「取得したいIT資格」は登録セキスペが1位、AWSの6連覇ならず 本当かよ…という感想しかないです。 今年「グラフのウソを見破る技術」という本を読んだのですが、仮にデータが正しいとしても、メディアが情報を発信するときには、裏に何らかの意図・狙いがあり、その「言いたいこと」を補強するために好ましいデータを持ち出す、ということはあり得る話です。 セキュリティ情報を収集していますが、「登録セキスぺを取得したいなぁ〜」という道草の声なき声が聞こえてきたことはないですよ。しかしこのような風土を業界が醸成しようとしているのであれば、そろそろ登録セキスぺの価値が上がる政策施策がアナウンスされるのではないかと…何回期待して何も起こらなかったものかw
2023, Dec 07 —昨日AWS SAPの資格試験を受けてきました。1日経っても合否のメールもなく、受験履歴も更新されなかったため、受験したこと自体「存在しない記憶」だったのかもしれないとだいぶ焦ったのですがw 総合力が問われるSolution ArchitectのProfessional試験。やはり容易ではない難易度でしたが、誰でも簡単にゲットできるような資格では価値がないので難しいところですね。 これで向こう3年はSAPですが、次回更新するのでしょうか。そろそろ若い人に後を託したい気もしたり。 てなわけで試験勉強に忙しく、セキュリティの記事を書くこともままならなかったのですが、気になる記事は抑えていたので、今更ですが紹介します。…と、読みたい記事に限って会員限定だったりする。結局会員でなくても読める記事は以下の1つだけでした。 稼げるセキュリティ資格–初心者や初級者に有効な資格とは 「前回の記事は」と書かれているのに前回の記事を読むには会員登録が必要という悲しさw セキュリティ資格の代名詞ともいえる3つの資格 「Certified Information Systems Security Professional(CISSP)」 「Certified...
2023, Nov 20 —お客さま情報の不正流出に関するお詫びとお知らせ 派遣社員が“クライアントの顧客情報”900万件を不正持ち出し NTT西グループ おそろしい・・・ もちろん「データのエクスポートのようなリスクあるオペレーションに対して管理者宛に通知される機構が備わっていなかった」とか「外部記憶媒体がPCに挿せる状態になっていた」とかいろいろな原因があるのですが、じゃあ翻ってあなたの会社はそれらが万全なのですか、と言われるとなかなか胸を張って言い返すことはできません。 しかし間違いなく言われることは、自社のサービスであれ、協業して開発しているサービスでアレ、このニュースをもとに「私たち(あなたたち)はこうならないよう、セキュリティ対策はできているのだろうな」と詰められるでしょうね。もちろんそうならないよう、普段から先んじて対策を取っておくべきです、そうすれば後から追加工数、ということにはなりません。 しかしこのニュースを読んで思うのは、いくらテクノロジーや仕組みを駆使して防御を固めても、最大のリスクである「人間」、それも「悪意ある人間」を止めることは難しいということ。ネズミ一匹通らない、完全無欠のシステムは存在しないですし、そんなシステムがあったら何の作業をするにも面倒で仕方ないでしょう、その「もっとスピーディに、利用しやすくしたい」という欲望がセキュリティホールを産むわけで、これはもう避けられない。できることは「やった場合すぐ検知できるぞ、証跡から過去を追えるぞ、損害賠償を請求するって契約の時に書面でやり取りしましたよね」という「やられた後を考慮した抑止力」しかないのでしょうか。 閑話休題。このブログでもたびたび取り上げている情報処理安全確保支援士、通称登録セキスぺ。僕も持っています。僕だけでなく多くの保有者が「維持費が高いくせにそれに見合うインセンティブがない」と不満を挙げていますがそんな登録セキスぺに先日新たな動きがありました。 「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士 2ページ目からは有料会員でないと読めない記事ですが、X(旧twitter)での皆さんの反応は、ぜんぜんドヤってってないですね。この記事も懐疑的な内容でしたし。 自分は3年ごとの更新を1度済ませているので手元にある登録証はブルーですが、だからと言ってグリーンのひとより知識・技術共に優れているかといえばそんなことは口が裂けてもいえませんし。10年自動車運転を無事故無違反でゴールドな免許証が手に入るものの、そもそも運転していないという事例を「ゴールドペーパー」と言いますが、それと同じくらいの価値なのでは…。 ゴールド登録証保持者でなければできない業務、みたいなものがあれば価値は出るでしょう。