セキュリティの終わりのない道

CloudFlare Zero Trust無料化で何ができるのか調べてみた

10.23 現在CloudFlare OneはCloudFlare Zero Trustに改称しているということですので、タイトルをCloudFlare OneからCloudFlare Zero Trustに修正しました。とはいえ、最近の公式の文章の中でもCloudFlare Oneが使われているのをよく見かけます。 CloudFlareは今最も勢いのあるインターネット企業の1つです。僕もCloudFlare Pagesを利用させてもらっています。zipもしくはGitHubのリポジトリから簡単に静的サイトをデプロイできる便利なサービスです。そのCloudFlareが9/24に自社のセキュリティツールを無料化するとアナウンスしました。 Cloudflareが「ゼロトラストセキュリティ」のツールを無料化　何が狙いなのか(ITmedia) ※会員限定記事ですが、無料で読める枠にほぼすべての情報が入っています Cloudflareでより安全なインターネットを：無料の脅威インテリジェンス、分析、新しい脅威検出(CloudFlareブログ) 非常に長い文章が書かれていますが、終盤に登場します。...

2024, Oct 14 —

「isoon文書」とサイバー空間での「認知戦」について

9月、セキュリティクラスタでも話題になったNHKの番組がありました。ＮＨＫスペシャル　調査報道　新世紀　Ｆｉｌｅ６　中国・流出文書を追う過去このブログでも名著「サイバー戦争」を紹介しましたが、今や戦争はミサイルや戦車を街に繰り出すのみならず、インターネット上でも行われています。不正アクセスによるシステムダウンや情報の窃取はもちろん、アメリカ大統領選で実際にロシアがしかけ、トランプ大統領を生み出したとされる世論の誘導など、その影響は多岐にわたることは知られています。しかし実際にテレビで、それも国営放送のNHKで報道されれば今までより多くの人がことを知ることができるでしょう。僕もこの番組を視聴しましたが、映像の力は強い、と改めて感じました。追跡中国・流出文書 1 ～世論操作ツール～今回取り上げられたのは、今年の2月、中国の安洵信息(I-Soon)という、表向きはセキュリティ企業、しかし裏では中国政府とも深い関連があるとされる高度持続的脅威(APT)グループ内部の様々な情報がGitHubに公開されたという事案（意図的だったとされています）。中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家安洵信息技术有限公司（I-SOON）　中国スパイウェア企業からの情報漏洩上記の記事は初報になり、その後世界中のセキュリティ専門組織が協力して、中国政府のインターネット上での活動を調査しました。その結果が番組の中心でした。台湾侵攻を念頭とした道路交通網の情報や、少数民族の抵抗を防ぐための盗聴など、膨大なデータを集めていたようです。そしてリンクをクリックしたらtwitterアカウントを乗っ取り、botのように投稿を行うようになる「Twitter世論コントロールシステム」。これにより自分たちの望むような情報を一気に拡散したり、逆に押し込めたい考えを投稿するユーザに一斉にレスを送り付けるような挙動も可能になります。番組で紹介されていた、コントロールシステムが利用していたとされるアカウント。モザイクかかっていますがどうみてもド〇えもん、このアカウント自分は見たことがあります。自分はフォローしていないのですが、誰かのリツイートで流れてきたのかもしれません。変な投稿をしていた記憶があります。 “変な投稿をしている”と勘づけるのはある程度のリテラシーを持っているからかもしれませんが、一般の人はそうは思わず、安易にリツイートし、結果として偽情報の拡散に協力してしまいます。...

