もっとセキュリティの仕事を極めたい、セキュリティ担当の僕です。 AWSの資格は現在 Solution Architect Professional Devops Engineer Professional Security Speciality の3つを保有しています。DevOpsはあまり意味のない資格でしたが、残りの2つはこれからも保持し続けたいと思っています。 昨年のSAP更新後3ヶ月ほど勉強し挑んだ今回の試験。「あれ、思ったより難易度が高いぞ?」という感想です。3年前は単純な知識を問われる比率が多かった記憶があるのですが、今回出てきた問題は、サービスを組み合わせて利用する応用問題が多かったです。加えて、S3のボールトロックや、IAM Identity Center(元AWS SSO)など、普段遣いしないサービスに対する問題も出てきてかなり悶絶しました。...
2024, Mar 31 —そもそも2段階認証アプリとは IDとパスワードによる認証がもはや安全ではないことは皆さんご存知と思いますが、インターネット上の一部サービス、たとえばAWSやMicrosoft Teams、Githubなどでは「2段階認証(2 factor authentication)」またの名を「多要素認証(multi factor authentication)」が利用可能、あるいは必須としているサービスも存在します。 「2段階認証」とはその名の通りパスワードとは別の認証を追加することで、不正ログイン対策を強化しています。 2段階認証アプリは以下の流れで利用します。 まずアプリをインストールすると、電話番号の登録を求められます。これは「SMSメッセージは本人しか受け取れない」ということを前提としているためです。電話番号にアプリからURLが送られて、クリックすることでアプリが電話番号、つまり本人だけしか見ることができないアプリとして登録されます。 次に、2段階認証に対応したサービスで「2段階認証を有効化する」を選択すると、QRコードが表示されます。アプリからQRコードを読み込むと、そのサービスの認証データ(30秒ごと更新される6桁の数字)が登録されます。この後はサービスへIDとパスワードに加え、6桁の数字を入力してログインします。 仮にパスワードが流出しても、6桁の数字が分かるのは本人だけなので、不正ログインを防ぐことができるという考え方です。 本題 デスクトップ版Authyが2024/3/19つまり明日、サービス終了いたします。 User...
2024, Mar 18 —今月頭にインフルエンザに罹ってしまい1週間おとなしくしていました。ウィルスはやっつけましたがまだ風邪の症状が残っており、体力も落ちてしまいました。しかしセキュリティの情報は収集し続けていましたし、今月もまとめて先月気になった情報を発信できればと。 【雑記】「セキュリティ戦略」の作り方 私は会社でセキュリティ担当として活動していますが、自分の活動はこの記事で書かれているような「最前線」かつ「ボトムアップ」なタスクを1つずつ潰すタスクをしています。それはそれで非常に大事なのですが、同時にセキュリティは経営課題であることから、もっとトップダウンアプローチができればなぁ、と思っています。しかし記事にあるように数か月間かけて分析、検討を行い数年間のプランを立てるには、別作業の片手間に行うのではなく、それ用にしっかり時間を確保する必要があると思います。 1点目は、大きすぎるタネを早めに砕いておくことです。特に経営層へのヒアリングでは粒度が大きく抽象的なキーワードが出がちです。ゴールイメージが湧かないタネが登場した場合は「どんな状態になったら達成と言えるか」を掘り下げて定義しておく必要があります。 2点目は、セキュリティマネージャ自身がしっかり考える時間を取ることです。様々な洗い出し手法を書いたものの、セキュリティの課題意識や目指したい思いを一番持っているのはセキュリティマネージャ自身です リスク分析について、昔会社のすべてのリソースに対してきちんと表を作って作業を行ったのを思い出しました。