しかし現状は登録セキスぺの独占業務というものは存在せず、私たちの仕事は極端な話、誰でもできる仕事なのです。高いお金を払って、休みの日を使って自習して資格を更新する。エンジニアは独学することを厭わないのでそれはよいのですが、ならばこの資格を持った自分が報われたい、と思う気持ちが間違っているでしょうか?ただでさえセキュリティという分野は「何も起こらないよう努力している時には評価されず、何か起こった場合に叩かれる」仕事なのですから。登録セキスぺの必置化や、企業が案件発注を行う際の基準に「会社内に登録セキスぺが存在すること」が商習慣として定着するなど、そういう動きが進まないと、「CISSPのほうがよほど役に立つ」という話になりますよね。
2023, Oct 22 —このブログでもたびたび名前を挙げていた「パスキー」(2か月前と同じ導入)ですが、最近様々な動きがあり、インターネットニュースでも紹介されることが増えてきました。 気になるニュースを共有します。 パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 Yubikeyなどハードウェア認証デバイスでは保存できる鍵のスペースは20〜32個に限られているとのこと、しかも鍵情報は削除できなくなると。ということは複数のYubikeyを買って手元で管理する必要が出てくる、不便ですね。 スマートフォンを利用したパスキーはストレージ容量は緩いので、そこまで心配しなくてもよいとのこと。 X(twitter)で以前「パスキーは鍵ジャラジャラから解放されるわけではない」と指摘されたことがあります。人間が秘密の文字列を大量に覚えなくてよい代わりに、手元のハードウェアに秘密の文字列(非対称鍵)が保管されている、というのは頭の片隅に入れておいて良いのではないでしょうか。 WEB+DB PRESS Vol.136-実践投入パスキー この夏最終刊を迎えたWEB+DB PRESSでもパスキーが特集されていました。人類のパスワードの歴史を紐解き、その問題点と、問題点を解決するべく(そして解決できなかった)生まれた過去の代替案、それと比べてパスキーが優れている点が紹介されています。いくらセキュリティ的に強固でも、不便で正しく用法を守って使われなければ逆にセキュリティホールになってしまいますからね。そしてパスキーを具体的に実装するコードや、Webサービスに導入する際のUIの注意点など、タイトル通り実践に投入する際に役立つ記事になっていました。 パスワードレス認証のセキュリティとユーザー体験のバランスの難しさ、実装のポイントとは WEB+DB PRESSと同じく、パスキーの前に生まれた技術(そもそもパスキーも突然変異の技術ではなく、過去の解決策であるWebAuthnを利用しているのですが)の問題点を語り、そのうえでパスキーの問題として「結局エンドユーザが利用してくれるのか」と提示しています。僕は従来と比べてのメリットを十分理解しており、積極活用していますが、新しいモノが受け入れられるのには時間がかかりますから。 「GitHub」でパスキー認証の一般提供が開始...
2023, Oct 08 —サムネイルはStableDiffusionWebで生成した画像。なんとなくそれっぽいですね。 この記事を書いているのは9月22日。iPhone15の発売に喜んでいる人もいらっしゃるかもしれませんが、古いiPhoneのセキュリティ対策も怠りなく。 iPhone/iPadにまたゼロデイ脆弱性 ~iOS/iPadOS、macOS、watchOSなどにセキュリティパッチ この記事タイトルを読んで、不思議に思ったことがありました。 記事のタイトルにある「ゼロデイ(0-day)脆弱性」とは、ソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や、修正用プログラムがリリースされる前の脆弱性を指します。分かりやすい言葉で説明すると、”『このようなバグがあり(このような攻撃手段により)このような問題が発生する』と判明しているにもかかわらずパッチが存在しない”、つまり無防備な状態にする脆弱性を意味します。 一方、脆弱性を解消するパッチのリリースから、実際にパッチをユーザが適用するまでの期間を「Nデイ(N-day)脆弱性」と呼びます。(3日経過したら3-day脆弱性と呼ぶ、ということはありません) ところで、今回のiOSにおけるセキュリティアップデートは、以下の脆弱性を解消することを目的としています。 CVE-2023-41992:カーネルにおけるローカル特権昇格(iOS 16/17、watchOS 9/10、macOS Ventura/Monterey) CVE-2023-41991:証明書の検証不備(iOS 16/17、watchOS 9/10、macOS...
