情報処理安全確保支援士のオンライン講習を受講しました(2023年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 河野太郎デジタル大臣のXへの投稿によるとマイナンバーカードの利用が登録セキスぺでも使われるとか。登録セキスぺは国家資格ですからね。どういう風に利用されるのかは分かりませんが、刑事ドラマのように「わたくし、こういうものです」とマイナンバーカードを取り出したりするのかしら(笑)いずれにせよずっと言っていますが、もっと登録セキスぺの社会的価値が上がってほしい。欲しい欲しいというだけでなく、自分のこのブログもその一助になればと思っています。 1年に1度の情報処理安全確保支援士（通称登録セキスペ）の更新期限が迫ってきました。今年もちゃんとオンライン研修を受けました。この半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。 まず第1章は「登録セキスぺに期待される役割と知識」。登録セキスぺの業務には 経営課題への対応 システムなどの設計・開発 運用、保守 緊急対応 がありますが、この中で一番難易度が高いのは1つ目の「経営課題への対応」だと思います。そのほかの3つは現場で”よしなに”対応できるわけですが、1つ目だけは経営層を巻き込まないといけないこと、そして経営層から許可と予算をゲットしないと残り3つの動きも十分にできないということ。利益に関する仕事をずっとやっていく中で「セキュリティ担当」としてできることを責任もってやってきましたが、もどかしさを感じています。セキュリティは利益という数字として出せないから、どうしても積極策が取れない。 今年の研修では 「世界一安全な日本」創造戦略2022 という閣議決定が紹介されていました。 「世界一安全な日本」創造戦略2022の策定について 日本の治安の良さは海外からも言われていますが、目に見えないサイバー空間での治安はどうか。知らぬ間にプライバシーや安全に関する情報が盗み取られ、サイバー攻撃に利用されているかもしれません。サイバー攻撃に対するに本人認証や不正検知に民間と協力して体制強化するとのことです。特にインターネットの脅威の第1位である電子メールからのランサムウェア、マルウェア、偽サイトへの誘導による機密情報や金銭の摂取に対して送信ドメイン認証技術（DMARC、SPF、DKIM等）の導入等のなりすましメール対策を進めるということですが、問題は一般の人が認証情報を確認してくれるのか。人にチェックを意識づけるより、GoogleやMicrosoftなどメーラーを提供している民間事業者になりすましをはじくフィルタリング機能をより強化するようお願いするほうが効果がありそうですね。 ただ、デジタルワールドが世界一安全と名乗るのは容易ではなさそうです。そもそもデジタル社会が世界一安全なのは、規制や検閲の強化とい問題とコインの裏表です。...

