2023年末の目についた記事をピックアップ

2022年の秋からはじめたこのブログも今年で3年目に入ったということですか…早すぎる。 2024年は元旦から大地震、2日目は羽田空港で航空機事故と、なんで年の初めからこんなことが…と思わせられました。SNSは荒れているし、心穏やかに過ごしたいのであれば、テレビもネットも見ない、そんな年末年始でした。 そんな中でもセキュリティに関するニュースは抑えていましたので、気になる記事を紹介します。 パスキーの基本とそれにまつわる誤解を解きほぐす パスキーについては昨年このブログでも何回も紹介していますが、改めて「パスキーとは何ぞや」という疑問に分かりやすく回答してくれています。 重要なのは以下。 パスキーを同期することは、一定のセキュリティを保ちつつ、ユーザー体験を悪化させずに実現できる絶妙なソリューションなのではないかなと思います パスキーも完全無欠ではなく、粗を探せば問題点は出てきます、がそれが現在のID＋パスワードでのユーザ認証を続ける理由にはなりません。セキュリティを強化するツールはこれまでもいっぱいありましたが、パスキーは「使い方が簡単」という点で普及のポテンシャルは高いと思います。パスキーの2024年になってほしいですね。 【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 昨年発行が終了したWEB+DB PRESS。その最後の本に記載されていた記事です。僕も読みました。 パスキーは、ユーザーのデバイスと認証サーバーの間とで公開鍵暗号方式で認証を行う「パスワードレス認証」のひとつであり、ユーザーがデバイスを所有していることと、PINコードやFaceIDなどの生体認証を組み合わせて認証することから「多要素認証」でもあります。 パスキーはパスワードのように認証情報をやり取りするのではなく、公開鍵方式で認証します。そして手元の鍵を生態認証で本人確認することから、「あなたが所有しているもの」＋「あなた自身であるもの」の二段階認証を実現しているため、セキュリティ的に強固なのです。...

2024, Jan 08   — 

ミッション：プライバシーマークを更新せよ

世間はクリスマスだというのにセキュリティブログ記事を書いている僕です（😢） 今年最後の記事は、僕がこの1年取り組んでいたプライバシーマーク更新の業務について、どういう作業なのかを記していきます。 サムネイルにも使っているよく見るマークですが、これが何を意味するかというと、この企業は個人情報の取り扱いをしっかりしており、その社内体制や情報の管理の仕方、個人情報漏洩を防ぐための体制が整っていますよ、という第三者認証制度になります。 2年に1度Pマークは更新する必要があり、個人情報管理がちゃんと行われているか、年間のスケジュールに個人情報保護のための計画が準備されているかがチェックされます。 プライバシーマークのポイントは２つあります。１つは「個人情報」の保護に特化しており、ISMS（ISO 27001)のような会社の情報セキュリティ全般をカバーしているわけではないということ。そのためISMSはPマーク取得の知見が流用でき、ISO-27001を取得するならばPマークは更新不要という考えもありです。いっぽうでPマークは「こうしなければならない」というルールが認証機関により決められており、それに従わなければ取得できないのに対し、ISMSは「これをどうするか」という問いに対しての「会社が決めたルール」をレビューし、それを基に取得します。その観点ではPマークはゼロから会社に情報セキュリティを導入する際に利用し、慣れてきたらISMSへレベルアップ、という考えも良いでしょう。 過去僕が勤める会社のPマークは総務が更新作業を行っていました。しかし個人情報はバックオフィスよりもシステム開発部門のほうが多く保持するため、自分が会社の”セキュリティ担当”を拝命したこともあり、様々な業務を担当する傍らPマークの更新業務に取り掛かりました。総務の人は優秀な人で、これまでも何回か更新業務を行ってきたのに対して、自分ははじめての更新業務ということもあり分からないことも多々あったのですが、総務の人の協力もあり、なんとか更新までたどり着くことができました。 Pマークの取得・更新ですが、独力で作業するのは非常に困難です。多くの資料を作成しなければならないのはもちろん、認証機関の求めるルールも定期的に更新されており、それらを踏まえたうえで資料を提出する必要があります。僕もコンサルティング会社（コンサル）の支援の基、更新作業も実施しました。別にやましいことはないです。審査の際に監査員も「コンサルはこの辺りをどう言っていましたか」と質問されたりしたので、コンサルを利用しているのは周知の事実なのでしょう。 ベンチャーのように会社の規模が小さく、セキュリティの専門の部署ではなく、他の仕事を持ちつつプライバシーマークを更新しようとするのであれば、コンサルのサポートは必須と思います。僕も当初はもっと多くの範囲を自分で対応したいと考えていましたが、期限が近づくにつれて、仕事に注力せざるを得なくなり、コンサルへの依存度は増えていきました。 必要な資料の種類や、どういう風に記述すればよいかはコンサルが力を貸してくれます。しかし会社としてどんか個人情報を保有しているのか、それはドキュメントに記載された方法できちんと管理されているのかを調べ、現場に改善を指示し、実際の改善まで導くのはセキュリティ担当の役割です。なので僕のやったことは 管理台帳やログの記録のありかを確認し、抜け漏れがないかを各事業部の担当に確認、最新にメンテナンスする ドキュメントに記載された通りのセキュリティ対応が行われているかをヒアリングして、出来ていないものに関しては改善指示する 彼らは僕以上にセキュリティの素人なので、指示だけでは動けないため、自分のほうで巻き取って対応を進めたりしました。 監査員に資料を提出し、会社のセキュリティ体制や個人情報をどのように管理しているかを質問に回答する 感想として、総務から引き継いだＰマーク関連の資料は、セキュリティの専門家の僕からすれば、かなり物足りない内容でした。セキュリティの観点から、もっと詰めなければならないこと、やらなければならないことをたくさん見つけたからです。つまりＰマークは最低限抑えるところを抑えられれば、そこまで注力しなくても取得・更新できる制度なのでしょう、しかし「資格を取るために資格を取る」ことはもったいない話。せっかく個人情報を保護するためのいろいろなルールを自分でゼロから作らなくても、認定組織が用意してくれているのですから、それに乗っからない手はないというものです。堂々と活用して社内のセキュリティを強化しないと。...