しかしこういうのはシステムと一緒で「作って終わり」ではなく、定期的な見直しと修正を行わないと、何の意味もなさない骨董品になってしまいます。自分が長い間携わった成果物を骨とう品にはしたくない。手を付けたいもどかしさがあります。 この記事に書かれている手順はかつて自分が進めたセキュリティポリシー委員会のやりかたと共通しています、そして分かりやすいです。僕も最初からこのような記事があれば、参考にしたのだろうに。 現在セキュリティ人材は非常に不足しており、この記事に書かれているようなことができれば年収1000万円とのことです。言うは易く行うは難しだと現場の人間としては思います。(このブログのタイトルそのものですが)セキュリティには「これで完璧、おしまい、終わり!」ということが無いので。 2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓” 反省を踏まえ、どう変わったか この記事の冒頭にもあるように、企業は「セキュリティの脆弱性の何を突かれ、どのような被害が発生し、どうやって問題解決したか」を教えてくれることは少ないのですがNTTコムがいろいろ語ってくれました。NTTほどの大企業、取り扱う個人情報の量も、ターゲットとしてサイバー攻撃を受ける頻度も一般的な会社よりずっと大きいでしょう。ITmediaの記事にして珍しく会員限定記事でないので紹介します。 46億行のファイルアクセスログや26億行のADサーバの認証ログを含む46種類のデータをビッグデータ解析にかけ、最終的に攻撃者が閲覧したデータを特定した 凄い世界だ…。ツールの導入と自動化。NTTの精鋭エンジニアを投入してのレッドチーム演習(実際に攻撃を行い、社内の脆弱性を探し出す)。これらはセキュリティに対してきっちりカネ・モノ・ヒトを透過できるからこそ実行できる話です。 やっぱり「情報セキュリティ部長」という役職の人がいるのですね。羨ましい・・・。 最後まで読んでこの記事が会員限定記事でない理由分かりました。これPR記事ですわ(笑)やられたー。 ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意...
2024, Mar 09 —X(旧twitter)でも話題の書籍。そういえばBluesky、招待制のうちにアカウントを作っていたのに、結局全く使っていない。Xの荒廃加減は目を覆うような状態ですが。 第1章ではなぜ今サイバーセキュリティの組織対応が必要なのかが問われます。実際体感でも情報漏洩のニュースは増えているように思えます。世界でも目に見えてサイバー戦争が起きており、ランサムウェア犯罪は国際化・洗練化しているのは過去紹介してきたほんのとおり。なのにサイバーセキュリティ人材は不足しています。この本でも紹介されている「サイバーセキュリティ経営ガイドライン」は僕も会社に導入できないか取り組んだこともあります(が、セキュリティだけ手を付けていられないのはベンチャー企業の宿命かもしれません) この本に書かれている内容は王道にして結局のところ最短の道です。自分がセキュリティレベルを高めるにあたり参考にした公的なドキュメントがたくさん紹介されています。最初からこの本を知っていれば、という感じですw 職場でセキュリティ業務に携わっている身からすると、セキュリティリスクを0にすることは不可能です。どんなにツール・ルールを充実させてもお金をかけても、最大の弱点は人間であり、完璧な人間などいないのですから完璧なセキュリティも存在しません。そのため肌感として、情報漏洩を完全に防ぐことを目標とはせずに、いかに早くセキュリティ事故に気がつくか、いかに早くデバイスをロックしたり、データを遠隔削除したりするなどで情報漏洩を防ぐか、に注力するべきと考えます。 もう一つはその最大の弱点である従業員のセキュリティレベルを向上させること。