【ブックレビュー】ポストモーテム　みずほ銀行システム障害　事後検証報告

twitterでも「GitHubが繋がらなくなった』「AWSが障害発生した」と度々トレンドになるように、たとえ一流のエンジニアが開発運用しているサービスでも障害は発生します。それはそうでしょう。規模も大きすぎてすべてをコントロールするのは困難でしょうし。トラブルのニュースが流れるたびに、中で奮闘しているエンジニアのことを思うと胃が痛くなります。 企業が利用・提供するサービスで障害あるいはヒヤリハットが発生した際、何が原因だったのか、どう対応したのか、改善しなければならない点は何か、をまとめたものをポストモーテムと呼びます。GoogleがかつてGmailの障害におけるポストモーテムを公開し、結果としてGoogleへの信頼が高まったという話があります。他社の障害対応はは他山の石になるため、僕ももっと読みたいのですが、企業秘密が関わることもあり、また恥ずべきものというイメージもあるのかなかなか公開されないのが現状。この本は2021年大きな問題となった、みずほ銀行のATMで障害が発生し、お金を引き落とせなくなるなど利用者に重大なダメージを与えた障害のポストモーテムとのことなので参考になるかと思い読んでみました。 ちなみにこの本、「ポストモーテム」と銘打っていますが、自分の考えるポストモーテムよりは些か文学的な書かれ方をされています。本来はこんな長文では書かれず、箇条書きで書かます。それだと読み物にはならないからでしょうが。 みずほは３つの銀行が統合して生まれたスーパーメガバンク。組織も従業員も顧客も大きいですし。そんなみずほ銀行が業務で利用しているシステムも間違いなく巨大なシステムのはず。エンジニアの苦労が忍ばれます。そんなシステムの大規模障害は、バグだけでなく、仕様の問題、ハードウェアの故障、検証で発覚した問題を解消しなかった問題、ヒューマンエラー、そして組織の体質。それらが超巨大なシステムの中で少しずつ連鎖反応あるいはタイムラグで1年にわたり発生していたようです。発生した障害のタイムラインを読むと、現場が地獄だったことが想像できます・・・。『7つの不手際のうち1つでも正しく処置できていればこれほど大きなトラブルにはならなかった』という結論は本当につらい。その不手際の真因も統合の前から脈々と続いていた問題だったことをみずほ銀行のシステムの歴史から紐解きます。そういえば大学生の頃、みずほ銀行で2重振込や2重引き落としのニュースがあったなぁ。「2重振込ならぜひ発生してほしいｗ」なんて冗談で当時言っていましたが、現場としてはたまったものではなかったのでしょう。 過去複数回の大規模障害を教訓に刷新された基幹系システムMINORIは過去のコードを採用せず、SOAを採用し、できるだけ生のコードを書かせなくして属人性を排除するなど優れたアーキテクチャで構成されていました。でもマシンだけでは駄目でマンも正しく動かなければならない・・・そのためにはやっぱり障害対応組織を作ることと、年に1度は復旧デモンストレーションを行うことが必要と、思ってはいるんですけど・・・てやつですね。 このポストモーテムから以下のような教訓を得ました。 疎結合＝正義、密結合＝悪ではなく、やりたいことを実現する優れたアーキテクチャをシステムの重要性などを考慮して採用する必要がある。 速度の関係でディスクではなくメモリにデータを保存する場合、容量のサイズには気をつける必要がある。なおAWSのマネージドキャッシュは自動で大きさを拡張するのでそこは大丈夫と思われる。念のためキャッシュサイズを監視することが大事。 利用者の声を聞くべく、twitterで自社名、自社プロダクトの単語を引っ張ってSlackに通知できるように・・・はtwitter APIの有料化により難しくなったのか。 障害発生時に自分たちで集まり、情報を共有、対応を勧めていけるようCSIRTはやっぱり必要。 事前に定めていた復旧手順では復旧できないというのはあるあるである。やっぱり年に1度は復旧デモンストレーションを行わなくてはという気持ちになりました。なった、だけだと駄目なのは分かっているのですが・・・。 「積極的に声を上げることでかえって責任問題となるよりも、自分の持ち場でやれることはやっていた、といえる行動をとる方が、合理的な選択」は大組織ならではなのかもしれませんが、風通しの良さと心理的安全性の大切さを感じました。