2023, Dec 24   — 

情報処理安全確保支援士(登録セキスぺ)が取得したいIT資格第1位

「取得したいIT資格」は登録セキスペが1位、AWSの6連覇ならず 本当かよ…という感想しかないです。 今年「グラフのウソを見破る技術」という本を読んだのですが、仮にデータが正しいとしても、メディアが情報を発信するときには、裏に何らかの意図・狙いがあり、その「言いたいこと」を補強するために好ましいデータを持ち出す、ということはあり得る話です。 セキュリティ情報を収集していますが、「登録セキスぺを取得したいなぁ〜」という道草の声なき声が聞こえてきたことはないですよ。しかしこのような風土を業界が醸成しようとしているのであれば、そろそろ登録セキスぺの価値が上がる政策施策がアナウンスされるのではないかと…何回期待して何も起こらなかったものかw

2023, Dec 07   — 

稼げるセキュリティ資格

昨日AWS SAPの資格試験を受けてきました。1日経っても合否のメールもなく、受験履歴も更新されなかったため、受験したこと自体「存在しない記憶」だったのかもしれないとだいぶ焦ったのですがw 総合力が問われるSolution ArchitectのProfessional試験。やはり容易ではない難易度でしたが、誰でも簡単にゲットできるような資格では価値がないので難しいところですね。 これで向こう3年はSAPですが、次回更新するのでしょうか。そろそろ若い人に後を託したい気もしたり。 てなわけで試験勉強に忙しく、セキュリティの記事を書くこともままならなかったのですが、気になる記事は抑えていたので、今更ですが紹介します。…と、読みたい記事に限って会員限定だったりする。結局会員でなくても読める記事は以下の1つだけでした。 稼げるセキュリティ資格–初心者や初級者に有効な資格とは 「前回の記事は」と書かれているのに前回の記事を読むには会員登録が必要という悲しさw セキュリティ資格の代名詞ともいえる3つの資格 「Certified Information Systems Security Professional（CISSP）」 「Certified...

