今年1月にCPEはどうやってゲットすればよいのかという記事を書きました。 ISC2が用意するウェビナーを視聴する 情報処理安全確保支援士などの研修の結果を報告する セキュリティに関する本を読む オンライン配信やオフラインイベントに参加する などでポイントをゲットすることができ、3年間で120ポイント貯めることが求められます。 この1年間で溜めた結果を報告します。 1年で120ポイント貯めました!! 来年はAWSの資格更新で勉強時間がとられることが想定されるので、今年中にできるだけ稼いでおきたいと張り切った結果、1年で3年分のポイントをゲット。これで残り2年は自己研鑽する必要がなくなりました(ウソです、来年以降もちゃんと勉強しつづけますよ) 内訳としては ISC2が用意するウェビナーを視聴する = 20% 情報処理安全確保支援士などの研修の結果を報告する =...
2025, Dec 20 —気が付けば11月も終わり。本当は有給を取ってセキュリティのセミナーに参加したかったのですが、仕事が忙しくて叶いませんでした。 そんな中、気になったセキュリティ関連のニュースを紹介します。 生成AIガイドラインとは?企業に役立つひな型を公開!リスクや対策も解説 企業が生成AIツールを導入するためには、専用の「社内向け 生成AIガイドライン」を整備することが欠かせません。生成AIにおけるリテラシーには個人差があり、各従業員の判断に任せた運用となれば、生成AIに起因するセキュリティ事故や著作権侵害などのリスクが予期されるためです。 先月のSoftware DesignでもAIのセキュリティについて特集されていました。AIがこれだけ利用される現代、セキュリティを考えるのは当然です。 むしろコーポレートサイトに「私の会社はこういうルールで生成AIを利用しています」と、プライバシーポリシーと同じように載せるべきだとも言われています。 従業員に対してはペラ1枚でもよいので、以下の周知が必要です。 使用可能な生成AIツール 入力禁止の内容について 生成AIの見解を会社の見解として掲載しないこと(AIに「その根拠となるWebサイトを教えて」と伝え、人間が必ずチェックする) 生成AIの成果物掲載の際、著作権を侵害していないことを法務に確認すること これはつまり、法務部門も生成AIについて無関係ではいられない、ということです。最近、Webサイト画面の右下にチャットAIが表示され、いろいろと質問に答えてくれる便利なサイトが増えています。しかし、AIが明らかに荒唐無稽なウソをついたとしても、それは掲載している企業の責任となり、金銭的ダメージとなるケースも実例として存在します。 AIの安易な利用に対しては、セキュリティの観点からも責任者がチェックするべきです。...
2025, Dec 07 —原著のタイトルは「Making Sense of Cybersecurity」、つまり「サイバーセキュリティのセンスを作る」と訳せるでしょうか。筆者の言う「センス」とは以下の3つを指します。 適切さ バランス 持続可能性 セキュリティはとことん突き詰めようとすれば際限がなく、費用も青天井になりがちです。また、大企業と中小企業では、従業員数や保有する情報資産、取引先の数、そして何よりかけられる予算が全く異なります。 そのため、自社にとって適切な規模の対策をバランスよく行わなければ、セキュリティ対策自体を持続することができません。 特に「持続可能性」は重要です。セキュリティ対策は、テンプレートに従って一通りのドキュメントを作成し、ツールを導入したら「あとは放置」というわけにはいきません。対策は日々の活動の中で劣化し、その間にも新たな脅威が登場してきます。「セキュリティ担当、また同じことやっているのでは?」と周囲から疑惑の目を向けられつつも(?)、繰り返しの活動を継続しなければならないのです。 エンタメと実在のハッカーたち 本書の内容は基本的ですが、単なる知識の羅列ではなく、読者の興味を惹くような構成になっています。 例えば、映画『ウォー・ゲーム』(米軍のセキュリティの脆さを知らしめ、各種対策や法律制定に影響を与えた話題作)や『スニーカーズ』、書籍『ハッカーを追え』など、コンピュータ普及期にセキュリティ問題を突いたエンタメ作品が紹介されています。 情報を盗み、売りさばき、暴露するエピソードは、決してエンタメ世界だけの架空の話ではありません。本書では実在のハッカーについても触れられています。 世界で初めてワームを作成し有罪判決を受けたロバート・T・モリス。...