2023, Jul 23   — 

【ブックレビュー】今知りたいサイバー犯罪事件簿-セキュリティの「落とし穴」を示す15の事件-

サイバーセキュリティに関する書籍はこのブログでも何度も紹介していますが、今回紹介する本は３つの特徴があります。 1つは2023年に発売されたばかりの本ということ。サイバー犯罪における最新の情報を知る事ができます。日本でも現在進行系で発生しているランサムウェア攻撃、ロシア・ウクライナ戦争で使われているAIによるディープフェイク、SNSを活用したプロバガンダ・・・サイバー犯罪の進化はとどまることを知りません。一方で政府機関や企業がサイバー犯罪を防ぐための行動もまた、マルウェアを利用するなど物議を醸しています。サイバー犯罪の攻防はどちらも同じ技術が使われており、世のため人のためのために使う、と宣言した技術はいくらでも悪用可能なのです。 2つ目の特徴として、日本人が日本人向けに書いた本であること。日本人にも非常に読みやすい言葉が使われているうえ、日本で書かれた本ならではのエピソード「LINEのデータ管理」があります。LINEはコロナ対応でも使われるなど、日本社会にとって基幹インフラといえるアプリですが、その情報管理が甘かったことで批判を浴びました。クラウド上でのストレージにデータを保管することはどこでもやっています（僕の会社でももちろんやっています）が、データを保存している現地の法律が適用されるので、特に個人情報を保管する場合は注意が必要になります。 本書の最大の特徴は、一般人にとっては『それってサイバー犯罪なの？』と思いがちな「プライバシー」について多くのページを割いている点です。たとえば、Webサーフィンでブラウザに表示されるインターネット広告。これに用いられるユーザ識別子についても説明があります。「あなたが今欲しい商品、見たいサービスはこれですよね」が分かるインターネット広告はテレビのCMより効果が高いですが、裏を返せば企業に個人の嗜好を把握されているのです。Appleはプライバシーを重視する企業として知られ、また欧州ではプライバシーの意識が高く、GDPR のような法律も制定されました。プライバシーを侵犯することは犯罪という認識は世界で広がってます。みなさんも家の中が盗撮されていたり、読んでいる本がバレたり（思想の自由）するのは嫌なはず、しかし当たり前のように使っているインターネットサービスを提供している企業は同レベルのことが技術的に可能なのです。 一方でGoogleのサービスを無料で使えるのも、Googleがインターネット広告で利益を得ているからで、企業は利益を得られなければ存続できません。そのためOSや法律の規制を逃れてユーザ情報を取得しようという企業の動きは盛んです。にしても、Tiktokの『端末上の文字入力を取得してサーバに送信』は流石にやり過ぎでは・・・。 ユーザの閲覧履歴だけでなく、位置情報もプライバシーとなります。Googleマップを使っていると、位置情報のありがたさを実感します。その一方で『いつ、どこにいる』『どこに住んでいる』という情報は悪用された場合大きな問題となります。Googleの”ダーク・パターン”は、スマフォの設定で位置情報をOFFにしても、他の様々な場所のオプションをOFFにしない限り、Google自体には位置情報が送られ続けていた、というスクープです。不誠実ですよね。現代において『利便性』と『プライバシー』はシーソーの関係です。インターネット広告も僕にとっては「欲しい物がレコメンドされる」ということでありがたい面もあります。とはいえプライバシーには配慮してほしい。バランスが求められます。 僕自身インターネットを利用してサービスを提供する会社で働いているセキュリティ担当、この本に書かれていることは知っていなくては、そして考えなくては、と思いました。Googleがかつて標語としていた「Don’t be evil、（邪悪になるな）」は僕ら常々頭に入れておきたい。