2023, Nov 20   — 

登録セキスぺのゴールド免許証

お客さま情報の不正流出に関するお詫びとお知らせ 派遣社員が“クライアントの顧客情報”900万件を不正持ち出し　NTT西グループ おそろしい・・・ もちろん「データのエクスポートのようなリスクあるオペレーションに対して管理者宛に通知される機構が備わっていなかった」とか「外部記憶媒体がPCに挿せる状態になっていた」とかいろいろな原因があるのですが、じゃあ翻ってあなたの会社はそれらが万全なのですか、と言われるとなかなか胸を張って言い返すことはできません。 しかし間違いなく言われることは、自社のサービスであれ、協業して開発しているサービスでアレ、このニュースをもとに「私たち（あなたたち）はこうならないよう、セキュリティ対策はできているのだろうな」と詰められるでしょうね。もちろんそうならないよう、普段から先んじて対策を取っておくべきです、そうすれば後から追加工数、ということにはなりません。 しかしこのニュースを読んで思うのは、いくらテクノロジーや仕組みを駆使して防御を固めても、最大のリスクである「人間」、それも「悪意ある人間」を止めることは難しいということ。ネズミ一匹通らない、完全無欠のシステムは存在しないですし、そんなシステムがあったら何の作業をするにも面倒で仕方ないでしょう、その「もっとスピーディに、利用しやすくしたい」という欲望がセキュリティホールを産むわけで、これはもう避けられない。できることは「やった場合すぐ検知できるぞ、証跡から過去を追えるぞ、損害賠償を請求するって契約の時に書面でやり取りしましたよね」という「やられた後を考慮した抑止力」しかないのでしょうか。 閑話休題。このブログでもたびたび取り上げている情報処理安全確保支援士、通称登録セキスぺ。僕も持っています。僕だけでなく多くの保有者が「維持費が高いくせにそれに見合うインセンティブがない」と不満を挙げていますがそんな登録セキスぺに先日新たな動きがありました。 「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士 2ページ目からは有料会員でないと読めない記事ですが、X(旧twitter)での皆さんの反応は、ぜんぜんドヤってってないですね。この記事も懐疑的な内容でしたし。 自分は3年ごとの更新を1度済ませているので手元にある登録証はブルーですが、だからと言ってグリーンのひとより知識・技術共に優れているかといえばそんなことは口が裂けてもいえませんし。10年自動車運転を無事故無違反でゴールドな免許証が手に入るものの、そもそも運転していないという事例を「ゴールドペーパー」と言いますが、それと同じくらいの価値なのでは…。 ゴールド登録証保持者でなければできない業務、みたいなものがあれば価値は出るでしょう。しかし現状は登録セキスぺの独占業務というものは存在せず、私たちの仕事は極端な話、誰でもできる仕事なのです。高いお金を払って、休みの日を使って自習して資格を更新する。エンジニアは独学することを厭わないのでそれはよいのですが、ならばこの資格を持った自分が報われたい、と思う気持ちが間違っているでしょうか？ただでさえセキュリティという分野は「何も起こらないよう努力している時には評価されず、何か起こった場合に叩かれる」仕事なのですから。登録セキスぺの必置化や、企業が案件発注を行う際の基準に「会社内に登録セキスぺが存在すること」が商習慣として定着するなど、そういう動きが進まないと、「CISSPのほうがよほど役に立つ」という話になりますよね。

2023, Oct 22   — 

2023年夏のパスキーのいろいろな動き

このブログでもたびたび名前を挙げていた「パスキー」(2か月前と同じ導入)ですが、最近様々な動きがあり、インターネットニュースでも紹介されることが増えてきました。 気になるニュースを共有します。 パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 Yubikeyなどハードウェア認証デバイスでは保存できる鍵のスペースは20〜32個に限られているとのこと、しかも鍵情報は削除できなくなると。ということは複数のYubikeyを買って手元で管理する必要が出てくる、不便ですね。 スマートフォンを利用したパスキーはストレージ容量は緩いので、そこまで心配しなくてもよいとのこと。 X(twitter)で以前「パスキーは鍵ジャラジャラから解放されるわけではない」と指摘されたことがあります。人間が秘密の文字列を大量に覚えなくてよい代わりに、手元のハードウェアに秘密の文字列（非対称鍵）が保管されている、というのは頭の片隅に入れておいて良いのではないでしょうか。 WEB+DB PRESS Vol.136-実践投入パスキー この夏最終刊を迎えたWEB＋DB PRESSでもパスキーが特集されていました。人類のパスワードの歴史を紐解き、その問題点と、問題点を解決するべく（そして解決できなかった）生まれた過去の代替案、それと比べてパスキーが優れている点が紹介されています。いくらセキュリティ的に強固でも、不便で正しく用法を守って使われなければ逆にセキュリティホールになってしまいますからね。そしてパスキーを具体的に実装するコードや、Webサービスに導入する際のUIの注意点など、タイトル通り実践に投入する際に役立つ記事になっていました。 パスワードレス認証のセキュリティとユーザー体験のバランスの難しさ、実装のポイントとは WEB+DB PRESSと同じく、パスキーの前に生まれた技術（そもそもパスキーも突然変異の技術ではなく、過去の解決策であるWebAuthnを利用しているのですが）の問題点を語り、そのうえでパスキーの問題として「結局エンドユーザが利用してくれるのか」と提示しています。僕は従来と比べてのメリットを十分理解しており、積極活用していますが、新しいモノが受け入れられるのには時間がかかりますから。 「GitHub」でパスキー認証の一般提供が開始...