2024, Apr 29   — 

【ブックレビュー】どうしてこうなった？ セキュリティの笑えないミスとその対策51 ちょっとした手違いや知識不足が招いた事故から学ぶITリテラシー

この本に書かれているのは本当に初歩の初歩、だからこそセキュリティの専門家でない人にとって起こしがち（もちろん専門家とて油断禁物）の事例です。 「Googleフォームが全体公開になっていた」「zoomやslackのWeb会議画面共有で見えてはいけない資料・メッセージが見えてしまった」「電車内で機密情報を喋った」など、あるあるです。ヒヤリ・ハットした経験がある人もいるのではないかと。僕だって身に覚え有ります。 そしてやっぱりメールに関するセキュリティ事例の話が多いです。添付ファイルからのマルウェア感染、BCCと間違えてCCで送ってしまった、宛先を間違えた、メーリングリストに返信した、などなど。「手でメアドを入力しないようアドレス帳から選ぶようにしろ」と前職ではルール化されていましたが、それは結局アドレス帳から間違えて宛先を選んだ場合の誤送信を回避できませんよね。人間は疲労や精神的な同様、その他さまざまな理由により過ちを犯すものなので。メールは一度送ってしまったら最後、取り消しできないのもリスクを増長しています。昨今企業はLINEのようなSNSを使って顧客にアプローチすることが増えていますが、これには電子メールにごみメールばかり来て読まれない、という商売的な理由だけでなく、電子メールが古いツールゆえのセキュリティのリスクを避けたいという意図もあるのではないかと思っています。 業務で使う身近なツールに潜むセキュリティリスクも多数掲載されています。SNSという手軽に投稿でき、あっという間に拡散するツールと、”喋りたくてしょうがない”という人間の欲が悪魔合体すると、会社の機密情報を発信して懲戒解雇、という恐ろしい事態が起こります。僕も過去に従業員のSNS投稿の写真に第三者が映っているのを見つけ、「この写真、許可得て使っているの？」と聞いて無許可と知りびっくり。掲載を取り消してもらい、その後会社で「SNS利用の注意」と題した啓蒙動画を発信したことがあります。 PDFはAdobe Acrobatの黒塗り機能により文字を隠すことができますが、実際にはデータを読むことができる、というネタも会社のコラムで記事書いたことがあります。この本もそのリスクが掲載されており、この本の目の付け所はテクノロジーを深く理解しているエンジニア向けではなく、コンピュータを日常業務で使用している一般従業員向け、つまり現場と近い本だと思いました。 セキュリティの専門家にとっては「知っているよそんなこと」という内容ですが、だからこそこの本を僕は評価します。結局一般の人こそがセキュリティのリスクなのですから。この本はとても丁寧にセキュリティリスクを紹介していますが、問題なのは一般の人はなかなか自発的にこのような本を読まないということです。 そのため今年の新入社員教育で、この本の内容を引用させていただきました（もちろん「引用」と言えるレベルでです）。 電子メールの添付ファイルを開かないこと 携帯電話や業務PCの紛失に気を付けること オフィスの外で業務を行うこと、公衆無線LANを利用するリスク SNSを使う際のルール これらの資料は社内で啓発活動を行うために過去作ってきましたが、作っては忘れ去られてきたため、今回再利用しました。新人教育にだけ使うのはもったいないので社内にも共有しよう。

2024, Apr 17   — 

AWS認定 AWS Security Specialityを更新しました

もっとセキュリティの仕事を極めたい、セキュリティ担当の僕です。 AWSの資格は現在 Solution Architect Professional Devops Engineer Professional Security Speciality の3つを保有しています。DevOpsはあまり意味のない資格でしたが、残りの2つはこれからも保持し続けたいと思っています。 昨年のSAP更新後3ヶ月ほど勉強し挑んだ今回の試験。「あれ、思ったより難易度が高いぞ？」という感想です。3年前は単純な知識を問われる比率が多かった記憶があるのですが、今回出てきた問題は、サービスを組み合わせて利用する応用問題が多かったです。加えて、S3のボールトロックや、IAM Identity Center（元AWS SSO）など、普段遣いしないサービスに対する問題も出てきてかなり悶絶しました。...

2024, Mar 31   — 

2段階認証アプリ「Authy」デスクトップ版サポート終了について

そもそも2段階認証アプリとは IDとパスワードによる認証がもはや安全ではないことは皆さんご存知と思いますが、インターネット上の一部サービス、たとえばAWSやMicrosoft Teams、Githubなどでは「2段階認証(2 factor authentication）」またの名を「多要素認証(multi factor authentication)」が利用可能、あるいは必須としているサービスも存在します。 「2段階認証」とはその名の通りパスワードとは別の認証を追加することで、不正ログイン対策を強化しています。 2段階認証アプリは以下の流れで利用します。 まずアプリをインストールすると、電話番号の登録を求められます。これは「SMSメッセージは本人しか受け取れない」ということを前提としているためです。電話番号にアプリからURLが送られて、クリックすることでアプリが電話番号、つまり本人だけしか見ることができないアプリとして登録されます。 次に、2段階認証に対応したサービスで「2段階認証を有効化する」を選択すると、QRコードが表示されます。アプリからQRコードを読み込むと、そのサービスの認証データ（30秒ごと更新される6桁の数字）が登録されます。この後はサービスへIDとパスワードに加え、6桁の数字を入力してログインします。 仮にパスワードが流出しても、6桁の数字が分かるのは本人だけなので、不正ログインを防ぐことができるという考え方です。 本題 デスクトップ版Authyが2024/3/19つまり明日、サービス終了いたします。 User...

