平成30年におけるサイバー空間をめぐる脅威の情勢等について
警察庁から「平成30年におけるサイバー空間をめぐる脅威の情勢等について」という資料が2019/03/07に公開されました。
資料はこちらです。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_cyber_jousei.pdf
この資料によると、
1 「警察と先端技術を有する事業者等との情報共有の枠組みを通じて把握した標的型メール攻撃は、6,740件と増加傾向。」
2 「仮想通貨交換業者等への不正アクセス等による不正送信事犯は、 認知件数169件、被害額約677億3,820万円相当。」
と記載があります。
1に関しては、「警察と先端技術を有する全国7,777の事業者等」の「サイバーインテリジェンス情報共有ネットワーク」で把握した件数とのことです。
また、メールの内訳として、「ばらまき型」と「ばらまき型以外」で区別すると、平成30年は、「ばらまき型」が90%、「ばらまき型以外」が10%だったようです。
なお、「同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃を「ばらまき型」」と定義しています。
標的型メールなのに、「ばらまき型」という言い方には少し疑問がありますが、定義を見ればわかりますね。
2に関しては、以前はマルウェアに感染させ、オンラインバンキングのIDとパスワードを窃取後、不正アクセスして、不正送金するという手法が多かったように思いますが、現在は仮想通貨をターゲットにしているように変化しているように思います。
仮想通貨の取引所がセキュリティを強固にしない限り、今後も引き続き仮想通貨に関する攻撃が想定されますので、そういったリスクを理解して仮想通貨を購入等していただけたらと思います。
埼玉県警のサイバー捜査員の募集
2019/03/07の共同通信の記事についてです。
埼玉県警のサイバー捜査員の募集に関する記事となっています。
記事はこちらです。
「IT企業では埋もれるかもしれないが、うちに入れば間違いなく輝きますよ」って、どういう意味でしょうか。
IT企業だと埋もれるレベルの人材でも「埼玉県警」であれば輝けるレベルの人材なんでしょうか。
必要なレベルの人材を獲得するためには、公務員と言えど獲得に必要な給料やキャリアパス等を考えるべきではないでしょうか。医官のような専門的な職種が必要に迫られているのではないでしょうか。
また、専門枠にも関わらず、他の警察官と同様に交番や警察署勤務を何年も行う必要性があるのでしょうか。
もちろん、警察官として必要な知識の習得は必要だと思いますが、園田先生のコメントのように、「技術者に幸せなキャリアパスを想像させてほしい」ですね。
その国独特のパスワード
パスワードについては、日々様々な議論がなされているところです。
中でもパスワードの定期変更の話やパスワードの複雑さについて議論されることもあります。
次の2019/03/05のGigazineの記事では、台湾では注音輸入法と呼ばれる方法によって入力しているそうですが、日本語でいうところの「マイパスワード」という文字列がパスワードになっていたことから、パスワードがわかってしまったという内容になっています。
各国独特であったとしても、あまりに簡単なパスワードは避けた方が良いという教訓になりますね。
さて、パスワードについては、現在は多要素認証に移行しつつあると思います。
多要素認証とは、次の3つのうちから2つ以上の組み合わせで認証することを多要素認証と呼んでいます。
(1) 知っていること(パスワード)
(2) 持っているもの(トークン等)
(3) ユーザの生体情報(指紋、静脈等)
パスワード(1)が判明してもその人がいなければ、静脈認証(3)できないといったものです。
銀行のATMも多要素認証になっていると思います。
PINと呼ばれる4桁の数字(1)を入力するのに加えて、キャッシュカード(2)が必要となります。
スマートフォンで、Autenticator(2)のようなアプリを導入されている方も多いかもしれません。
多要素認証にするだけで、飛躍的に不正アクセスを防ぐことができると言われていますので、是非設定していただけたらと思います。
シャドーIT
2019/03/12のキヤノンITソリューションズ株式会社のマルウェア情報局の記事で、「シャドーIT」について取り上げられていました。
この記事では、わかりやすくシャドーITとは何か、シャドーITのリスクについて説明されています。
シャドーITとは、所属している組織のルール(セキュリティポリシー)を違反して、ITを使うことです。