2025, Nov 30 —別のブックレビューがたくさん詰まっているのですが、こちらのブックレビューを差し込みます。 ご存じ、日本憲政史上初めて女性の総理大臣となった高市早苗総理。かつては自民党のサイバーセキュリティ対策本部長を務めていたこともあり、さらには20年前にはイノベーション・科学技術政策担当大臣(兼IT担当大臣)もつとめており、日本でこの分野についてはもっとも経験値を持っている政治家の一人ではないでしょうか。総理大臣就任の所信表明にも AI・半導体、造船、量子、バイオ、航空・宇宙、サイバーセキュリティ等の戦略分野に対して、大胆な投資促進、国際展開支援、人材育成、スタートアップ振興、研究開発、産学連携、国際標準化といった多角的な観点からの総合支援策を講ずることで、官民の積極投資を引き出します。 とあります。そんな高市早苗総理が今から7年前に編著した本書、当時サイバーセキュリティをどう認識していたのか、今後の私たちセキュリティ専門家にとってどのような影響があるのかを探っていきます。 まず最初の章を読んで思ったのが、この本は一般的な”国民の皆様”をターゲットとしてはおらず、セキュリティに詳しい人向けに書かれていること。専門の単語も使われています。AIって8年前から(もっと昔から)言葉としてはありましたが、今の爆発的進化はさすがに予想できていなかったでしょうね。しかし当時すでにランサムウェアの用語が載っているとは、分かっている人には見えているのですね。2020年の東京オリンピックの時に「サイバーセキュリティ人材が足りない」と政府が言っていましたが、もともと高市総理が安倍元総理に渡していたセキュリティの提言に、2019年以降のセキュリティ人材の強化と法制度整備を推進するよう記載されていたようです。 次いで各産業で発生したサイバー攻撃についての説明を多くのページで割いています。報告書のようなフォーマットで、各産業の対策についても説明が冗長になっていること、箇条書きで記載されていることから、読者に読ませる文章というよりは、この文章を(多少改変したかもですが)実際に国会で提出したのだと自分は読み取れました。 セキュリティに携わっている人にとっては「そういえばそんなのあったな」と懐かしい気持ちになることもあるでしょう。しかし知識のない人が当時読めば「今サイバー攻撃はこれくらい身近になっているのか」と感じたことでしょう。そして当時と比較して、サイバー攻撃の質・量とも今は増えています。 アメリカのサイバーセキュリティ政策についても解説されていますが、この内容から高市総理はアメリカのサイバーセキュリティ界隈にもコネクションがありそうですね。アメリカのサイバー防衛策を日本に積極的に取り入れることも考えているはず。 感想としては、私たちがサイバーセキュリティ対策としてIPAなどの公的組織から実施するよう指示されている施策は、この章に書かれているような文書が国会で審議され、可決されたのち現場に降りてくるのだろうな、と思いました。「セキュリティ・バイ・デザイン」や「サプライチェーンリスク」「セキュリティを”リスク”から”投資”に」見慣れたフレーズがちらほらと。国会での議論から現場に落ちてくるのはタイムラグがありますね。また当時からすでに 「AIには多くの電力が必要となる」 ことに言及しており、AIのこの時代に高市総理が総理の立場にいる点にはとても期待しています。 最終章には当時の高市総理の個人的な考えも書かれており、高市総理はテクノロジーオプティミスト(、技術の進歩がもたらすポジティブな変化に対して楽観的な見方をする人や思想)ですね。以下のような課題をICTによって解決できると考えています。 生産年齢人口の減少 インバウンドによる外国人への増加 一次産業に従事する労働者の高齢化...
