 セキュリティ専門家による支援を受けている・受けたことがある企業は全体の25%だが、希望・検討している企業は全体の53%で、今後、セキュリティ専門家による支援が期待されていることが明らかになった 自分は今の会社で、セキュリティ担当者が求められているセキュリティ活動を頑張っている(丸投げされている、というのが正しいかもしれませんが…w)と感じました。上記の作業は地味ながらたいへんです。 セキュリティ専門家を選定するときに重視する点は 「緊急時の対応力」、「提案内容の具体性」、「セキュリティ専門家の技術力・専門性」が上位にあがった。このことから、セキュリティ専門家のインシデント発生時の対応、セキュリティ対策提案時の具体性、技術力・専門性が重要であることがうかがえる。...

実家の両親が利用するスマフォアプリに多要素認証を設定してきました

2025年5月、日本社会で話題になっているのが証券会社を騙るフィッシング詐欺。 インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています(金融庁) 証券会社口座 不正アクセス被害相次ぐ フィッシング詐欺に注意 フィッシング詐欺でIDとパスワードが盗まれ、勝手にお金が引き落とされたり、株が購入されたりという被害が発生しています。 今般のフィッシング詐欺等による不正アクセス等の補償対応について(SBI証券) 今般の不正取引被害に対する当社の補償方針について(楽天証券) 当初証券会社は「約款では多要素認証など適切なセキュリティ対策を施していない場合の被害は補償対象外」でクローズしようとしていたようですが、被害人数、被害額とも膨大なため個別に補償することとなったようです。 證券会社の気持ちも分かります。今やIDとパスワードではアカウントを守ることは出来ません。特にお金や個人情報が関わるサービスについては極力ユーザに多要素認証を導入してもらいたかったはず。しかし単純なパスワードの利用やパスワードの使い回しをユーザはやめてくれません。「だから言ってたのに・・・」と喉から声が出かかっているのではないでしょうか。 多要素認証の設定必須化を決定した証券会社 禍転じて福と為す、と言えるでしょうか。各証券会社が多要素認証を「推奨」ではなく「必須」に強制アップデートすることを決定しました。これまでそんなことをしたらユーザから「そんな面倒な、今でも問題起こっていないし、私は今のままでよい!」というクレームが来る可能性もあり、及び腰になっていたのかもしれません、しかし今回のように実害が発生し、以下のようなYahooニュースでも取り上げるようになれば、逆に顧客からは「なんで私の利用しているWebサイトは多要素認証が設定できないのだ!」となるかもしれません、書いていて理不尽だな、と思いましたw 証券会社のログイン「多要素認証」必須化へ GWに設定見直しを 僕のところにお実家の両親から「証券会社からワンタイムパスワードを設定しろ、と連絡が来たのだけど、何をすれば良いのか分からない。セキュリティスペシャリストなんとかしてくれ」と連絡がありました。今年のゴールデンウィークは両親のスマフォのセキュリティ設定を行っていました。 高齢者にとっては現代のテクノロジーについていくのは大変だと思います。証券会社が用意した「ワンタイムパスワードを設定する方法」は丁寧に書かれていて、自分には理解しやすかったのですが、年配の方には今までやったことないことに取り掛かること自体面倒だ、となりがちです。...