例えば、個人のクラウドサービスの利用です。
個人のGmailやGoogle Drive等のクラウドサービスを使用して、業務に関するデータを送信したり、保存したりすることで、業務データの持ち出しを行なっている場合があります。
もちろん、組織のセキュリティポリシーとしてOKを出していればいいのですが、業務多忙により持ち帰ってしまうケースが考えられます。
USBメモリ等の媒体管理であれば、資産管理ソフトを使用したり、
クラウドの管理であれば、以前紹介したCASBを使用するのも有効です。
何より、なぜセキュリティポリシーでOKを出していないのか、業務効率よりリスクがこれだけあるから、と社員へ説明して教育をしっかりすることが大切です。
ただし、何でも禁止にするのは良くないと思っています。
というのも、シャドーITにせざるを得ない理由が社員にもある場合が多いためです。
何でもダメというのではなく、社員の声をしっかり聞いて、必要なものであればリスクと業務でのメリットと比較し、業務でのメリットの方が大きいのであれば、クラウドサービスの導入やIT機器の導入を行う方が、シャドーITを使うこともなくなると思います。
BYOD(Bring Your Own Device)禁止とかUSBメモリ使用禁止になっている組織は、きちんとリスクを把握して検討し直すことで、使用できる可能性もあるかと思います。
是非、この機会に検討していただけたらと思います。
兵庫県警による13歳女子中学生の補導等について
2019/03/04の記事についてです。
あるURLにアクセスすると、何度も特定の画面が表示されるという、いたずらのようなプログラムになってたようです。
ネット上では、この補導についてかなり話題となっています。
次の記事では、平野弁護士や神奈川県警のサイバー犯罪捜査顧問である三輪氏の意見等も記載されています。
また、他にもこんな記事が出ています。
さらには、加藤公一さんは、補導された中学生等と同様のプログラムをあえて公開して抗議もされている状態です。
皆さんはどう思いますか?
サイバーセキュリティシンポジウム道後 2019(2日目)
一昨日(3月7日)から昨日(3月8日)にかけて、愛媛大学で「サイバーセキュリティシンポジウム道後 2019」が開催されました。
日テレNEWS24の記事はこちら。
1日目の内容は、昨日(2019/03/08)の記事をご覧ください。
それでは、2日目の内容です。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:ダークネット観測からの脆弱性&インシデント・ハンドリング
講 師:国立研究開発法人情報通信研究機構
サイバーセキュリティ研究所サイバーセキュリティ研究室
上席研究技術員 久保正樹氏
大きく次の2点についてお話しされました。
1 2018年のダークネット観測統計
2018年のダークネット観測統計では、インターネット上で到達可能かつ未使用のIPアドレス空間であるダークネットを観測しているシステム「NICTER」によって収集された情報について解説されました。
ダークネットは使用されていないIPアドレスであるため、本来は何も通信がないはずなのに、通信パケットが送られてくることから、攻撃の可能性があることから観測しています。
NICTERのレポートについては、以前の記事で取り上げています。
以前との比較をし、そのポイントとしては、2点とのことでした。
特徴1:調査目的のスキャンが大幅に増加した。
特徴2:Telnetを狙う攻撃がほぼ半減、IoT機器でも固有の機器しか使っていないポート(5555番等)への攻撃もあった。
2 ダークネット観測で発見した脆弱性&インシデントハンドリング
Android Debug Bridge(ADB)は、Android端末とクライアント間で通信するための仕組みであり、WiFi経由で機器に接続する際には、5555番(TCP)ポートを使用しているとのこと。
ADBには、認証なしのADBとsecure ADBの2種類があり、認証なしのADBだとファイルのコピー、ダウンロードやShellのアクセスができてしまうのが問題。
Androidエミュレータとセットトップボックスに関する脆弱性の具体例を挙げて解説がありました。
質問では、JTAGへの攻撃等は観測しているかとの問いに、NICTERでは観測していないとの回答でされていました。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:セキュリティベンチャーにおける人材育成の事例
講 師:株式会社FFRI 執行役員 新技術開発担当 松木隆宏氏