2025, Nov 15 —9月がまだまだ暑い!とか書いていたのに、10月下旬はもう冬のような寒さです。秋はどこいっちゃんでしょうね? ランサムウェアが流行ってます 先月は、ランサムウェアによる被害のニュースが相次ぎましたね。 特に、アサヒやアスクルといった、誰もが名前を知っている大企業が業務に支障をきたす事態となり、その深刻さが改めて浮き彫りになりました。 一般のニュースでも「ランサムウェア」という言葉を聞くようになり、これは従業員に対して企業のセキュリティ対策の意識を高める絶好の機会だと考え、この記事を書きました。 「私はロボットではありません」詐欺に注意してください こちらも先週公開した、社内の従業員への注意喚起を目的とした記事です。 ランサムウェアは、ファイルを暗号化するなど「マルウェア(悪意のあるソフトウェア)が取る行動」の種類を表します。 一方で、クリックフィッシングは、利用者をだましてマルウェアを感染させる「手口や手段」を指す言葉です。 つまり、クリックフィッシングという手口でランサムウェアに感染させられるケースもあるわけです。 セキュリティ対策は、最も弱い部分から攻撃を受けます。 専門家には既知の情報であっても、「自分は知っているから大丈夫」と軽視してはなりません。 それにしても、私たちが普段よく目にする「私はロボットではありません」のバナーそっくりの偽物を作るなんて、悪意のある攻撃者はどこまで巧妙なのでしょうか。この偽のチェックボックスをクリックすると、マルウェアのダウンロード・インストール命令をクリップボードにコピーするという、非常に悪質な手口です。 パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 〜NISTがガイドライン更新 NIST(米国国立標準技術研究所)が、パスワード作成に関する最新のガイドラインを更新しました。これにより、これまで私たちが 「常識」としていたことが、実は「非推奨」 となっているため、私たちの知識もアップデートが必要です。...
2025, Nov 08 —先日、従業員の方から「Webサイトを見ていたら『私はロボットではありません』という画像が表示されたけど大丈夫?」と相談がありました。 この表示は、多くの方が一度は見たことがあると思います。 通常、Googleなどが「このアクセスは人間ではないかもしれない」と判断した場合に表示されます。 主な表示理由 マウスの動きが機械的で不自然 短時間に大量アクセス(botの可能性) 非常に古いブラウザを使用している 送信元IPアドレスがブラックリスト入り 多くの場合は問題ありませんが、最近この「私はロボットではありません」画面を悪用した詐欺(クリックフィックス)が急増しています。 不正な操作へと誘導しマルウェアに感染させる「クリックフィックス」 ネットでよくある質問「人間ですか?」に潜む罠、不正な操作へと誘導しマルウェアに感染させる「ClickFix(クリックフィックス)」攻撃の被害急増 クリックフィックスは、「クリックすることで問題を解決します」と装い、ユーザーを騙してマルウェア感染などの不正操作へ誘導するサイバー攻撃です。 2024年以降、世界的に被害が急増しており、日本でも警察庁が注意喚起しています。 サイバー警察局たより クリックフィックスの手口...
2025, Nov 03 —近年、ランサムウェアによる被害が大きな社会問題となっています。 ランサムウェアとは、利用者のシステムに不正侵入し、データを暗号化して使えなくしたうえで、「元に戻してほしければ金銭を支払え」と要求する悪質なソフトウェアです。最近ではデータを暗号化せず、盗み出した情報を「公開する」と脅す“ノーランサム”型の攻撃も増えています。 実際に起きた被害事例 アサヒホールディングス ランサムウェア被害で出荷サービスやコールセンター業務が停止し、ビールの出荷までできなくなりました。 サイバー攻撃によるシステム障害発生について 竹内製作所(米国子会社) サーバが攻撃され、一部データの暗号化・外部流出が発生しました。 連結子会社におけるランサムウェア被害に関するお知らせ アスクル Web注文システムが停止し、無印良品など取引先にも影響。「サプライチェーン攻撃」の代表例です。 【重要】ランサムウェア感染によるシステム障害発生とご注文受付停止のお知らせとお詫び ランサムウェアは他人事ではありません。 情報セキュリティ10大脅威では2016年から10年連続でランクイン。昨年は脅威ランキング第1位。 そもそもテレビのニュースで使われている用語ですから、残念ながら市民権を得てしまったということです。...