2023, Jul 09   — 

【ブックレビュー】セキュリティの心理学

認知心理学や犯罪心理学を活用した情報セキュリティの防御策を検討している組織が日本には存在します。 https://www.iwsec.org/spt/ や　 https://www.infosecpsychology.com/ です。 情報セキュリティにおいて心理学の効果はバカにならないはずです、すべてのセキュリティ専門家が口を酸っぱくして言っているように、セキュリティの最前線は結局人間であり、攻撃者は人間の心理をついてくるからです。アダルトサイトの請求や重要会議の議事録を騙る詐欺メールはその典型的な手口と言えるでしょう。事実セキュリティインシデントの最多要因は詐欺メールなのです。完璧な人間がいないように、完璧なセキュリティもありません。 １章ではセキュリティインシデントを引き起こすヒューマンエラーも偶発的なものではなく、「ある条件下では必然的に起きる」という研究成果を紹介し、それを導き出す理論やモデルが記載されています。内容を理解するのは非常に難しい・・・「お、おう、そうなのかー」という感想が占めますｗ が、ヒューマンエラーを起こす土壌には安全への軽視、なぜ安全が軽視されるか＝正常状態の品質へのリソース傾倒という話は非常に重要で、セキュリティ担当者が経営層をちゃんと説得しなければいけない分野です。 ２章では近年の情報セキュリティの対策が難しい理由が示されます。 セキュリティのCIAが情報資産によりまちまちである １年前にはチャットAIは一般普及していなかったように、進化のスピードが早い OSSの普及によりアタックサーフェイスが増大 上記の結果として人間（ヒューマン）がついていけず、エラーを起こす よく我々は現代社会を生きていけますよね…。心理的側面からリスクをコントロールする術が紹介されています。操作者をターゲットとした攻撃モデルには「直接型」「間接型」「それを組み合わせた集団型」があり、いずれの対策も必要にあります。登録セキスペのオンライン講習にも出てくる不正のトライアングル（「機会」「動機」「正当化」）を防止することが重要ですが、人間を完全にコントロール化に置くのはコンピュータよりも困難です。長文による分析と、様々なモデルが提示されていますが、ここまで考えるのは・・・セキュリティのソリューションを販売する会社が考慮して、僕たちはその恩恵に預かるではだめなのだろうか。 第３章ではいよいよヒューマンエラーを重点を置き、その対策を提示します。シンプルに、同じ用途のものは近くに置き、混ぜるな危険のものを近くに置かないようにしたり、判断情報を視覚的に付与したりするのは基本的ですが有効です。逆に認知の歪みや理論、推論を提示されると解決策が分からんぞ。論文のような内容なので文章が読みにくいし、読むにも気力を消費します。エラーを起こしにくい人へのインタフェース提示のやり方がある、と書いてあるようです・・・（ふんわり）...

2023, Jun 25   — 

セキュリティチェックシート

世の中にあふれるチェックシート。僕もたくさんのチェックシートを作成し、利用しています。思いつくだけでも AWSのアカウントのセキュリティ強化のためのサービス利用、設定のチェックシート 委託先企業のセキュリティ体制を確認するためのチェックシート 個人情報を取り扱うWebサービスのセキュリティが十分であるか問い合わせるためのチェックシート また、僕が社外にセキュリティシートの記載を依頼するように、社外からも僕の勤める会社自体の、あるいは開発するソフトウェアのセキュリティが保たれているかを審査するためにチェックシートの記入を依頼されます。今や一つの企業が単独でビジネスを成立させていることはなく、構築を担当したSIerや取引先が攻撃されると全体に被害が及んでしまいます。これを「サプライチェーンリスク」と言います。ロシアーウクライナ戦争直後にトヨタの取引先工場がサイバー攻撃を受けて、トヨタが国内工場をストップさせざるを得なくなったニュースに記憶にある人もいるでしょう。 トヨタイムズニュース：小島プレス、サイバー被害から1年　苦難乗り越え深めた絆 サプライチェーンリスクを防ぐために取り入れられているのが、取引先のセキュリティ状況を把握し、安全な会社と取引をしていこうとする”セキュリティチェックシート”。契約を締結する前に、相手のセキュリティレベルを把握するために各企業が独自のフォーマットでチェック項目を作成しています。 「やらないよりマシ」　徳丸氏が語る“セキュリティチェックシートの問題点” こちらは会員限定の記事になりますが、”体系的に学ぶ 安全なWebアプリケーションの作り方”シリーズでおなじみ徳丸先生がおっしゃるには、チェックシートでOKならば万事問題なし、とはならない、気休め程度と。で、その気休めのために、記入を依頼してくる企業によっては100近くある項目（本当にこれだけの項目があります）を書かなければならない、バカにならない工数です。しかも「こんなことを聞かれるのか」という時代錯誤な項目がリストアップされていたら、やる気も失せてしまいますよね。 僕は会社のセキュリティ担当として、様々な取引先から受け取ったセキュリティチェックシートを記入するよう社員から依頼され、依頼されたからには記入して返送したのですが、同じような質問を複数の会社が確認してくることから疲弊してしまいました。そのため、セキュリティチェックシートでよく聞かれる質問と我が社の状況というリストを会社のセキュリティポータルに掲載しました。社員にはこれを見て自分でチェックシートに記入してもらおうと。どうしても分からないトリッキーな問い合わせは自分にエスカレーションするようにしました。 しかし・・・プライバシーマークを取得している会社に対して、個人情報の取り扱いについて独自フォーマットのチェックシートで細かく質問されると「認定とは何なのか」という気持ちになってしまいますね。それだけPマークの威厳が不足しているのかもしれませんが…僕が最近思うのは セキュリティチェックシート自体は価値があると思うけど、各社がフィーリングと経験則に任せてチェックシートを独自作成するのではなく、業界として「この産業ならこのチェックシート」という共通規格を作ってほしい プライバシーマークやISMSの価値を向上させ、それらの認定を得ている企業であればセキュリティチェックシートを送付することが不要である、くらいの社会的地位を持たせてほしい -　そのためにこれらの認定の取得難易度は厳しくしてほしい...