2023, Sep 24 —先週は電話番号を成りすましてかかってくる詐欺電話の話しをしました。おりしも自分の携帯電話にもIP電話の番号から詐欺電話がかかってきたところです(–;) 「電話番号がなりすまされても、声を聴けば本人かどうか分かるし騙されないぞ」と思う方もいるかもしれません。しかし現代のテクノロジーの進歩はすさまじいです。 IPAは、「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 (2023年4月~6月)」を公開しました。J-CSIPは、IPAを情報ハブとして参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげる取り組みです。レポートが掲載されているリンクは以下になります。 https://www.ipa.go.jp/security/j-csip/about.html この中で目に留まったのが「電話を併用したビジネスメール詐欺(BEC)」。なんと専務に成りすました攻撃者が電話をかけてきたといいます。AIが生成する画像や動画が本物そっくりなことは皆さん既にご存じでしょうが、音声は画像や動画よりも見抜くのが難しいと思います。 セキュリティ企業オンカスペルスキーが音声のディープフェイク(「ディープラーニング(深層学習)」+「フェイク」)人工知能は、ここ数年で急速に発展し続けています。機械学習を使用すると、説得力のある画像、動画、または音声コンテンツの偽物を作成できます。)がどのように作られているのかを解説しています。 日本だけではない 世界で増加する音声詐欺 驚いたのは単に声を真似するだけでなく、「どのように話すか」「何を言わなければならないか」「どのように言うべき」を踏まえて音声が生成されるということ。 Microsoftは2023年初めに、わずか3秒の音声サンプルを使って人間の声を再現できるアルゴリズムを発表しましたが、どんなに優れたテクノロジーも悪用の余地があります。 そしてこの記事にはさらに恐ろしい未来を示しています。「他人に成りすました音声としゃべりを再現できる」ということは「自分が成りすまされる」ということです。音声で成りすまされて銀行口座に登録された情報を変更されたら、恐ろしいことになります。まだまだ荒削りの分野のようですが、AIイラストでも分かるように機械学習分野は爆発的に進化しています。どう対策すればよいでしょうか。SNSでもそうですが、嘘つき・詐欺師はまず我々の感情を怒りや恐怖、焦りで揺れ動かし冷静な考えを指せないように仕掛けてきます。最終的には映像や声ではなく、「何を言っているのか」から判断するしかないのかもしれませんね。
2023, Sep 17 —僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 コンピュータ・インターネットなくして現代の仕事は成り立ちませんが、誰もが詳しい知識を持っているわけではありません。ことセキュリティに関して情報展開して会社のセキュリティレベルを高めることが大切と考えています。どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人(攻撃者も、セキュリティリスクも)なので。5月のSIMスワップ記事と同じ導入でした。 「スプーフィング攻撃」は直訳すると「詐欺攻撃」セキュリティの世界では「IPスプーフィング攻撃」すなわち送信元のIPアドレスを偽装したアクセスが知られていますが、携帯電話スプーフィング攻撃が世間で話題になっています。 オレオレ詐欺から進化した〈スプーフィング攻撃〉とは?電話番号が偽装表示され、本当に身内からの連絡だと思いきや… あの手この手でターゲットをだまそうとする「オレオレ詐欺」、明日は我が身という恐怖があります(こういうのは「自分は大丈夫」と思っている人ほどやられます)、対策の一つが「知らない番号は電話を取らない」。これだと初めて電話を掛けたい相手に対して不都合なのですが、仕方ない。なんで悪人のせいで不便な生活を過ごさなければならないのか…ぶつぶつ。 しかし、電話番号のなりすましって可能なのでしょうか、 [【注意喚起】実在する警察等の電話番号を偽装した詐欺事案])(https://www.ny.us.emb-japan.go.jp/itpr_ja/News_2023-04-06.html) 警視庁の記事を読んでも、その手口までは書かれていません。 5月に以下の記事を公開しました。 SIMスワップ攻撃に注意するよう社内喚起しました しかしSIMスワップ攻撃はあくまで「本人のSIM(電話番号ではない)が他の人が保有するSIMに乗っ取られる」ものであり、電話番号自体が成り済まされるわけではありません。調べたところ、どうも格安のIP電話サービスは電話番号の扱いが雑で、サービス終了時に他の業者に電話番号を売り払ってしまうとか。その電話番号を詐欺組織が購入した場合、こういうケースがあるとか。日本のドコモ・KDDI・ソフトバンクなどはしっかり対策しているので、このようなことはないそうです。
2023, Sep 09 —Microsoft Defender for Office 365とは、メールと Microsoft Teams をセキュリティで保護できるSaaS型サービスで、Microsoft Office 365内のサービスの1つ。 先日Microsoft 365 Defenderについて解説してくれる動画がUdemyで期間限定無料で公開されていたので利用させてもらいました。 【ゼロトラスト】Microsoft 365...
2023, Aug 26 —