2025, Oct 25 —テクノロジーの進化はすさまじいスピードです。特に、スマートフォン以来の社会を大きく変革するテクノロジーとされるAI。ものすごいお金が投入されており、各社、凄まじいスピードで新バージョン、新サービスを公開しています。なにより検索の王者であるGoogleが検索を捨てるかのようにLLMに全振りしているとこからも、彼らの危機感と本気度がうかがえます。 また、AIに比べるとあまり聞かれない用語ですが「量子コンピュータ」というものがあります。従来のコンピューターとは全く異なる原理で動く、次世代のコンピューターです。従来のコンピューターが「ビット」を使って情報を「0」か「1」のどちらかで表現するのに対し、量子コンピューターは「量子ビット」という単位で情報を扱います。量子ビットは、「0」と「1」の両方の状態を同時に持つことができます。例えるなら、コインが表と裏の両方を同時に向いているような状態です。n個の量子ビットがあれば、2のn乗通りの状態を同時に表現できるため、膨大な情報を一度に処理できます。量子コンピュータは従来のスーパーコンピューターでも膨大な時間がかかるのに比べて、はるかに高速に解くことができるとされています。 この2つの最新テクノロジーが、セキュリティに対してどのようなリスクがあり、どう対応していくべきか、について書かれた本が本書になります。海外の本の翻訳ではないのですが、非常に分厚く濃密な力作です。読むのがたいへんでした。 前半は量子コンピュータ。量子コンピュータはAIと異なり現状誰もが利用できるものではありません。ハイスペックなコンピュータが必要なのはもちろん、絶対零度に近い環境で制御する必要があり、エラーの訂正技術も必要となります。しかしこれらの課題が克服された量子コンピュータ、これを”CRQC”(「Cryptographically Relevant Quantum Computer」の略で、日本語では「暗号解読関連量子コンピューター」と訳されます)と呼びますが、CRQCが登場した場合は、従来のコンピューターでは事実上不可能だった、現在の公開鍵暗号を現実的な時間で復号できてしまうという、現在のサイバー空間の前提を崩してしまう可能性があるとされています。 また、Googleが「2029年までに商用利用可能な規模の量子コンピュータの開発を目指している」とのことです。この本では世界各国がCRQCについて調査を行っていることが解説されており、おおよそ2035年前後にCRQCが登場し、それによる暗号解読のリスクを考慮し、備える必要があるとのことです。 この本で紹介されていた「ハーベスト攻撃」というものが勉強になりました。現在の技術では復号できない暗号化されたデータを今のうちに詐取(文字通り”収穫”しておく)して、来るべきCRQCの登場まで保管しておき、CRQCの登場で一気に復号化するという攻撃です。昨今のセキュリティインシデントで「漏洩した情報・紛失したPCの情報は暗号化されているのでリスクは低い」というアナウンスを聞きますが、これが未来の時限爆弾になってしまうという恐ろしい攻撃です。 また、情報資産台帳で『このデータは暗号化されているのでリスクは低い』と定義づけしていた情報が軒並み見直しを迫られるため、セキュリティ対応の工数の増加が考えられます。 追加の対策として”クリプトインベントリ”=対象の資産・システムで利用されている暗号の使用状況やアルゴリズムをきちんと管理しておき、CRQCに対して対策ができているのか、という管理が必要になることが提示されていました。 防御側も何もしていないわけではなく、PQC (Post-Quantum Cryptography) アルゴリズムという、量子コンピュータに対して耐性を持つアルゴリズムが2024年にNISTによって標準化されました。こちらの導入が先進的な企業では進んできており、我々末端の会社も順次この暗号システムに置き換えていくことになりそうです。とはいえ生まれたばかりのPQCは信頼性や実績という点でまだまだ問題を抱えているため、既存の暗号化アルゴリズムとのハイブリット暗号が現状は想定されています。...
2025, Oct 18 —