2024, Oct 06 —

【ブックレビュー】ランサムウェア対策実践ガイド

表紙にあるようにこの本は「セキュリティ対策にコストをかけられない」会社や組織に対して、「コスパの良い」対策と具体的な対応策を実例をもとに紹介している本です。コスパという言葉に良くないイメージを持つ人もいるかもしれませんが、実際セキュリティ対策に「コスパ」という概念は重要だと思います。セキュリティは究極的には「時間とお金を書ければいくらでも強固になる」ものですが、それができれば苦労はしねぇ！ヒト・モノ・カネは有限であり、セキュリティ対策自体はおカネを生み出さないため優先度は下がります、小さな会社に勤める僕は大きな会社と取引をしていますが、大きな会社は扱っている情報の質量ともに大きいため、セキュリティに対する施策もたくさんです。対応が面倒だな、と思いつつもその堅牢さは羨ましさを感じます。ですがこれも口を酸っぱくして言い続けていますが、セキュリティ対策は鍵をかけずに外出するようなものであり、攻撃にあえば被害は甚大、経営問題です。これほどランサムウェアが騒がれてもはや今日の天気並みに日常ニュースになってしまっている現在、ランサムウェアを知ること、リスクを下げること、そして万が一被害を受けてしまった場合にどうするかの備えは必須ではないでしょうか。ランサムウェアが流行っている、被害が甚大だ、とはわかるのだけど、具体的な侵入事例などはなかなか公開されていません。この本は数少ない公開事例を分かりやすく説明しています。例えば本では”大手ゲーム会社”と書かれていましたが、大きなニュースになったことで皆さんもご存じでしょう、CAPCOMのランサムウェア被害がどのように発生したのかが図入りで説明されています。やはりVPNルータが攻撃のトップの起点なのか・・・脆弱性があったりパスワードがもろい場合は不正侵入の入り口になってしまいます。また、別の事例ではOSの脆弱性を突く攻撃からランサムウェアに至った事例も解説されていました。特にWindowsはMacOSよりもサイバー攻撃に弱いと言われる一方で普及率は高いため、現場としてはWindowsの対策を欲しているでしょう。このように、この本に記されている対策は「Windowsではこのように設定する」など敢えて特定のOS（Windowsはよく使われているOSとも言えます）にフィーチャーすることにより、現場がすぐ手を動かせる対策が多数掲載されているところが良いと思いました。実際自分の会社の状況と照らし合わせ、「これならできそうだ」「これならやれそうだ」とリストアップしました。これを会社で使っていこう。ランサムウェアは基本的に外部からの攻撃になります。せっかくの二段階認証やIPアドレスによるアクセス制限も、脆弱性によりバイパスされてしまっては意味がありません。アプリやOSのセキュリティパッチを当てるということは当たり前すぎてなおざりになりがちですが、基本のきです。また、情シスが普段からできる対策としてはIPS,IDS/FWのようなアプライアンスだけでなく、IPアドレスのサブネットを事業部ごと切るなど教科書的な対策も重要なようです。そしてセキュリティ製品を導入しても、ちゃんと設定すること、パッチを当てること、パスワードは複雑なモノにして使いまわししないこと、という初歩的な対策も効果的とのこと。次に、ランサムウェアとはどのような組織がどのような手順を踏んで攻撃を仕掛けてくるのかが解説されています。現代はSaaS、PaaS、IaaSなどなんでもサービス化していますがランサムウェアもそれに漏れず、RaAS(ランサムウェア・アズ・ア・サービス）としてエコシステムを構成しています。攻撃は8つのステップを得て段階的に行われる（途中のステップをスキップしたり、前のステップに戻ったりもする）ので、本来警戒するべきは最終ステップの暗号化ではなく、それ以前の侵入や内部での不正な活動に気が付かないといけません。ActiveDirectoryのような端末・アカウント管理ツールや、エンドポイントセキュリティの管理コンソール、本来は自社サービスのセキュリティ強化に利用されるペネトレーションテストツールなど、身近にあるお役立ちツールが不正侵入された攻撃者に使われて社内の防御が次々無効化、システムが丸裸にされていく一連の手順はセキュリティ担当にとってはリアリティがあり、ホラー映画より恐怖です。 8つのステップごとに何を対策すればよいかも紹介されており、やることは多いのですが推奨項目には〇をつけたうえでチェックシート形式で記載されているので現場にも導入しやすいです。セキュリティ強化にすぐ使えるWebサービスも紹介されています。ShodanやViewDNSなど、セキュリティ分野の人にとっては知っていて当然なのかもしれませんが、自分は知りませんでした、参考になります。あとはやった気になったセキュリティ対策ではダメ、ということですね。EDRは各PCに入れました、あとはお任せでは意味がないとは自分では思っていて、EDRが発している警告を毎月減らしていくぞ計画を立てたのですが、この本はさらに一歩進んだことを推奨しています。だいたいのエンドポイントセキュリティソフトにはログ機能が付いています。エージェントがインストールされた業務PCの活動を記録しています。この中身を見ているか、不審な痕跡は残ってないのか、と説きます。そこまではやっていなかった・・・。よくサイバー攻撃を受けた場合LANケーブルを引っこ抜け、もしくはWi-FiをOFFにしろ、は僕も会社で啓蒙している対策ですが、最近のニコニコ動画のランサムウェアでは、電源OFFにしたノートPCが自動で再度電源Onになるという恐怖のプログラムに感染していたとのこと（根本対策は電源ケーブルを引っこ抜いて電源の供給を断つしかなかったとのことです）端末の特定をしようとしてもそれすら偽装されていたり、ログは改ざんされていったりと、自分達だけではインシデント対応は進まないかも。やはり専門業者に依頼しないといけなさそうです（ただし、この本の著者がその「専門業者」であるのでポジショントークを疑ったほうが良いでしょう）最後に、先月読んだ本でも強調されていた（昨今のトレンドなのかな？）インシデント対応について。インシデントハンドリングマニュアルがJPCERT/CCから公開されています。JPCERT/CCがインシデントハンドリングマニュアルを公開しており、この内容通りに従って対応すれば大きくずれはなさそうです。また本書には社内外向けにどのようなコミュニケーションを取る必要があるかを列挙しており、これが有用です。誰もがインシデント対応などしたくはありません、しかし本書に書かれている平時の準備や、不幸にもインシデントが発生してしまった場合の対応フローは用意しておく必要があります。何が必要なのか、割かれている文章の量は短いものの必要なものを抑えてくれています。...