【ブックレビュー】今更聞けない暗号技術&認証・認可

僕も読んでいるソフトウェアエンジニア向け月刊誌「Software Design」。最近は連載”インターネットの姿をとらえる”を愛読しています。そのSoftware Designから暗号技術・認証・認可の特集をピックアップしたものが本書になります。以前読んだことがある記事もあるかもしれませんが、記憶力はそんなに良くない(笑)実際時が経てば忘れてしまうものなので、定期的に再学習することは必要と思います。 暗号技術は現代において必須の技術、そして知れば知るほど暗号の歴史は奥が深く、近年多用されている公開鍵暗号とそれを利用したディジタル署名を考えた人は天才だと思いますね。暗号技術がなければ、インターネットを安全に利用することは不可能です。 1.今更聞けない暗号技術 暗号技術における基本、さすがにここが分からないCISSPではないです。 暗号技術入門の内容も紹介されています。この本は暗号について非常に詳しく説明されており、おススメです。CISSPの勉強の一環でこの本も読んだことがあります。ところで暗号には高度な数学の計算式が活用されています。この章も数学式がたくさん掲載されています。自分は数学になると途端に頭が受け入れるのを拒否する・・・。 2.SSL/TLS入門 SSL証明書に対応していないWebサイト(ブラウザに表示されるURLがhttp://から始まる)も、僅かとなりほぼ世の中はHTTPS。しかし数年前はSSL証明書に対応するのはやや手間がかかりました。GlobalSignでSSL証明書を高いお金払って購入し、自分でCA証明書やサーバ証明書を配置して・・・とかやりましたが、Let’s Encryptのほうが簡単(最初の認証が少し面倒ですが)なのに加えて何より無料なので、金融機関のようなブランド価値が高いサイトを除いてはLet’s Encryptを使うようになった世の中です。 Let’s Encryptが有効期間6日間のサーバー証明書を導入、2025年末までに一般提供 90日の有効期限で都度更新が必要だったSSL証明書が今後は6日になるとのこと。しかし自動更新が普及した現代ではそれも大きな運用負荷とはならないでしょう。セキュリティがさらに強化される、良いことです。 僕は業務ではAWSを使うことが多いのですが、AWSでは無料のSSL証明書をCDN(CloudFront)やロードバランサー(ELB)に直接搭載できるようになっています。サーバ(EC2インスタンス)にファイルを設置する必要も、自動更新のためのスクリプトをcronで設定する必要もありません。楽です。AWSはそういう運用コストを軽減してくれるのがありがたいです。逆に言うと、この本に書かれているようなCA証明書やルート証明書による証明書チェーンというのはSSL/TLS暗号化における重要な要素なのですが、サービスによってオブラートに包まれ、良くも悪くも分からなくても使えるようになりました。...

2025年4月の気になるインターネット記事をピックアップ

ゴールデンウィーク、皆様はいかがお過ごしでしたでしょうか。僕は実家に帰ってゆっくりしていました。どこも人が多く、お値段もお高めですからね。 ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定 タイトルはこのニュースが公開された当時のモノとなっており、現在Oracleは情報が窃取されたことを認めています。 この件に関してはGIGAZINEが続報を追っており、Oracleがセキュリティインシデントの証拠となるURLをInternetArchiveから削除させようとしていることが暴露されたり、当初否定していたOracleが情報漏洩を認めたものの、対象はOracle Cloudではないと主張したりと様々な動きが出ています。もう「情報は漏洩しているもの」と思わないとだめですね、Oracleだって世界に名だたる企業、セキュリティ対策はそうとうのモノのはずですから。 スマホの回線を乗っ取る、“ニセ基地局”が国内で出現 詐欺SMSを強制送信 携帯各社も対策へ IMSIキャッチャーという電話盗聴装置が都心で利用されているという話。IMSIキャッチャーは標的の携帯電話とサービス・プロバイダ(docomoやKDDI)の本物の携帯基地局との間で”偽”の携帯電話の基地局として機能し中間者攻撃を行います。盗聴したり、フィッシング詐欺のSMSを送信したりします。 一般的に3G以上の無線通信は、携帯電話機とネットワークの双方から相互認証が必要であるため、リスクをある程度軽減できますが、ジャミング(電波妨害=電波法違反)を併用することで4G/5G回線に繋がらないようにしダウングレード攻撃を仕掛け、2Gなどセキュリティ的に弱い無線回線でサービスプロバイダに繋ぐように仕向けます。 2Gのモバイル通信では、携帯端末がネットワークに対して認証を要求するが、ネットワークが携帯端末に対して認証を要求しない。このよく知られたセキュリティ・ホールが、IMSIキャッチャーによって悪用される。 IMSIキャッチャーは携帯基地局になりすまし、エリア内のIMSIキャッチャーに接続を試みる全ての移動端末(英語版)のIMSI番号を記録する。接続された携帯電話に対して、通話暗号化なし(A5/0モード)や、解読が容易な暗号化(A5/1またはA5/2モード)を強制することで、通話データの傍受や音声への変換を容易にする。 [Wikipediaより 総務大臣も把握していて「対応している」とのことです。この手の話となると国外スパイによる諜報活動、と思われがちですが一般人(といっても専門家のようですが)にもバレているということはその線は薄いのかもしれません(国家スパイのやることは我々が気付くのはむずかしいでしょう)。この専門家の推測によると「訪日外国人観光客を狙ったフィッシング詐欺が目的ではないか」とのこと。いずれにしても治安の悪い話です。うかつに外で機密性高いインターネットアクセスもできなくなります。 IIJセキュアMXサービスにおけるお客様情報の漏えいについて IIJセキュアMXサービスにおけるお客様情報の漏えいについてのお詫びとご報告...