昨年は会社でeラーニング(優秀者の懸賞)、セキュリティのコラム(自作記事)、アップデート情報の共有などそれなりに力を注ぎました。今年はフィッシングメール訓練もやりたい・・・。 この本の大きな特徴として「平時の備え」に多くのページを割いていること。CSIRT(Computer Security Incident Response Team)という名前からはインシデント対応組織の印象がありますが、実際には平時の備え、事前のセキュリティ強化でインシデントが発生しないように努めることが大きなミッションです(そのせいで「セキュリティ事故起こらないじゃん」と予算削減の憂き目にあう哀しい組織なのですが)情報収集、社員への啓発、社内のセキュリティ状態の分析と予防施策などやるべきことがたくさん。参考リンクを載せて紹介されています。クラウドを使用した越境(国をまたぐ)情報保持がDR目的で行われることも検討されることが少なくない時代ですが、この本はかなり広く深く実践的に説明しています。GDPRで知られるEUから米国、中国のリスクについても。検討が必要な人にとってはありがたいでしょう。 やることが多い、とてもやりきれないという絶望感がありますが、いきなりあれこれ手を付けるのではなく、Xヵ年計画を立てて適宜修正しながらやっていくとよさそうです。 今一度2年前に会社で立ち上げたセキュリティーポリシー委員会の成果をクラウドストレージの奥底から取り出して、メンテナンスと品質改善をしなければ、という気持ちになりました。 様々な人のインタビューが掲載されているのも特徴。トヨタの人のインタビューでは、サイバーセキュリティとは自動車のシートベルトのようなものと書かれています。シートベルト無くても自動車を運転できないわけではありませんが、安全・備えとなります。セキュリティもそれと同じ。技術、製品、サービスを導入することはもちろん、それに対して従業員に意識を向けることが大事。トヨタの人も「組織が大きくなるほど持ち出しリスクは0にできないため、むしろ暗号化やリモートワイプ、迅速な情シスへの報告が大事」と僕の肌感覚と同じことを言っていました。 イオンの人へのインタビューでは、平時でもレポートを提出する重要性が語られ、ランサムウェアを受けて有名になった半田病院へのインタビューでは、VPN使っているから=十分な対策にはならないという耳の痛い言葉も。 この本を読んで改めて実感するのは平時の備えの大切さ。...
2024, Feb 18 —仕事がとても忙しい1月でした、心身とも疲労困憊です。とはいえ「疲れている」は「頑張らない」の理由にはならないですし。むしろ如何にして疲れを受け流すかのスキルを身に着けたいところですね、(残念ながら)良い年なんですし。 月末にまとめて読もうとピックアップしてあった記事を紹介します。 障害対応の心構え 転職サイトWantedlyのエンジニアブログ。具体的な障害対応手順はGitHub上に公開されており、こちらは基本的な心構えについて記されています。 「深夜にたまたま少し挙動がおかしい可能性に気づいた」というような場合にすでに就寝している自分のリーダーを起こす、というようなことがあっても構いません。 仮にそれが誤報であったとしても「勇気を持ってレポートしたこと」は称賛されるべきです。 繰り返しになりますが過剰反応になること一切恐れず、逆に一切過小反応にならないようにしましょう。 はじめて障害を起こしてしまった人には「はじめての障害おめでとう」と冗談をいうくらいでも丁度よいです 誤報を出した人に掛ける言葉 まずは報告してくれたことに対する感謝を伝えましょう。 加えて「誤報で良かった」ことを伝えましょう。 スタンプなどで「よかった」「ありがとうございます」などを押すだけでも 報告者の心理的障壁が下がります。 心理的安全性と相互の信頼があってこそですね。最悪なのは「難かこれおかしいような…でも手を煩わせるのも悪いし、問題ないだろう、たぶん…」というやつです。往々にしてそういうのが悲劇を起こします。** 過剰反応くらいでちょうどよい...