2024, Sep 29 —

ITmedia Security 2024 Summer

ITmediaが開催しているセキュリティのオンラインセミナー「ITmedia Security 2024 Summer」。いくつか視聴しましたので内容と感想を残します。 2030年問題への処方箋――持続可能な次世代サプライチェーン統制の要諦 NRIセキュアテクノロジーズ株式会社 DXセキュリティプラットフォーム事業本部本部長足立道拡氏標的が会社自体から、会社の委託先・サードパーティへ（サプライチェーンリスク）ちなみに、「サードパーティ」と「サプライチェーン」の違いは、サードパーティ・・・業務上の関係、契約のある組織...

2024, Sep 06 —

【ブックレビュー】セキュリティエンジニアの教科書

2024年の上半期を振り返ると、毎日のように情報漏洩とランサムウェアのニュースが流れて、セキュリティに難があるのがもはや当たり前のような時代になってしまっているな、という感じがあります、そんな状況下で読んだこの本はタイトル通り教科書的かつ初歩的な内容となっていますが、何事も基礎が大切であるということは言うまでもありません。CISSPでも出題される知識も記載されているので、復習がてら読みました。過去の記事にも書いていたかもしれませんが、この本で紹介されているようなリスク分析・評価と対策を1度会社でやったことがあります。その時は今より知識も不足していて、周囲に対しても協力を上手に得ることができず、中途半端な状態で終わりました。そも、各事業部のメンバーにとっては（こんなことやっている時間はないんだけどな…）と思われていたかもしれません。この本の前半はどのような本でも紹介されているセキュリティの基礎知識なのですが、中盤からは脆弱性対応に使用するフレームワークやテストの方法、後半からはインシデントハンドリングフローへの理解など詳しく図で載っているのがとてもありがたいです。CSIRTに関する記事はネットに散見されるが本は少ない印象があります。また手を付けると終わりのない作業になるため、この本が基本レベルの記載で留まっているのが逆にありがたいです。まずここを抑えればよいと考えれられるので。ただセキュリティインシデントの対応手順を作る必要があることは分かっているので、参考になるサンプル手順書を紹介してほしかったなぁ。セキュリティオペレーションセンター(SOC)の役割：リアルタイム監視、ログ分析、異常なふるまいの検知、インシデントの検知と暫定対応です。中小企業だとCSIRTが利用するものと定義づけられる、と自分は思っているのですが、（そもそもセキュリティ業務すら兼業）SOCはSOC、CSIRTはSCIRTとちゃんと役割がに分けられていて、必要に応じてアウトソーシングされることが分かりました。むしろ中小企業こそ、全部自分たちでやろうとするのではなく、パブリックSOC/共用SOC（セキュリティ企業が複数の企業をまとめて監視してくれる）を利用するべきと知りました（KADOKAWAのような大きな会社がプライベートクラウドを社内に構築する一方、中小企業がAWSを活用するように）結局一番お金がかかるのは人件費なので。SOCで使われるツール、SIEMやSOARはとても高機能で。現代はAIを活用してインシデント初動対応もやってくれるらしいです。そしてCSIRT。CSIRTに関連する資料はいろいろなサイトに掲載されていますが、この本は日本CSIRT協議会に加盟している組織のエンジニアが記載した本だけあり、まずはおさえるべきポイント、勘所を列挙しています。CSIRTは各事業部の情報連携の役割が主であり、インシデントマネージャやインシデントハンドラーは本来別の組織が担当するべきなのですが、中小企業だとどうしても兼務になってしまいますよね。一つ印象に残っているのが、CSIRTに求められる人物像について記載されていた点です。こういう血の通った解説はこれまで読んだことがなかったのでありがたいです。 CSIRTコマンダーに必要な能力 IT、セキュリティ知識情報を正確にやり取りするためのコミュニケーション能力聞く理解する伝える交渉力論理的思考力精神力（現場では攻撃側ではなく防御側を責めることがある）知識、技術があることのみならず（むしろそれよりも）社内で様々な関連部署（経営層、法務、広報、各事業部、そしてインシデントマネージャ）との折衝が必要になります。上の箇条書きを見る限り、自分が向いているとは思えない…。人間力が求められます。僕にはとてもできない、という気持ちになる…(-...