FFRI社の創成期、成長期、成熟期で採用方法が変わっていったとのこと。
1 創成期
プロダクトを作るのがミッションのため、創業メンバーと即戦力を採用した。
面接でコーディングテストを実施し、ホワイトボードに書いてもらうものだったが、20行ぐらいのコードが書ける人が少なかった。
2 成長期
セキュリティエキスパートやセキュリティをやりたい人が中途入社した。
ジョブローテーションを実施し、プロダクト開発とセキュリティサービスの両方の経験をさせた。
社内勉強会やマネジメント人材の育成した。
3 成熟期
中途採用のみでは事業拡大のための人材確保が困難なため、新卒採用を開始した。
成熟期の新卒人材育成は、様々な試行錯誤をし、現在継続したい点は、次の2点。
1 ソフトウェアエンジニアリングとセキュリティの両方の基礎知識の研修
2 OJT制度とメンタリング、十分な適正把握
また、改善点として、は次の2点。
1 採用基準の見直し
2 中長期インターンシップ、外部コミュニティとの連携して採用へ
FFRIでは、採用から5年以内に主戦力として活躍しており、成果主義と働きやすい環境を重要視しているとのことでした。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:サイバーセキュリティの最新動向と経営の役割 ~今求められる駆逐艦発想方式~
講 師:NRIセキュアテクノロジーズ株式会社 事業推進部担当部長
一発の魚雷が当たっても沈没しない駆逐艦を例に、一通の標的型メールが着弾してもやられないようにしようというのが「駆逐艦発想方式」。
日本ではセキュリティ人材が足りないと言われているが諸外国はどうか。
アメリカ、イギリス、シンガポール、オーストラリアの4ヵ国では10〜16%程度が不足しているとのことでした。
4ヵ国で不足している人材が少ない理由として、次の3点を話されていました。
・セキュリティ業務が自動化・省力化されている
・セキュリティ業務が標準化され役割分担が明確
・経験豊富なメンバーで対応
CISOを設置し、経営層が就任している割合
4ヵ国:70%程度
日 本:35%程度(4ヵ国の半分程度)
対策実施のきっかけ
日 本:自社のセキュリティインシデント(火事が起きてから)
4カ国:対策実施のきっかけ:経営層のトップダウン指示
セキュリティインシデントが起きてから、セキュリティベンダーと契約しようとしても、対応する人材がいなくて、セキュリティベンダーも急には対応できない。
火事は消防が火を消してくれるが、セキュリティインシデントは、消防が消してくれるわけではない。
経営層の認識と把握
1 経営のリーダーシップ:具体的施策
責任の明確化:社長、CISO、各部門担当の責任
2 正しいリスク認識
Webサイトで提供:Secure SketCH(NRIとしては無償は初めて)
https://www.secure-sketch.com/
コンサルすると数ヶ月で1〜2000万かかるため、まずはSketCHを利用してほしい。
人材育成と評価において重要なこととして、次のような内容を述べられていました。
高度な教育(CISSPやSANS等)の教育を継続する
情報収集とコミュニティ活動への積極参加
最新動向の把握(BlackHat、RSA Conference等)やソリューション情報収集等
セキュリティ担当者の評価として、次の3点を挙げていました。
1 スペシャリストとしての処遇
2 キャリアパスの整備
3 高いレベルのセキュリティを維持するためのKPIに基づく評価の実施。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:コーセー小椋 情報統括部部長 × ラック社長 西本 対談in道後~平成ICT温故知新、新時代を考える~
講 師:株式会社コーセー情報統括部 部長 小椋敦子氏
コーディネーター:株式会社ラック 代表取締役社長
一般社団法人日本スマートフォンセキュリティ協会 理事・事務局長
西本逸郎氏
今後、CIOとして果たすべき役割の中で、「統合&断舎利」とあり、捨てるのは、分散しているもの、時代とともに不要になったものであると話がありました。
質問:女性がマネージャー職を敬遠する理由に「現場の仕事が楽しい」ということもありますが、それを上回るマネージャー職の魅力をどう考えていますか?
回答:一人の能力では限界があるため、チームでやっていけるというのが魅力だと思う。
質問:女性がマネージャー職に立候補する自信が持てない要因の一つ、特に育児期間中は「無理のないワークライフバランスを保てるか」「周囲(部下・家族)に迷惑をかけないか」という不安がありますが、経験上どのように対処してこられましたか?
