2024年2月の気になるインターネット記事をピックアップ
今月頭にインフルエンザに罹ってしまい1週間おとなしくしていました。ウィルスはやっつけましたがまだ風邪の症状が残っており、体力も落ちてしまいました。しかしセキュリティの情報は収集し続けていましたし、今月もまとめて先月気になった情報を発信できればと。
私は会社でセキュリティ担当として活動していますが、自分の活動はこの記事で書かれているような「最前線」かつ「ボトムアップ」なタスクを1つずつ潰すタスクをしています。それはそれで非常に大事なのですが、同時にセキュリティは経営課題であることから、もっとトップダウンアプローチができればなぁ、と思っています。しかし記事にあるように数か月間かけて分析、検討を行い数年間のプランを立てるには、別作業の片手間に行うのではなく、それ用にしっかり時間を確保する必要があると思います。
1点目は、大きすぎるタネを早めに砕いておくことです。特に経営層へのヒアリングでは粒度が大きく抽象的なキーワードが出がちです。ゴールイメージが湧かないタネが登場した場合は「どんな状態になったら達成と言えるか」を掘り下げて定義しておく必要があります。
2点目は、セキュリティマネージャ自身がしっかり考える時間を取ることです。様々な洗い出し手法を書いたものの、セキュリティの課題意識や目指したい思いを一番持っているのはセキュリティマネージャ自身です
リスク分析について、昔会社のすべてのリソースに対してきちんと表を作って作業を行ったのを思い出しました。しかしこういうのはシステムと一緒で「作って終わり」ではなく、定期的な見直しと修正を行わないと、何の意味もなさない骨董品になってしまいます。自分が長い間携わった成果物を骨とう品にはしたくない。手を付けたいもどかしさがあります。
この記事に書かれている手順はかつて自分が進めたセキュリティポリシー委員会のやりかたと共通しています、そして分かりやすいです。僕も最初からこのような記事があれば、参考にしたのだろうに。
現在セキュリティ人材は非常に不足しており、この記事に書かれているようなことができれば年収1000万円とのことです。言うは易く行うは難しだと現場の人間としては思います。(このブログのタイトルそのものですが)セキュリティには「これで完璧、おしまい、終わり!」ということが無いので。
2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓” 反省を踏まえ、どう変わったか
この記事の冒頭にもあるように、企業は「セキュリティの脆弱性の何を突かれ、どのような被害が発生し、どうやって問題解決したか」を教えてくれることは少ないのですがNTTコムがいろいろ語ってくれました。NTTほどの大企業、取り扱う個人情報の量も、ターゲットとしてサイバー攻撃を受ける頻度も一般的な会社よりずっと大きいでしょう。ITmediaの記事にして珍しく会員限定記事でないので紹介します。
46億行のファイルアクセスログや26億行のADサーバの認証ログを含む46種類のデータをビッグデータ解析にかけ、最終的に攻撃者が閲覧したデータを特定した
凄い世界だ…。ツールの導入と自動化。NTTの精鋭エンジニアを投入してのレッドチーム演習(実際に攻撃を行い、社内の脆弱性を探し出す)。これらはセキュリティに対してきっちりカネ・モノ・ヒトを透過できるからこそ実行できる話です。 やっぱり「情報セキュリティ部長」という役職の人がいるのですね。羨ましい・・・。
最後まで読んでこの記事が会員限定記事でない理由分かりました。これPR記事ですわ(笑)やられたー。
ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意 この戦争はミサイルや戦車の応酬だけでなく、インフラ・インターネット空間も戦場になっているのは皆さんご存じの通り。その手法について警鐘を鳴らす記事です。 ブルートフォースアタックやパスワードスプレー、MFA疲労攻撃など、基本的な攻撃をしかけてくるようです。したがって対策についても基本的な防御策(パスワードは難しいものにして使いまわししない、そもそもパスワードレスなサービスを利用する、不審なメッセージに気を付ける)になります。