2024, Aug 25 —

2024年7月の気になるインターネット記事をピックアップ

暑いですね…不要不急の外出禁止、という懐かしいフレーズがニュースで流れています。コロナも流行っているようです、皆さんお気を付けください。今月取りあげる記事は偶然にもすべて障害発生後にフォーカスを当てた記事となります。それだけサイバー攻撃、インシデントが身近なものになってしまったということでしょうか。今だから再認識したいセキュリティの原則組織に最も必要なセキュリティ機能とはどんな組織にも絶対に必要なセキュリティ機能を取り上げます＜略＞その中から絶対に必要な機能を1つだけ選ぶとしたら、何になるでしょうか。究極の質問の答えは、「セキュリティインシデント対応機能」です。どんな組織でもセキュリティインシデントは発生します。他業種に比べてセキュリティ対策に多額のコストを投じている金融機関であっても、社会のインフラとしてセキュリティ対策に一層の力を入れているクラウド事業者であっても、セキュリティインシデントに見舞われてしまうのは報道の通りです。企業においては、システムのバグや故障、悪意のある人間による攻撃などにより、セキュリティインシデントが起こるのは当然と考えたほうがよいでしょう。これに関しては完全に同意です。毎日のように情報漏洩ニュースが流れています。この記事には “どんな組織であってもセキュリティインシデントは起こるとの認識のもと、対応機能を備えておく必要があるのです” と言われてしまいました。では何をするべきか。企業がセキュリティ対策としてすべきことは ID管理、ログ管理、資産管理といった予防的対策インシデント対応訓練とあります。現在はGoogle WorkspacesやOffice...