2023, Jun 18   — 

情報処理安全確保支援士のオンライン講習を受講しました(2022年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 登録セキスぺは資格制度なので、毎年更新する必要があります。その費用が高額なのにそれに見合うメリットがない・・・という話題は本制度が出来た当初からさんざん言われており、検索すればたくさん記事が出てきます。更新しないことにより登録セキスぺの総人数が減った、というのが昨年のニュースでありましたが今年はどうなっているのでしょうか。調べてみましたが、該当する記事は出てきませんでした。 とはいえ、僕が会社で「セキュリティエバンジェリスト」の役職をいただいているのも、僕がこの資格を保有しているのが一つの理由と思われます。去年も書いたように教材そのものはよくできているので助かっています。 ロシアーウクライナ戦争により、2022年ほど日本国内でサイバーなセキュリティが注目された年は無かったと思いますが、それはセキュリティに関わる仕事をしている人だからそう感じているだけなのかな・・・。いつどのような手で襲ってくるか分からない相手のための防御、しかも防御が有効な時は評価されないのに、一突きをされて炎上したら批判されるんですよ、たまらない職業ですよセキュリティ担当者は。バーンアウトする人が多いというのは分かります。社会がセキュリティを重要視するのであれば、政府が一定の規模以上の企業において登録セキスぺの所属を義務化（必置化）したり、「仕事を頼むなら登録セキスぺのいる企業に依頼したい」という社会の共通認識が醸成されてほしいです。当然そうなったらより責任は重大になりますが・・・。 オンライン講習の内容は守秘義務があるため多くは語れないですが、講習内容も毎年更新されています。今年はクラウドを利用した業務前提のセキュリティに対する考え方が大きく取り上げられていました。また、社会でインシデントが多発したことからか、インシデント対応における企業内での組織の作り方と、どのように対応するかの実践的技術に多くのページが割かれていました。 講習を完了した感想としては、自分が業務で実施済の内容が、自分が参考にしたドキュメントと同じものを引用したうえでかなり紹介されており、自分の職場での動きが間違っていないのだという実感が得られました。同時に「分かってはいるが実践できていない」というケースもかなりの量があり、言い訳になってしまいますが人手が欲しいと切実に思います。具体的には ”サイバーセキュリティは経営課題である”という考えに元基づく「サイバーセキュリティ経営ガイドライン」については、パワポで説明資料を作成して取締役に読んでもらいました。進めるよう了承をもらいましたが、現在別の業務が忙しく手を付けられていません。 僕の会社もグループウェアやサービス提供にクラウドを利用しているので、今回の講習に書かれているクラウド利用における考慮が必要なセキュリティ対策は参考になります、というか既にいくつかは本講習で紹介されたドキュメントを参考に実践しています。ゼロトラストについては「ゼロトラスト移行のすゝめ」という、「ゼロトラストやりたいけど、何から手をつければいいの？」という僕らの悩みの参考になるPDFをIPAが公開してくれたので、こちらを読んで第一段階を完了させました。第二段階にも手を付けたいのだけど、今少し時間と予算をいただきたい（どこかで聞いたフレーズ） 他社のインシデント報告書を読んで他山の石とする、のも実践しています。半田病院の報告書を読んで、自社でも対応できていないリスクを発見し、情シスと連携して解消しました。ランサムウェア攻撃は具体的手法は分からなかったりするので、対策取るにも何をすればよいのか…となりがちです。不幸にもインシデントが発生してしまった企業には事例を積極的に公開してほしいです。では自分達もそれをやれるのか、と胸に手を当ててみる・・・。 ソフトウェア開発のセキュリティ対策は、フェーズが進むほど難しくなるため、コストを抑えるためにも企画・要件定義から参加するのも現在業務で対応中です。利用する暗号化アルゴリズムやアクセス制限の方法、監査用のログをどこで取得するかなどをプロジェクトの最初から入っておくことで、最後に突貫でセキュリティ対策するより楽です。しかしコーディングのセキュリティ対策までは、さすがにすべての言語を把握するのは無理なので、AWS CodeGuru RevierやGitHub Copilotのように、脆弱性あるコードをAIが見つけてくれるサービスを利用するのが良いだろう、と読んでいて思いました。便利な世の中になったものです。 CSIRTの構築については従前からずーっと目標として挙げているのですが、2年間手を付けられていない…。社内にCSIRTを組織し、CSIRT協議会に参加するところまで持っていくのが自分のやるべきミッションだと考えています。有言実行せねば。