2024, Feb 04 —このブログを読む人にとっては知っているよ、という話かもしれませんが、「ランサムウェア」とは「ランサム=身代金」+「ソフトウェア」を組み合わせた造語で、サーバ上にあるデータを暗号化、「復号してほしければ金を払え」(なお金を払っても復号する保証はない)という行為のことを指します。そういう意味ではソフトウェア自体を指す用語ではありません。最近は「ノーランサム」という、暗号化をせずに「データを盗んだ、公開されたくなれけば金を払え」というよりお手軽かつ暴力的な行為も行われています(ノーランサムという言葉が本質付いていない気もしますが・・・) 「あの企業、実は情報漏えいしてますよ!」──ランサムウェア集団が自ら政府機関に“告げ口” 米国で新たな手口 さらには自分でデータを盗んでおいて、政府機関に「こいつら個人情報が漏洩したのに貴方たちに報告していないんですけど」と文字通りマッチポンプする事例すら起きています。こんなことが許されていいのか。 この本でも書かれているように、ランサムウェアという横文字になっていますが要するに「データの誘拐事件」であり、人類史上古来からある犯罪です。まずはその歴史を紐解きます。この「コンピュータにアクセスできなくして金銭を要求する」犯罪の始まりは1989年と判明しています。当時はフロッピーディスクが使われていました。この種の犯罪を始めた人物は、今のようにダークネットにだれでも使えるランサムウェアが売られている時代と異なり、頭は良いが変人でした。そんな人物がコンピュータを手に入れた時、それは恐ろしいことを実行できてしまうのです。 一方でランサムウェアが暗号化による脅迫ならば、それを複号するのがハッカーのミッション、それは鏡に映った人間のように、悪人達と同レベルの才能を持つ「はみ出し者」たちが活躍しています。同レベルの能力者が攻防を繰り返すのはさながら漫画や映画のようですが、僕たちには見えにくい場所でリアルで起きていることです。 そんな優秀な人たちが所属する秘密の組織「ランサムウェア追跡チーム」の存在について書かれています。機密データも見れてしまいますし、なにより攻撃者に手の内を明かすわけにはいきませんから、メンバーの選定、入会条件は厳しいそうです。ランサムウェア攻撃者の背後にはロシアや北朝鮮のような特定の国を攻撃することを目的とした組織がいたりします。そうなると同レベルの能力バトルなどという茶化せる話しではなくなり、命に係わります。ランサムウェア追跡チームの詳細が不明なところはそれも理由でしょうね。 ランサムウェアがハッカーの一攫千金の手段から、国家が敵対勢力に危害を加えるために行使するツールへと進化した 実際昔は一部の変人エンジニアやスクリプトキディがばらまいていたランサムウェアですが、最近ではRaaS(ランサムウェア・アズ・ア・サービス、つまりサービスとしてランサムウェアを販売し、サポートしたりすること)も登場しています。彼らは採用試験も行っており、人事や経理をアウトソースしています。恐ろしい。 攻撃側が組織化する一方で、ランサムウェア追跡チームはボランティアないし労力にみあっていない報酬しか受け取っていません。彼らに泣きつく被害者は彼らをイエス・キリストと思ってすがるのかもしれませんが、彼らもまた妻がいて、生活のある一人の人間でしかない。この問題についても記しています(OSSのメンテナーと同じようなシチュエーションですね)しかし彼らがお金を要求しだしたり、「もうやめた!」となってしまうと途端に攻撃側のやりたい放題になってしまうという・・・。 一企業がランサムウェアのターゲットになることよりもさらに深刻な状況として、10章であるように自治体がターゲットになってしまう事例も紹介されています。電気・ガス・水道・交通。これらのインフラがすべて使えなくなってしまいます。現代の社会はコンピュータとインターネットにより運営されているので、それが掌握されてしまうと社会活動がなりたたくなります。しかし犯罪者にお金を払ったとして、データが復元されること、仮に復元されたとしてその数時間後に再度攻撃される可能性を誰が否定できるでしょうか。 本書で特に良い内容と思った省は、巻末の謝辞でも書かれている「恐喝経済」。ランサムウェアをめぐる闇の深い事例も紹介しています。「暗号化されたデータを復号しますよ」と主張する会社が、実際には攻撃者に身代金を払い、顧客には身代金と手数料を上乗せして請求する経済活動を告発しました。良心の呵責に耐えられず、会社を去る人もいます。