回答:育児休暇制度がなかった時代。マラソンみたいなもので、最後にゴールすることが目的と考えれば、短期間の停滞はあまり気にしない方がいいのではないかと思う。
質問:キャリアを貫く場合、子供との時間が少なくなってしまうが、だからこそ子供と大切にしてきたこと、また、家庭において工夫されてきたことをお聞かせ
回答:子供と会う時間は少なかったが、その分密度を濃くしようと意識していた。
その他にも、知らない人に難しいことをわかりやすく説明する方法は重要だと考えているとお話がありました。
ワークライフバランスが叫ばれる中で、個人的にとても参考になりました。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:サイバーフィジカルシステムにおけるセキュリティ
講 師:国立研究開発法人 産業技術総合研究所 情報・人間工学領域
サイバーフィジカルセキュリティ研究センター 研究チーム長 森彰氏
サイバーフィジカルループとは、現実世界の情報を集め、人工知能の技術等で分析・学習・予測し、遠隔制御で現実世界にフォードバックし、地球規模での最適制御を実現するもの。
サイバーフィジカルシステム(CPS)のセキュリティの性質として、次の3点があり、
1 サイバー攻撃が現実空間へ悪影響をもたらす
2 自然現象、物理現象、人間・社会現象を含む
3 大規模で複雑なシステムとなる場合が多い
IoT機器のセキュリティがより一層重要になると話されていました。
対策としては、セキュリティライフサイクルと多層防御を挙げられていました。
セキュリティライフサイクル
1 新たな脅威に対して、セキュリティの(再)設計をする
2 脆弱性のないシステムを開発する
4 システム稼働中に判明する不良を監視する
1に戻る、もしくはインシデント対応を行う
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
最優秀学生研究賞は、筑波大学の矢倉 大夢氏の「実世界でも攻撃可能なAudio Adversarial Exmple」でした。おめでとうございます!
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
以上が2日目でした。
初参加でしたが、なかなかの濃い2日間で、勉強になる内容が多かったです。
以前の職場の方や勉強会界隈でお世話になっている方との出会いだけでなく、新たなネットワークができたのは大きな収穫でした。
来年も機会があれば、是非参加してみたいですね。
サイバーセキュリティシンポジウム道後 2019(1日目)
昨日(3月7日)から本日(3月8日)にかけて、愛媛大学で「サイバーセキュリティシンポジウム道後 2019」が開催されています。
メイン会場、サテライト会場があり、他にも香川大学や徳島大学等の8会場へ映像配信を行なっているイベントになっています。
今年は、G20愛媛・松山労働雇用大臣会合が9月1日(日)及び9月2日(月)の2日間開催されることから、愛媛でもサイバーセキュリティに力を入れているとのこと。
テーマは「サイバー空間と実空間の融合社会とセキュリティ」となっており、1日目は、次の内容が行われました。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:【基調講演】IoT時代のサイバーセキュリティ政策
講 師:総務省 サイバーセキュリティ統括官付参事官 赤阪晋介
サイバー空間における過去の脅威、5G、サイバーセキュリティ戦略、IoTセキュリティ総合対策等について解説されました。
「IoTセキュリティ総合対策」については、次の5項目について話されました。
1 脆弱性対策に係る体制の整備
2 研究開発の推進
3 民間企業等におけるセキュリティ対策の促進
4 人材育成の強化
5 国際連携の推進
その中でも1と4について、
http://www.soumu.go.jp/main_content/000543066.pdf
1 脆弱性対策に係る体制の整備について
課題として、IoT機器がMiraiのようなマルウェアに感染した場合、社会的混乱に陥ることを懸念している。
対策として、NOTICEを実施。改正NICT法により、脆弱なパスワードを設定したIoT機器の調査を2月20日より実施している。脆弱なIoT機器を発見した場合は、インターネットサービスプロバイダ(ISP)へ連絡し、ISPから使用者へ連絡を行う。その後、使用者からはサポートセンターへ連絡してもらいIoT機器の対策を行う。また、メーカに対して、2020年4月以降に製造販売される機器については、アクセス制御機能を有すること、初期設定のパスワード変更を促す機能、ソフトウェア更新機能の3種類の技術基準を要求する。
NOTICEについての詳細は、以前の記事をご参照ください。
4 人材育成の強化
ナショナルサイバートレーニングセンターについての取り組みとして、次の3つがあります。
CYDER:国の行政機関・地方自治体及び重要インフラ事業者などを対象としたサイバー演習。
サイバーコロッセオ:東京オリンピック大会を見据えたサイバー演習。
SecHack365:若手(25才以下)イノベーターを育成、第1回目は、10才の人も参加。
ナショナルサイバートレーニングセンターについての詳細も、以前の記事をご参照ください。
「IoTセキュリティ総合対策」の詳細については、総務省の次のURLにあるPDFファイルを参照いただけたらと思います。
http://www.soumu.go.jp/main_content/000543066.pdf
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:Society5.0に向けたサイバー・フィジカル・セキュリティ対策の取組み