2024, Mar 18   — 

2024年2月の気になるインターネット記事をピックアップ

今月頭にインフルエンザに罹ってしまい1週間おとなしくしていました。ウィルスはやっつけましたがまだ風邪の症状が残っており、体力も落ちてしまいました。しかしセキュリティの情報は収集し続けていましたし、今月もまとめて先月気になった情報を発信できればと。 【雑記】「セキュリティ戦略」の作り方 私は会社でセキュリティ担当として活動していますが、自分の活動はこの記事で書かれているような「最前線」かつ「ボトムアップ」なタスクを１つずつ潰すタスクをしています。それはそれで非常に大事なのですが、同時にセキュリティは経営課題であることから、もっとトップダウンアプローチができればなぁ、と思っています。しかし記事にあるように数か月間かけて分析、検討を行い数年間のプランを立てるには、別作業の片手間に行うのではなく、それ用にしっかり時間を確保する必要があると思います。 １点目は、大きすぎるタネを早めに砕いておくことです。特に経営層へのヒアリングでは粒度が大きく抽象的なキーワードが出がちです。ゴールイメージが湧かないタネが登場した場合は「どんな状態になったら達成と言えるか」を掘り下げて定義しておく必要があります。 ２点目は、セキュリティマネージャ自身がしっかり考える時間を取ることです。様々な洗い出し手法を書いたものの、セキュリティの課題意識や目指したい思いを一番持っているのはセキュリティマネージャ自身です リスク分析について、昔会社のすべてのリソースに対してきちんと表を作って作業を行ったのを思い出しました。しかしこういうのはシステムと一緒で「作って終わり」ではなく、定期的な見直しと修正を行わないと、何の意味もなさない骨董品になってしまいます。自分が長い間携わった成果物を骨とう品にはしたくない。手を付けたいもどかしさがあります。 この記事に書かれている手順はかつて自分が進めたセキュリティポリシー委員会のやりかたと共通しています、そして分かりやすいです。僕も最初からこのような記事があれば、参考にしたのだろうに。 現在セキュリティ人材は非常に不足しており、この記事に書かれているようなことができれば年収1000万円とのことです。言うは易く行うは難しだと現場の人間としては思います。（このブログのタイトルそのものですが）セキュリティには「これで完璧、おしまい、終わり！」ということが無いので。 2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓”　反省を踏まえ、どう変わったか この記事の冒頭にもあるように、企業は「セキュリティの脆弱性の何を突かれ、どのような被害が発生し、どうやって問題解決したか」を教えてくれることは少ないのですがNTTコムがいろいろ語ってくれました。NTTほどの大企業、取り扱う個人情報の量も、ターゲットとしてサイバー攻撃を受ける頻度も一般的な会社よりずっと大きいでしょう。ITmediaの記事にして珍しく会員限定記事でないので紹介します。 46億行のファイルアクセスログや26億行のADサーバの認証ログを含む46種類のデータをビッグデータ解析にかけ、最終的に攻撃者が閲覧したデータを特定した 凄い世界だ…。ツールの導入と自動化。NTTの精鋭エンジニアを投入してのレッドチーム演習（実際に攻撃を行い、社内の脆弱性を探し出す）。これらはセキュリティに対してきっちりカネ・モノ・ヒトを透過できるからこそ実行できる話です。 やっぱり「情報セキュリティ部長」という役職の人がいるのですね。羨ましい・・・。 最後まで読んでこの記事が会員限定記事でない理由分かりました。これPR記事ですわ(笑)やられたー。 ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意...