2023, Jun 11   — 

AWS認定DevOps Engineer Professionalを取得しました！

先月のブログ更新がおろそかになっていたのは、ゴールデンウィークというのもあるのですが、表題の通りAWS認定資格の受験勉強をしていたからです。 そしてさる5/28に受験してきました。結果は1発合格です！どや。不合格でも無料でもう一回受験できるキャンペーンを利用していたのは内緒だ AWS認定DevOps Engineer Professionalとは何か https://aws.amazon.com/jp/certification/ AWSの資格は多種多様ですが、僕がこれまで取得してきた「ソリューションアーキテクト」がシステム設計に重きを置いたもの、「セキュリティ専門知識」が文字通りセキュリティの専門知識に重きを置いたものに対して、「DevOps」はシステムのプロビジョニング(デプロイ)、運用、管理に重きを置いたものになります。システム開発(Dev)と運用（Ope）が協調する開発手法は今や多くの企業で採用されています。AWSも対応しているサービスを多数提供しており、それらを使ってAWS上でDevOpsを実現できるスキルを保有していることを問うのがDevOps Engineer。Professionalと付いていることから分かるように上位資格になります。 なぜAWS 認定 DevOps エンジニア - プロフェッショナルを取得しようとしたのか ソリューションアーキテクトプロフェッショナルを保持している僕ですが（この資格も今年失効するんだよな…）、現在の会社で稼働しているAWSのシステムはずっと昔に作られたもの。EC2+RDSで作られたクラッシックなアーキテクチャです。しかしさすがに古いので、モダンアーキテクチャでリニューアルしよう、という機運が高まっていることは以前ブックレビューAWSで実現するモダンアプリケーション入門で説明した通り。既に他の人が脱EC2インスタンスを進めてくれているのですが、そうなると単にアーキテクトをモダンにするだけでなく、テストやデプロイについてもなるべく先進的なものとしたい、そのための知識を得なければ、というのが本試験の受験の理由となります。資格取得の理由は大きく分けて二つ「現在保有している知識とスキルを保証する」「その資格の取得を目指すことで知識とスキルを身に着ける」ですが、僕の場合セキュリティ専門知識は前者、ソリューションアーキテクトプロフェッショナルとDevOpsエンジニアプロフェッショナルは後者でした。...