「【ブックレビュー】サイバーセキュリティ、マジわからん」と思った時に読む本

会社におけるセキュリティ担当として活動して思うのは、いくらセキュリティ担当者が学び、規程を作成し、セキュリティを強化するツールを導入したとしても、現場で働く普通の人がセキュリティの意識が低いままでは会社全体のセキュリティのレベルが上がらない、という事実です。とはいえ、自分がかつてセキュリティ担当でもなんでもなかったときは今のような意識は持っていなかったことも事実。 本当にごく一般の方向けに、リスクを低減するために知っておいたほうが良い知識をまとめ、周知し、定着してもらう必要があります。この本はタイトル通り本来は普通の人に読んでもらいたいのですが、そもそもセキュリティを意識しながら仕事したくない、というのが一般の人の考え。このような本を手に取るとも思えません(笑) そのため、この本のレベルを何度でも何度でも口酸っぱく伝えるのが、一般社員向けのセキュリティ講習を担当するIT関連部署の社員の役目であると思います。 まず、セキュリティリスクでどのような被害が実際に起こるのか、けして他人ごとではないのですよ、ということを身近な被害からレクチャーすることは大事と思います。銀行口座から現金がインターネット経由で奪われるケースや、ランサムウェアによるインターネットサービスの利用停止、USBメモリ紛失・盗難による情報漏洩、公共交通機関や病院が攻撃されたなどは日常生活でも聞いたことがあるはずなので、興味を持ってくれるはずです。 僕はこの本で紹介されていた心臓ペースメーカーがインターネットにつながり遠隔治療や状態確認ができるようになった利便性の半面、脆弱性によりハッキングされるおそれという話しが印象に残りました。まだリアルで起きた事例ではないようですが、技術的には起こっても不思議でない話しです。一昔前なら映画や小説で書かれたようなフィクションの世界に今生きているのですね。 一般の人が被害を受ける原因の一つである、身近なソーシャルエンジニアリングについても紹介されています。タイトルを聞くだけで震える「スマホを落としただけなのに」(これ、推理小説なのですね、てっきりセキュリティをネタにしたホラー小説と思っていましたよ)。この本を読んでいて「社員の人たちはスマフォを廃棄するときどうしているのだろう?」と思いました。三大キャリアのようにしっかりした会社ならしっかり処理してくれるだろう、という信頼はありますが、中古スマフォ店で買取してもらったスマフォは本当にデータを完全消去してくれるのだろうか。 パソコンやスマートフォンには貴重な金属が使われているため、リサイクル目的で自治体がリサイクル箱を用意してくれていることがありますが、この際にちゃんと個人情報も消去してくれているのでしょうか?行政のホームページを観ましたが、そのあたりについては記載がありませんでした。そこがはっきりしないと社員にも勧めにくいですよね。 次にフィッシング対策。未だにセキュリティ事例トップ10の上位に位置します。ランサムウェアの入り口にもなりますし、そもそもフィッシング詐欺で使われる一見便利そうなソフトウェアに見せかけたマルウェア”トロイの木馬”の元ネタが紀元前のトロイア戦争にさかのぼるわけですから、人類が逃れることのできない罠といえそうです。対策がいろいろ紹介されていましたが、自分の会社の状況を元にカスタマイズすると良いでしょう。例えば以下のように。 OSを最新のセキュリティパッチを適用 怪しいメールは開封しない 添付ファイルのダウンロードもしない(通常業務において、Gmailのプレビューで閲覧できないフォーマットのファイルを開く理由はほとんどないはず) 自分達がファイルを送る場合は添付せず、Googleドライブ上にアクセス制限したファイルを置くほうが安全 メールのURLもクリックしない 万が一PCがかしな挙動になったら、速やかにネットワーク切断して情シスに連絡 このようにルールを考えていくと、ビジネスであろうと個人であろうと、もはやメールを利用すること自体に限界を感じてしまいます。実際BtoBであればSlackなどがあります。BtoCでもLINEはあります。ただ、メールアドレスは個人を識別するIDとしてあまりに普及してしまったため、今更無かったことにするのも難しいのが現実。行政関係についてはマイナンバーを認証に利用したアプリでやり取りすることができれば、というのが私見です。デジタル庁の人には頑張ってもらいたいです。...