そして被害者すら「長時間ビジネスが出来なくなるのであれば、その時間コストを考慮して、保険にも入っているしさっさと解決したい」と思ってしまえば、保険会社にとってもWin。全員が共犯者、利益を得るものとなります。「ランサムウェアギャングと交渉して身代金を下げたうえでデータを復元します」と公言している会社もあります。本人としては全社の詐欺会社・二枚舌会社よりよほどフェアだと確信しているようですが、このような会社の存在があってこそランサムウェアという現実に存在し、このような会社があるからランサムウェアは世の中から無くならない、攻撃側と防御側が歪な共闘関係を結んでいるとも取れます。明らかにおかしな話ですが、世の中はユートピアではないということですね。そのキレイでない世の中でいかにまだマシな社会を作っていくか。 また、ランサムウェアの副次的な被害として「身代金を払って復号キーを受け取らないと仕事ができないでしょ、あなたの大切な写真にもうアクセスできないでしょ」という脅迫ですが、そもそもデータが相手に取られてしまった時点で、それをダークウェブなりGoogle検索なりに公開されてしまうというリスクが存在します。これを「二重の脅迫」といいます。 冒頭紹介したランサムウェア集団が政府機関に情報漏洩を告げ口した話、そして「ノーランサム」を紹介しましたが、データを盗まれた時点で戦いには負けているんですよね。よく「ランサムウェア対策に、別の場所にデータをバックアップしておけ」と語られますが、それはランサムウェア被害の一部しか解決しない策です。プライバシーが重視されるにつれ、現場のセキュリティの業務はどんどん重たくなっていってます。 最終章では日本人もニュースで耳にしたかもしれない、コロナ禍のアメリカで起きたコロニアル・パイプランに対するランサムウェア被害の話が紹介されています。コロニアル・パイプラインを攻撃した”ダークサイド”によりアメリカではランサムウェアの脅威は911と同レベルという認識を持たれ、脅威を過小評価していた米国政府の動きも変わりました。まさに藪をつついて蛇を出す。ランサムウェア業界に君臨していた悪名高い組織”ダークサイド”も米国政府の手により閉鎖されます。しかしそこで作られたコードやノウハウは拡散され、別の組織で使われている、ということは「セキュリティのアレ」でも紹介されています。世界は平和になりました、とはならない・・・。 4億円を米石油パイプライン大手から窃取、露ハッカー集団「ダークサイド」が使った手口...
2024, Jan 21 —2022年の秋からはじめたこのブログも今年で3年目に入ったということですか…早すぎる。 2024年は元旦から大地震、2日目は羽田空港で航空機事故と、なんで年の初めからこんなことが…と思わせられました。SNSは荒れているし、心穏やかに過ごしたいのであれば、テレビもネットも見ない、そんな年末年始でした。 そんな中でもセキュリティに関するニュースは抑えていましたので、気になる記事を紹介します。 パスキーの基本とそれにまつわる誤解を解きほぐす パスキーについては昨年このブログでも何回も紹介していますが、改めて「パスキーとは何ぞや」という疑問に分かりやすく回答してくれています。 重要なのは以下。 パスキーを同期することは、一定のセキュリティを保ちつつ、ユーザー体験を悪化させずに実現できる絶妙なソリューションなのではないかなと思います パスキーも完全無欠ではなく、粗を探せば問題点は出てきます、がそれが現在のID+パスワードでのユーザ認証を続ける理由にはなりません。セキュリティを強化するツールはこれまでもいっぱいありましたが、パスキーは「使い方が簡単」という点で普及のポテンシャルは高いと思います。パスキーの2024年になってほしいですね。 【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 昨年発行が終了したWEB+DB PRESS。その最後の本に記載されていた記事です。僕も読みました。 パスキーは、ユーザーのデバイスと認証サーバーの間とで公開鍵暗号方式で認証を行う「パスワードレス認証」のひとつであり、ユーザーがデバイスを所有していることと、PINコードやFaceIDなどの生体認証を組み合わせて認証することから「多要素認証」でもあります。 パスキーはパスワードのように認証情報をやり取りするのではなく、公開鍵方式で認証します。そして手元の鍵を生態認証で本人確認することから、「あなたが所有しているもの」+「あなた自身であるもの」の二段階認証を実現しているため、セキュリティ的に強固なのです。...