2024, Mar 09   — 

【ブックレビュー】サイバーセキュリティ対応の企業実務

X(旧twitter)でも話題の書籍。そういえばBluesky、招待制のうちにアカウントを作っていたのに、結局全く使っていない。Xの荒廃加減は目を覆うような状態ですが。 第１章ではなぜ今サイバーセキュリティの組織対応が必要なのかが問われます。実際体感でも情報漏洩のニュースは増えているように思えます。世界でも目に見えてサイバー戦争が起きており、ランサムウェア犯罪は国際化・洗練化しているのは過去紹介してきたほんのとおり。なのにサイバーセキュリティ人材は不足しています。この本でも紹介されている「サイバーセキュリティ経営ガイドライン」は僕も会社に導入できないか取り組んだこともあります（が、セキュリティだけ手を付けていられないのはベンチャー企業の宿命かもしれません） この本に書かれている内容は王道にして結局のところ最短の道です。自分がセキュリティレベルを高めるにあたり参考にした公的なドキュメントがたくさん紹介されています。最初からこの本を知っていれば、という感じですｗ 職場でセキュリティ業務に携わっている身からすると、セキュリティリスクを０にすることは不可能です。どんなにツール・ルールを充実させてもお金をかけても、最大の弱点は人間であり、完璧な人間などいないのですから完璧なセキュリティも存在しません。そのため肌感として、情報漏洩を完全に防ぐことを目標とはせずに、いかに早くセキュリティ事故に気がつくか、いかに早くデバイスをロックしたり、データを遠隔削除したりするなどで情報漏洩を防ぐか、に注力するべきと考えます。 もう一つはその最大の弱点である従業員のセキュリティレベルを向上させること。昨年は会社でeラーニング（優秀者の懸賞）、セキュリティのコラム（自作記事）、アップデート情報の共有などそれなりに力を注ぎました。今年はフィッシングメール訓練もやりたい・・・。 この本の大きな特徴として「平時の備え」に多くのページを割いていること。CSIRT（Computer Security Incident Response Team）という名前からはインシデント対応組織の印象がありますが、実際には平時の備え、事前のセキュリティ強化でインシデントが発生しないように努めることが大きなミッションです（そのせいで「セキュリティ事故起こらないじゃん」と予算削減の憂き目にあう哀しい組織なのですが）情報収集、社員への啓発、社内のセキュリティ状態の分析と予防施策などやるべきことがたくさん。参考リンクを載せて紹介されています。クラウドを使用した越境（国をまたぐ）情報保持がDR目的で行われることも検討されることが少なくない時代ですが、この本はかなり広く深く実践的に説明しています。GDPRで知られるEUから米国、中国のリスクについても。検討が必要な人にとってはありがたいでしょう。 やることが多い、とてもやりきれないという絶望感がありますが、いきなりあれこれ手を付けるのではなく、Xヵ年計画を立てて適宜修正しながらやっていくとよさそうです。 今一度2年前に会社で立ち上げたセキュリティーポリシー委員会の成果をクラウドストレージの奥底から取り出して、メンテナンスと品質改善をしなければ、という気持ちになりました。 様々な人のインタビューが掲載されているのも特徴。トヨタの人のインタビューでは、サイバーセキュリティとは自動車のシートベルトのようなものと書かれています。シートベルト無くても自動車を運転できないわけではありませんが、安全・備えとなります。セキュリティもそれと同じ。技術、製品、サービスを導入することはもちろん、それに対して従業員に意識を向けることが大事。トヨタの人も「組織が大きくなるほど持ち出しリスクは０にできないため、むしろ暗号化やリモートワイプ、迅速な情シスへの報告が大事」と僕の肌感覚と同じことを言っていました。 イオンの人へのインタビューでは、平時でもレポートを提出する重要性が語られ、ランサムウェアを受けて有名になった半田病院へのインタビューでは、VPN使っているから＝十分な対策にはならないという耳の痛い言葉も。 この本を読んで改めて実感するのは平時の備えの大切さ。...