「事なき」を「得る」ための活動

見るほどに治安の悪くなっていくSNSことX(旧twitter)ですが、ふとバズっているツイートを見つけたので。 薬剤師がきちんとした仕事をすると一体何が起こるのか?_人人人人人人人人人人_> 何も起こらない  < ̄Y^Y^ Y^Y^Y^Y^Y^Y^ ̄この価値が分かる人はそう多くない。 https://t.co/5KkWNshVv4— 遊び人 (@asobinin_t) March 8, 2025 ”この価値が分かる人はそう多くない。”は余計な一言のような気もしますが、そう思いたくもなる日々を過ごしているのかもしれません。 僕もこの1年セキュリティに力を尽くしました。AWS上で稼働しているサービスのセキュリティを強化することはもちろん、会社本体の組織や従業員が利用しているツール、そして従業員の意識の向上に力を注いだわけですが、セキュリティの価値は日常ではなかなか分かってもらえません。面倒くさい、時間とお金の無駄と軽視されているなぁと思うこともあります。そして何か問題が起こった時にはじめてその価値が「見える化」しますが、だいたいは「セキュリティ担当は何をやっているんだ」と言われるのでしょうね。報われない話しです。 ただ、このような仕事は世の中には意外とたくさんあると思います。 薬剤師がきちんとした仕事をすると一体何が起こるのか?答えは「何も起こらない」この価値が分かる人はそう多くない→「『何も起こらない』のがどれ程ありがたい事かと」「正常に保つのにどれだけの費用とか苦労がかかっているのかを見えない人は一定数居る」 マイナスをゼロにする仕事って日の目を見ることはないし、大衆の目に晒される時は大抵良くないことが起きたときなんですよね 問題が発生!劇的に対応して解決!ってのはマンガやドラマではカッコいいですけどね。...

2025年3月の気になるインターネット記事をピックアップ

2024年度が終わり、2025年度が始まります、昨年はCISSPの資格取得に邁進していたのですが、今年は継続的な記事の投稿こそしているものの、自分のスキル、キャリアアップに繋がる学習をはしていません。このままではよくない。何かを始めなければならない、そんな焦りを感じる2024年3月末です。 GMOサイバーセキュリティ大会議&表彰式2025 石破首相らも警鐘、セキュリティの産官学連携に意欲──GMOサイバーセキュリティ大会議&表彰式2025 GMOサイバーセキュリティはどうやら国の偉い人とコネクションがあるようですね。石破総理のビデオメッセージに加えて、サイバー安全保障担当大臣も会場にやってきたとか。アーカイブ動画が上がっていますが、3時間も観るのはけっこうなボリュームです。 2年間で21個のセキュリティ資格を取ってわかったこと 自分はマルウェア解析のセキュリティ分野について詳しくないため、このような資格があるということ、年間を通じてマルウェア解析の学習を行うことのできるサイトがあることを知りませんでした。先ほど継続的な学習をしていない、と感想を書きましたが、ハンズオン形式の学習によって得られる資格は手を動かすことでスキルが身につくことが実感できるのが良いと思いました。 日本のサイバーセキュリティの底上げに向けた産学官連携「Japan Cybersecurity Initiative」を設立 「Google Threat Intelligence」というサービスを初めて知りました。VirusTotal(ウィルススキャン)やMandiant(脅威インテリジェンス)と連携し(ともにGoogleが買収)、総合的な情報を提供するサービスとのことです。 この記事の中で、これも初めて知ったのがGoogleがサイバーセキュリティに関する認定資格を作っていたということ。 Google 認定講座「サイバーセキュリティプロフェッショナル認定証」を受講してみた...

情報処理安全確保支援士のオンライン講習を受講しました(2024年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 1年に1度の情報処理安全確保支援士(通称登録セキスペ)の更新期限が迫ってきました。去年の更新の際にはブログ記事内で この半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。 と書いていましたが、その後、2025年はとにかくセキュリティ・セキュリティ・セキュリティ。どっぷり浸かった1年間でした。おかげで?CISSPも取得できました。 そのCISSPの資格を維持するためには書籍やウェビナーの参加をISC2に報告することでたまるポイントの蓄積が必要なのですが、登録セキスぺのオンライン講習も対象になるとのこと。これを活かさない手はありません。 今年のオンライン講習、最初の単元は 「登録セキスぺに期待される役割と知識」 。 昨年と同じタイトルです。概要に「専門家の抱えるジレンマ」という言葉がありますが、それを痛感した2024年のセキュリティのお仕事でした。知識はたくさん持っています。あるべき姿も見えています。しかし企業活動を行う中ではヒト・モノ・カネ・そして時間が圧倒的に足りない。 目標にある セキュリティの脅威を能動的に収集する 指導・助言を求めている関係者に対してセキュリティの具体的な助言を行う 自社・他社の過去の事例を教訓として、再発しないよう対策を行う この3つにできる限り取り組むことが、セキュリティ専門家を名乗る自分のミッションだと再認識しました。上記3か条は情報処理の促進に関する法律の以下の文言を分かりやすく説明した言葉といえます。 サイバーセキュリティの確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。...