2023, Oct 08   — 

「ゼロデイ脆弱性」への素朴な疑問

サムネイルはStableDiffusionWebで生成した画像。なんとなくそれっぽいですね。 この記事を書いているのは9月22日。iPhone15の発売に喜んでいる人もいらっしゃるかもしれませんが、古いiPhoneのセキュリティ対策も怠りなく。 iPhone/iPadにまたゼロデイ脆弱性 ～iOS/iPadOS、macOS、watchOSなどにセキュリティパッチ この記事タイトルを読んで、不思議に思ったことがありました。 記事のタイトルにある「ゼロデイ(0-day)脆弱性」とは、ソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や、修正用プログラムがリリースされる前の脆弱性を指します。分かりやすい言葉で説明すると、”『このようなバグがあり(このような攻撃手段により)このような問題が発生する』と判明しているにもかかわらずパッチが存在しない”、つまり無防備な状態にする脆弱性を意味します。 一方、脆弱性を解消するパッチのリリースから、実際にパッチをユーザが適用するまでの期間を「Nデイ(N-day)脆弱性」と呼びます。（3日経過したら3-day脆弱性と呼ぶ、ということはありません） ところで、今回のiOSにおけるセキュリティアップデートは、以下の脆弱性を解消することを目的としています。 CVE-2023-41992：カーネルにおけるローカル特権昇格（iOS 16/17、watchOS 9/10、macOS Ventura/Monterey） CVE-2023-41991：証明書の検証不備（iOS 16/17、watchOS 9/10、macOS...

2023, Sep 24   — 

ディープフェイクによる音声なりすまし

先週は電話番号を成りすましてかかってくる詐欺電話の話しをしました。おりしも自分の携帯電話にもIP電話の番号から詐欺電話がかかってきたところです(–;) 「電話番号がなりすまされても、声を聴けば本人かどうか分かるし騙されないぞ」と思う方もいるかもしれません。しかし現代のテクノロジーの進歩はすさまじいです。 IPAは、「サイバー情報共有イニシアティブ（J-CSIP） 運用状況 （2023年4月～6月）」を公開しました。J-CSIPは、IPAを情報ハブとして参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげる取り組みです。レポートが掲載されているリンクは以下になります。 https://www.ipa.go.jp/security/j-csip/about.html この中で目に留まったのが「電話を併用したビジネスメール詐欺（BEC）」。なんと専務に成りすました攻撃者が電話をかけてきたといいます。AIが生成する画像や動画が本物そっくりなことは皆さん既にご存じでしょうが、音声は画像や動画よりも見抜くのが難しいと思います。 セキュリティ企業オンカスペルスキーが音声のディープフェイク(「ディープラーニング（深層学習）」+「フェイク」）人工知能は、ここ数年で急速に発展し続けています。機械学習を使用すると、説得力のある画像、動画、または音声コンテンツの偽物を作成できます。)がどのように作られているのかを解説しています。 日本だけではない 世界で増加する音声詐欺 驚いたのは単に声を真似するだけでなく、「どのように話すか」「何を言わなければならないか」「どのように言うべき」を踏まえて音声が生成されるということ。 Microsoftは2023年初めに、わずか3秒の音声サンプルを使って人間の声を再現できるアルゴリズムを発表しましたが、どんなに優れたテクノロジーも悪用の余地があります。 そしてこの記事にはさらに恐ろしい未来を示しています。「他人に成りすました音声としゃべりを再現できる」ということは「自分が成りすまされる」ということです。音声で成りすまされて銀行口座に登録された情報を変更されたら、恐ろしいことになります。まだまだ荒削りの分野のようですが、AIイラストでも分かるように機械学習分野は爆発的に進化しています。どう対策すればよいでしょうか。SNSでもそうですが、嘘つき・詐欺師はまず我々の感情を怒りや恐怖、焦りで揺れ動かし冷静な考えを指せないように仕掛けてきます。最終的には映像や声ではなく、「何を言っているのか」から判断するしかないのかもしれませんね。

2023, Sep 17   —