2024, Feb 18   — 

2024年1月の気になるインターネット記事をピックアップ

仕事がとても忙しい1月でした、心身とも疲労困憊です。とはいえ「疲れている」は「頑張らない」の理由にはならないですし。むしろ如何にして疲れを受け流すかのスキルを身に着けたいところですね、（残念ながら）良い年なんですし。 月末にまとめて読もうとピックアップしてあった記事を紹介します。 障害対応の心構え 転職サイトWantedlyのエンジニアブログ。具体的な障害対応手順はGitHub上に公開されており、こちらは基本的な心構えについて記されています。 「深夜にたまたま少し挙動がおかしい可能性に気づいた」というような場合にすでに就寝している自分のリーダーを起こす、というようなことがあっても構いません。 仮にそれが誤報であったとしても「勇気を持ってレポートしたこと」は称賛されるべきです。 繰り返しになりますが過剰反応になること一切恐れず、逆に一切過小反応にならないようにしましょう。 はじめて障害を起こしてしまった人には「はじめての障害おめでとう」と冗談をいうくらいでも丁度よいです 誤報を出した人に掛ける言葉 まずは報告してくれたことに対する感謝を伝えましょう。 加えて「誤報で良かった」ことを伝えましょう。 スタンプなどで「よかった」「ありがとうございます」などを押すだけでも 報告者の心理的障壁が下がります。 心理的安全性と相互の信頼があってこそですね。最悪なのは「難かこれおかしいような…でも手を煩わせるのも悪いし、問題ないだろう、たぶん…」というやつです。往々にしてそういうのが悲劇を起こします。** 過剰反応くらいでちょうどよい...