2023, Jun 04   — 

SIMスワップ攻撃に注意するよう社内喚起しました

僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 コンピュータ・インターネットなくして現代の仕事は成り立ちませんが、誰もが詳しい知識を持っているわけではありません。ことセキュリティに関して情報展開して会社のセキュリティレベルを高めることが大切と考えています。どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人（攻撃者も、セキュリティリスクも）なので。 先日会社のグループウェアでSIMスワップ攻撃についてアナウンスしました。SIMスワップ攻撃（SIMスワップ詐欺、SIMハイジャックなどとも）とはアカウント乗っ取り攻撃の一種です。本人認証で使われていることも多いSMS（携帯電話番号）。電話番号は、SIMカードに紐づいていますが、何らかの形でターゲットに成りすまして自分のSIMカードと交換（スワップ）します。この攻撃が成立すれば、パスワードの初期化（パスワードを忘れた場合、SMSにパスワード初期化のURLが送られるシステムは少なくありません）ができてしまいます。そうすればやりたい放題ですよね。 SIMスワップ攻撃を使って友人のWebサイトをハッキングしてみた 上記記事のように事例自体は2021年には見られましたが、今月（2023年5月）には国内で初めて逮捕の事例が出るなど、国内でも徐々に広がってきています。 スマホ乗っ取る「SIMスワップ」詐欺か　他人装い出金容疑で女逮捕　警視庁 今回の記事のサムネイルは上記記事から引用しています。 このニュースは地元の新聞でも（新聞にすら、とも言えるかもしれません）報道されていました。いよいよ警戒が必要なのでは、と考え社内に展開しました。 例のごとく、いかに一般の人たちにセキュリティの記事を読んでもらうかを工夫しました。このブログでも書いた業務の中でも起こりうる情報漏洩については、当事者意識を持ってもらうために業務の中でも普通にやりそうな事例を実際にクラウド上のドキュメントファイルで体験してもらいましたが、今回は読んでもらうよう、気を引く文章を入れてみました。 「海外で発生した推理小説のような実例も併せて紹介しています、ぜひ読んでください」 この事例とは、セキュリティエンジニア御用達のインターネットラジオセキュリティのアレで紹介された以下の記事。 My phone, my credit...

2023, May 28   — 

【ブックレビュー】AWSの基本・仕組み・重要用語が全部わかる教科書

久しぶりの更新になります。今月末に受験する予定のAWS DevOpes Developers Professionalの最終追い込みをしていまして・・・いや、言い訳ですね。ゴールデンウィーク明けてもちゃんとWebラジオやブログ記事を更新している人たちを見ると、すごいという気持ちでいっぱいです。僕もまたギアを入れ直さないとです。 一応AWS Solution Architect Professionalを所有している僕ですが、今年が取得3年目なので更新が必要となります。 当時は100個を超えたところ、といったAWSのサービスは現在200ほどあるという。多すぎる・・・。そんな進化の早いAmazon Web Servicesを網羅した本が今年発売され、かなり好評だったのでこの度読んでみました。 まず手にとってわかる。分厚い！500ページ以上あります。2023年現在のAWSのサービスをすべて網羅しようというのですから、そうなりますよね。非とつい一つのサービスについても手を抜いておらず、知っていたサービスもより深く知ることができましたし、知らないサービスがたくさんありました。最近AWSは金融機関や医療機関など専門業種に特化したサービスもローンチしており、まず使わないであろうサービスもあり、それをすべて覚えることは資格取得に必須ではないと思います。 しかしこの本を読んで分かったのは、この本は単なるAWSサービスのカタログではないということ。現代のシステムアーキテクチャの主流であるマイクロサービスアーキテクチャやCA型/CP型/AP型のデータベースの特徴とメリデメ、CI/CD、コンテナなどの技術をきちんと説明したうえで、それがAWS内にどのように取り入れられているのかを丁寧に説明しています。渾身の一冊といってよいです。高評価なのも分かります。これからAWSを始める人にはもちろん、ある程度AWSは触っているけど最近の進化にはついていけてない人にも情報収集にぴったりな本です。 ただし技術の世界は習うより慣れよ。この本でAWSの各サービスについて知識を得たら、実際に自分のアカウントでいろいろ触ってみるとさらに理解が深まります。そのための書籍が手元にあるとなおよいでしょう。僕は10年以上前にAmazon Web...

2023, May 21   —