2024, Jan 08 —世間はクリスマスだというのにセキュリティブログ記事を書いている僕です(😢) 今年最後の記事は、僕がこの1年取り組んでいたプライバシーマーク更新の業務について、どういう作業なのかを記していきます。 サムネイルにも使っているよく見るマークですが、これが何を意味するかというと、この企業は個人情報の取り扱いをしっかりしており、その社内体制や情報の管理の仕方、個人情報漏洩を防ぐための体制が整っていますよ、という第三者認証制度になります。 2年に1度Pマークは更新する必要があり、個人情報管理がちゃんと行われているか、年間のスケジュールに個人情報保護のための計画が準備されているかがチェックされます。 プライバシーマークのポイントは2つあります。1つは「個人情報」の保護に特化しており、ISMS(ISO 27001)のような会社の情報セキュリティ全般をカバーしているわけではないということ。そのためISMSはPマーク取得の知見が流用でき、ISO-27001を取得するならばPマークは更新不要という考えもありです。いっぽうでPマークは「こうしなければならない」というルールが認証機関により決められており、それに従わなければ取得できないのに対し、ISMSは「これをどうするか」という問いに対しての「会社が決めたルール」をレビューし、それを基に取得します。その観点ではPマークはゼロから会社に情報セキュリティを導入する際に利用し、慣れてきたらISMSへレベルアップ、という考えも良いでしょう。 過去僕が勤める会社のPマークは総務が更新作業を行っていました。しかし個人情報はバックオフィスよりもシステム開発部門のほうが多く保持するため、自分が会社の”セキュリティ担当”を拝命したこともあり、様々な業務を担当する傍らPマークの更新業務に取り掛かりました。総務の人は優秀な人で、これまでも何回か更新業務を行ってきたのに対して、自分ははじめての更新業務ということもあり分からないことも多々あったのですが、総務の人の協力もあり、なんとか更新までたどり着くことができました。 Pマークの取得・更新ですが、独力で作業するのは非常に困難です。多くの資料を作成しなければならないのはもちろん、認証機関の求めるルールも定期的に更新されており、それらを踏まえたうえで資料を提出する必要があります。僕もコンサルティング会社(コンサル)の支援の基、更新作業も実施しました。別にやましいことはないです。審査の際に監査員も「コンサルはこの辺りをどう言っていましたか」と質問されたりしたので、コンサルを利用しているのは周知の事実なのでしょう。 ベンチャーのように会社の規模が小さく、セキュリティの専門の部署ではなく、他の仕事を持ちつつプライバシーマークを更新しようとするのであれば、コンサルのサポートは必須と思います。僕も当初はもっと多くの範囲を自分で対応したいと考えていましたが、期限が近づくにつれて、仕事に注力せざるを得なくなり、コンサルへの依存度は増えていきました。 必要な資料の種類や、どういう風に記述すればよいかはコンサルが力を貸してくれます。しかし会社としてどんか個人情報を保有しているのか、それはドキュメントに記載された方法できちんと管理されているのかを調べ、現場に改善を指示し、実際の改善まで導くのはセキュリティ担当の役割です。なので僕のやったことは 管理台帳やログの記録のありかを確認し、抜け漏れがないかを各事業部の担当に確認、最新にメンテナンスする ドキュメントに記載された通りのセキュリティ対応が行われているかをヒアリングして、出来ていないものに関しては改善指示する 彼らは僕以上にセキュリティの素人なので、指示だけでは動けないため、自分のほうで巻き取って対応を進めたりしました。 監査員に資料を提出し、会社のセキュリティ体制や個人情報をどのように管理しているかを質問に回答する 感想として、総務から引き継いだPマーク関連の資料は、セキュリティの専門家の僕からすれば、かなり物足りない内容でした。セキュリティの観点から、もっと詰めなければならないこと、やらなければならないことをたくさん見つけたからです。つまりPマークは最低限抑えるところを抑えられれば、そこまで注力しなくても取得・更新できる制度なのでしょう、しかし「資格を取るために資格を取る」ことはもったいない話。せっかく個人情報を保護するためのいろいろなルールを自分でゼロから作らなくても、認定組織が用意してくれているのですから、それに乗っからない手はないというものです。堂々と活用して社内のセキュリティを強化しないと。...
2023, Dec 24 —