講 師:情報セキュリティ大学院大学 学長 後藤厚宏氏
次の3項目についてお話しされました。
1 Society5.0がもたらす価値創造は?
2 重要インフラ等におけるサイバー セキュリティの確保(SIP第1期)
3 IoT社会に対応したサイバー・ フィジカル・セキュリティ(SIP第2期)
1 Society5.0がもたらす価値創造は?
Society5.0では、約90兆円の価値創造を目指しているとのこと。
(Society5.0は、サイバー空間とフィジカル空間を融合させ、様々なモノやサービスを提供て、経済的発展と社会的課題の解決を目指しています。)
2 重要インフラ等におけるサイバー セキュリティの確保(SIP第1期)
戦略的イノベーション創造プログラム(SIP)という基礎研究から実用化・事業化までを見据えた取組を推進しており、重要インフラの特性に合ったサイバーセキュリティを考えている。
新規設備の場合、大規模システムのソフトやデータの改変について検知し、対処する大規模システムの真贋判定を導入する。
既存設備・新規設備混在している場合、追加導入し、異常検知を行う。
3 IoT社会に対応したサイバー・ フィジカル・セキュリティ(SIP第2期)
第1期が短期的なのに対して、第2期は長期的を考えた内容。
IoTリスクとサプライチェーンリスク対応は喫緊の課題である。
IoTシステム・サービスをセキュアにするためには、サプライチェーンをセキュアにする必要があり、逆も然りである。信頼のチェーンを構築し、セキュリティを確保する。
また、フレームワーク等も他国との連携が大切である。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
パネルディスカッション
テーマ:サイバー空間が現実世界へ与える影響が大きいこの時代の人材育成とは
コーディネータ:国立研究開発法人情報通信研究機構
ナショナルサイバートレーニングセンター
主任研究員 佐藤公信氏
パネリスト:トレンドマイクロ 上級スレットディフェンスエキスパート 新井 悠氏
株式会社セキュアスカイ・テクノロジー 取締役CTO 長谷川 陽介氏
・「自己顕示欲を持った若年層を認める」という問題意識
保護者が子供のやっていることの意味が理解できないことから、得体が知れないことをするな、怖いものはするな、というのを消していく必要があるのではないか。
知らないから怖い、というのを親にわかってもらう必要があるのではないか。
保護者の子供を理解し、身近な人が子供を認めるのはいいのではないか。
・子供のネットと接し方
サイバー空間が存在していることが社会であるため、別途学ぶのではなく、一緒に学んでいくのがいいのではないか
・子供への危険性の理解
子供に危険なものを周知させるモノを体験させるのは良いのではないか、という意見に対して、そのモノを子供に考えて勉強させて作らせるのも良いかもしれない。
結論:子供に対しては、こっちの方がカッコイイへ導いて、ダークサイドへ落ちないようにしよう。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
講演を無料で聞けるのは、有難いですね。
意見交換会とナイトセッションは、有料(12,000円)になっています。
個人的には、こういうイベントは、講演の後の交流が大事だと思っていますので、参加できるときは、なるべく参加するようにしています。
さて、意見交換会では、鯛めしや五色そうめん、お刺身や愛媛大学のビール等が振舞われ、美味しくいただきました。
愛媛大学「えみかヴァイツェン・ビール」の製造完成について | 愛媛大学
おちょこは、意見交換会参加者全員へプレゼントでした。
久しぶりにお会いする方や新たな出会いと、楽しい意見交換会でした。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
ナイトセッションは、4つのテーマがありました。
私は、「仮想通貨から暗号資産へ」のお話を聞いてきました。
かなり内容が濃く、非常に楽しい時間でした。
仮想通貨がなぜ暗号資産と呼ばれるようになったのか、仮想通貨の歴史とともに説明がありました。ZaifでのMonacoinの流出事件についても話がありました。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
以上で、1日目は終了です。