2024, Feb 04   — 

【ブックレビュー】ランサムウェア追跡チーム

このブログを読む人にとっては知っているよ、という話かもしれませんが、「ランサムウェア」とは「ランサム＝身代金」＋「ソフトウェア」を組み合わせた造語で、サーバ上にあるデータを暗号化、「復号してほしければ金を払え」（なお金を払っても復号する保証はない）という行為のことを指します。そういう意味ではソフトウェア自体を指す用語ではありません。最近は「ノーランサム」という、暗号化をせずに「データを盗んだ、公開されたくなれけば金を払え」というよりお手軽かつ暴力的な行為も行われています（ノーランサムという言葉が本質付いていない気もしますが・・・） 「あの企業、実は情報漏えいしてますよ！」──ランサムウェア集団が自ら政府機関に“告げ口”　米国で新たな手口 さらには自分でデータを盗んでおいて、政府機関に「こいつら個人情報が漏洩したのに貴方たちに報告していないんですけど」と文字通りマッチポンプする事例すら起きています。こんなことが許されていいのか。 この本でも書かれているように、ランサムウェアという横文字になっていますが要するに「データの誘拐事件」であり、人類史上古来からある犯罪です。まずはその歴史を紐解きます。この「コンピュータにアクセスできなくして金銭を要求する」犯罪の始まりは1989年と判明しています。当時はフロッピーディスクが使われていました。この種の犯罪を始めた人物は、今のようにダークネットにだれでも使えるランサムウェアが売られている時代と異なり、頭は良いが変人でした。そんな人物がコンピュータを手に入れた時、それは恐ろしいことを実行できてしまうのです。 一方でランサムウェアが暗号化による脅迫ならば、それを複号するのがハッカーのミッション、それは鏡に映った人間のように、悪人達と同レベルの才能を持つ「はみ出し者」たちが活躍しています。同レベルの能力者が攻防を繰り返すのはさながら漫画や映画のようですが、僕たちには見えにくい場所でリアルで起きていることです。 そんな優秀な人たちが所属する秘密の組織「ランサムウェア追跡チーム」の存在について書かれています。機密データも見れてしまいますし、なにより攻撃者に手の内を明かすわけにはいきませんから、メンバーの選定、入会条件は厳しいそうです。ランサムウェア攻撃者の背後にはロシアや北朝鮮のような特定の国を攻撃することを目的とした組織がいたりします。そうなると同レベルの能力バトルなどという茶化せる話しではなくなり、命に係わります。ランサムウェア追跡チームの詳細が不明なところはそれも理由でしょうね。 ランサムウェアがハッカーの一攫千金の手段から、国家が敵対勢力に危害を加えるために行使するツールへと進化した 実際昔は一部の変人エンジニアやスクリプトキディがばらまいていたランサムウェアですが、最近ではRaaS（ランサムウェア・アズ・ア・サービス、つまりサービスとしてランサムウェアを販売し、サポートしたりすること）も登場しています。彼らは採用試験も行っており、人事や経理をアウトソースしています。恐ろしい。 攻撃側が組織化する一方で、ランサムウェア追跡チームはボランティアないし労力にみあっていない報酬しか受け取っていません。彼らに泣きつく被害者は彼らをイエス・キリストと思ってすがるのかもしれませんが、彼らもまた妻がいて、生活のある一人の人間でしかない。この問題についても記しています（OSSのメンテナーと同じようなシチュエーションですね）しかし彼らがお金を要求しだしたり、「もうやめた！」となってしまうと途端に攻撃側のやりたい放題になってしまうという・・・。 一企業がランサムウェアのターゲットになることよりもさらに深刻な状況として、10章であるように自治体がターゲットになってしまう事例も紹介されています。電気・ガス・水道・交通。これらのインフラがすべて使えなくなってしまいます。現代の社会はコンピュータとインターネットにより運営されているので、それが掌握されてしまうと社会活動がなりたたくなります。しかし犯罪者にお金を払ったとして、データが復元されること、仮に復元されたとしてその数時間後に再度攻撃される可能性を誰が否定できるでしょうか。 本書で特に良い内容と思った省は、巻末の謝辞でも書かれている「恐喝経済」。ランサムウェアをめぐる闇の深い事例も紹介しています。「暗号化されたデータを復号しますよ」と主張する会社が、実際には攻撃者に身代金を払い、顧客には身代金と手数料を上乗せして請求する経済活動を告発しました。良心の呵責に耐えられず、会社を去る人もいます。そして被害者すら「長時間ビジネスが出来なくなるのであれば、その時間コストを考慮して、保険にも入っているしさっさと解決したい」と思ってしまえば、保険会社にとってもWin。全員が共犯者、利益を得るものとなります。「ランサムウェアギャングと交渉して身代金を下げたうえでデータを復元します」と公言している会社もあります。本人としては全社の詐欺会社・二枚舌会社よりよほどフェアだと確信しているようですが、このような会社の存在があってこそランサムウェアという現実に存在し、このような会社があるからランサムウェアは世の中から無くならない、攻撃側と防御側が歪な共闘関係を結んでいるとも取れます。明らかにおかしな話ですが、世の中はユートピアではないということですね。そのキレイでない世の中でいかにまだマシな社会を作っていくか。 また、ランサムウェアの副次的な被害として「身代金を払って復号キーを受け取らないと仕事ができないでしょ、あなたの大切な写真にもうアクセスできないでしょ」という脅迫ですが、そもそもデータが相手に取られてしまった時点で、それをダークウェブなりGoogle検索なりに公開されてしまうというリスクが存在します。これを「二重の脅迫」といいます。 冒頭紹介したランサムウェア集団が政府機関に情報漏洩を告げ口した話、そして「ノーランサム」を紹介しましたが、データを盗まれた時点で戦いには負けているんですよね。よく「ランサムウェア対策に、別の場所にデータをバックアップしておけ」と語られますが、それはランサムウェア被害の一部しか解決しない策です。プライバシーが重視されるにつれ、現場のセキュリティの業務はどんどん重たくなっていってます。 最終章では日本人もニュースで耳にしたかもしれない、コロナ禍のアメリカで起きたコロニアル・パイプランに対するランサムウェア被害の話が紹介されています。コロニアル・パイプラインを攻撃した”ダークサイド”によりアメリカではランサムウェアの脅威は911と同レベルという認識を持たれ、脅威を過小評価していた米国政府の動きも変わりました。まさに藪をつついて蛇を出す。ランサムウェア業界に君臨していた悪名高い組織”ダークサイド”も米国政府の手により閉鎖されます。しかしそこで作られたコードやノウハウは拡散され、別の組織で使われている、ということは「セキュリティのアレ」でも紹介されています。世界は平和になりました、とはならない・・・。 4億円を米石油パイプライン大手から窃取、露ハッカー集団「ダークサイド」が使った手口...

2024, Jan 21   —