2024, Aug 05 —

【ブックレビュー】OAuth 徹底入門

CISSPの勉強中ですが、かなり寄り道してOAuthの勉強をしていました。 OAuth、というか正確にはOpenId Connectを業務で利用しており、業務のアプリチームの会話についていかなくてはいけないことと、業務内でよく使われているのであればそれについて理解しなければ、その実装のセキュリティリスクについて想像もできないことから今回この本を取りました。そもそもその両者の違いがネットで調べてもちんぷんかんぷんだったのもあります。 OAuthはどういう場所で使われているかというと、一時期は流行ったＸ(旧twitter)と連携し、過去のツイートを分析し、診断結果をツイートする診断メーカーをイメージすると良いかと。診断メーカーを利用する際皆さんはtwitterのIDとパスワードでブラウザで認証し、その際「過去の自分のツイートを読み取ること」「自分のアカウントでツイートすること」を許可にチェックを入れてボタンを押すはずです。この”許可”こそがOAuthです。以下が登場人物です。リソース所有者・・・私たちクライアント・・・・診断メーカー保護対象リソース・・twitter（投稿機能や過去の投稿データ）　←単なるデータ置き場ではなく、認可サーバが返すアクセス・トークンを元に処理を行うため”保護対象リソースサーバ”のほうが役割のイメージが湧くと思います認可サーバ・・・twitter側の認可サーバ認可エンドポイント・・・・・Web API。ここに向けてクライアントは認可を求めるトークンエンドポイント・・・ OAuthはクライアントにリソース所有者が自身が実行できる保護対象リソースの権限の一部を委譲させ、代わりに実行させるプロトコルです。そしてリソース所有者の権限を委譲する機能を持つのが認可サーバ。認可を行う認可エンドポイントは”認可コード”をクライアントに返します。クライアントはこの認可コードをトークン・エンドポイントに対して送付すると、トークンエンドポイントは保護対象リソースへアクセスするためのアクセス・トークン（投稿ができるよ、この人のタイムラインを閲覧できるよ、という情報を持ったクレデンシャル）をレスポンスで渡します。このアクセストークンを使ってクライアントは保護対象リソースにアクセスします。 OAuthは「誰がこの認可の委譲を許可したよ」「どの権限を付与したよ」は分からず、「権限の委譲が行われたよ」というトークンを認可サーバからクライアントに返すプロトコル。そのトークンを分割して必要な情報を解釈するのはクライアントと保護対象リソースサーバの間で行われます。文章で読んでも「？」となってしまうのは分かります。自分で書いていても上手く説明できてないな…と思いますから。図で見ると分かりやすいのですが。そしてその図と、実際のクライアントおよび保護対象リソースサーバ内のコーディングが手を動かしながら学べるのがこの本です。OAuthはシンプルな構造と度々書かれていますが、実際にはいくつものプロトコルを組み合わせて使います。実装の方法も複数あり、OAuthは「これを使え」という決めはしていません（これを利用しろ、という規約は特定の業界で作っていたりしますが）。そのため一度に学ぼうとすると頭が爆発してしまうでしょう(^^;) この本はOAuthを0から1つずつ順を追って解説してくれているため分かりやすいです（それでも一回読んで理解できるものではありませんが…）、各構成要素の実装方法から脆弱性とその対策（徳丸本で学んだ知識が活きます）、さらに応用である認証機能や第三者に権限を委譲する方法なども紹介しています。発売は5年前と古いため最新の情報ではないかもしれませんが、基礎は変わらないはず。OAuthについて0から学ぶのであればふさわしい本と思います。...

2024, Jul 28 —

個人情報保護セミナーをオンラインで受講しました

セキュリティ担当として会社のプライバシーマーク更新のために日々活動しているのですが、そんな自分にPマーク審査機関の日本データ通信協会（デ協）が主催したオンラインセミナー案内が届きました。 https://www.dekyo.or.jp/kojinjyoho/contents/info/zenkokuseminar_kaishi_2024.html せっかくなので視聴しました。セミナーで使われた画像やスライドについては公開禁止とのことですが、感想を書きます。非公開のセミナーなので具体的な事例や数値などは掲載しないようにします。講演①「個人情報保護法等改正の概要と実務への影響」近年コーポレートサイトに「Cookie取得の同意を得るポップアップ」の実装を求められるようになり、その理由をはっきり理解していなかったのですが、その法律的根拠、社会的背景について理解することができました。厳密に解釈すればコーポレートサイトや自社商品を紹介するサイト（EC機能はない）でCookie同意は不要なのかもしれませんが、「やっておくほうが安心」「我が社はお客様のプライバシーに対して意識を払っているアピール」はできそうです。講演②「情報セキュリティ10大脅威 2024」から考える攻撃者を“先回り”する対策セキュリティの仕事をしていると名前を聞くJPCERT/CC。その組織の正体は国の公的事業としてインシデントレスポンスチーム国際間、国内連携における窓口の役割インシデント対応の相談に乗ってくれる組織で、CSIRT（各組織のインシデント対応機関）のハブとなり取りまとめてくれるリーダー的存在です。そんなJPCERT/CCの人が2024年のセキュリティ脅威について語ってくれました。最近毎日のようにセキュリティインシデントが発生している印象があります。その理由について「攻撃対象が広がった」ことと、個人情報保護法の改正で、明確に漏洩した事実が確認できない場合も事故報告対象になり、被害公表対象が増加していることがあるのではと分析していました。特にランサムウェアの攻撃対象が従来の業種、企業より広がった理由についての分析は目からうろこでした（ここに書けないのが残念…）あとはオフィスにあるネットワーク機器の脆弱性を突く攻撃が増えているという注意喚起もあり、情シスと連携しないと、と思いました。VPN目的で利用されることも多いFortigateの機器2万台に中国のハッカー集団が侵入した、という記事もあります。中国のハッカーが世界中にある約2万台のFortiGateシステムに侵入しているとオランダ政府の軍事情報安全保安局が警告講演③「苦情・相談対応概況と報道された漏えい等事故を踏まえた注意喚起」...

2024, Jul 21 —