セキュリティの解説書

情報セキュリティに関する内容を掲載しています

サイバーセキュリティシンポジウム道後 2019(2日目)

一昨日(3月7日)から昨日(3月8日)にかけて、愛媛大学で「サイバーセキュリティシンポジウム道後 2019」が開催されました。

 

日テレNEWS24の記事はこちら。

www.news24.jp

 

1日目の内容は、昨日(2019/03/08)の記事をご覧ください。

tktksec.hatenablog.jp

 

それでは、2日目の内容です。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

テーマ:ダークネット観測からの脆弱性&インシデント・ハンドリング

講 師:国立研究開発法人情報通信研究機構

    サイバーセキュリティ研究所サイバーセキュリティ研究室

    上席研究技術員 久保正樹氏

 

大きく次の2点についてお話しされました。

1 2018年のダークネット観測統計

  2018年のダークネット観測統計では、インターネット上で到達可能かつ未使用のIPアドレス空間であるダークネットを観測しているシステム「NICTER」によって収集された情報について解説されました。

 

  ダークネットは使用されていないIPアドレスであるため、本来は何も通信がないはずなのに、通信パケットが送られてくることから、攻撃の可能性があることから観測しています。

 

  NICTERのレポートについては、以前の記事で取り上げています。

tktksec.hatenablog.jp

 

  以前との比較をし、そのポイントとしては、2点とのことでした。

  特徴1:調査目的のスキャンが大幅に増加した。

  特徴2:Telnetを狙う攻撃がほぼ半減、IoT機器でも固有の機器しか使っていないポート(5555番等)への攻撃もあった。

 

 

2 ダークネット観測で発見した脆弱性&インシデントハンドリング

  Android Debug Bridge(ADB)は、Android端末とクライアント間で通信するための仕組みであり、WiFi経由で機器に接続する際には、5555番(TCP)ポートを使用しているとのこと。

  

  ADBには、認証なしのADBとsecure ADBの2種類があり、認証なしのADBだとファイルのコピー、ダウンロードやShellのアクセスができてしまうのが問題。

 

  Androidエミュレータとセットトップボックスに関する脆弱性の具体例を挙げて解説がありました。

 

  質問では、JTAGへの攻撃等は観測しているかとの問いに、NICTERでは観測していないとの回答でされていました。

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

テーマ:セキュリティベンチャーにおける人材育成の事例

講 師:株式会社FFRI 執行役員 新技術開発担当 松木隆宏氏

 

FFRI社の創成期、成長期、成熟期で採用方法が変わっていったとのこと。

 

1 創成期

  プロダクトを作るのがミッションのため、創業メンバーと即戦力を採用した。

  面接でコーディングテストを実施し、ホワイトボードに書いてもらうものだったが、20行ぐらいのコードが書ける人が少なかった。

 

2 成長期

  セキュリティエキスパートやセキュリティをやりたい人が中途入社した。

  ジョブローテーションを実施し、プロダクト開発とセキュリティサービスの両方の経験をさせた。

  社内勉強会やマネジメント人材の育成した。

3 成熟期

  中途採用のみでは事業拡大のための人材確保が困難なため、新卒採用を開始した。

 

成熟期の新卒人材育成は、様々な試行錯誤をし、現在継続したい点は、次の2点。

 1 ソフトウェアエンジニアリングとセキュリティの両方の基礎知識の研修

 2 OJT制度とメンタリング、十分な適正把握

また、改善点として、は次の2点。

 1 採用基準の見直し

 2 中長期インターンシップ、外部コミュニティとの連携して採用へ

 

FFRIでは、採用から5年以内に主戦力として活躍しており、成果主義と働きやすい環境を重要視しているとのことでした。

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

テーマ:サイバーセキュリティの最新動向と経営の役割 ~今求められる駆逐艦発想方式~

講 師:NRIセキュアテクノロジーズ株式会社 事業推進部担当部長

    上級セキュリティコンサルタント CISSP 与儀大輔氏

 

一発の魚雷が当たっても沈没しない駆逐艦を例に、一通の標的型メールが着弾してもやられないようにしようというのが「駆逐艦発想方式」。

 

日本ではセキュリティ人材が足りないと言われているが諸外国はどうか。

アメリカ、イギリス、シンガポール、オーストラリアの4ヵ国では10〜16%程度が不足しているとのことでした。

 

4ヵ国で不足している人材が少ない理由として、次の3点を話されていました。

・セキュリティ業務が自動化・省力化されている

・セキュリティ業務が標準化され役割分担が明確

・経験豊富なメンバーで対応

 

CISOを設置し、経営層が就任している割合

 4ヵ国:70%程度

 日 本:35%程度(4ヵ国の半分程度)

 

対策実施のきっかけ

 日 本:自社のセキュリティインシデント(火事が起きてから)

 4カ国:対策実施のきっかけ:経営層のトップダウン指示

 

セキュリティインシデントが起きてから、セキュリティベンダーと契約しようとしても、対応する人材がいなくて、セキュリティベンダーも急には対応できない。

 

火事は消防が火を消してくれるが、セキュリティインシデントは、消防が消してくれるわけではない。

 

経営層の認識と把握

1 経営のリーダーシップ:具体的施策

  責任の明確化:社長、CISO、各部門担当の責任

 

2 正しいリスク認識

  Webサイトで提供:Secure SketCH(NRIとしては無償は初めて)

            https://www.secure-sketch.com/

  コンサルすると数ヶ月で1〜2000万かかるため、まずはSketCHを利用してほしい。

 

人材育成と評価において重要なこととして、次のような内容を述べられていました。

 高度な教育(CISSPやSANS等)の教育を継続する

 情報収集とコミュニティ活動への積極参加

 最新動向の把握(BlackHat、RSA Conference等)やソリューション情報収集等

 

セキュリティ担当者の評価として、次の3点を挙げていました。

1 スペシャリストとしての処遇

2 キャリアパスの整備

3 高いレベルのセキュリティを維持するためのKPIに基づく評価の実施。

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

テーマ:コーセー小椋 情報統括部部長 × ラック社長 西本 対談in道後~平成ICT温故知新、新時代を考える~ 

講 師:株式会社コーセー情報統括部 部長 小椋敦子氏

コーディネーター:株式会社ラック 代表取締役社長

         一般社団法人日本スマートフォンセキュリティ協会 理事・事務局長

         西本逸郎氏

 

今後、CIOとして果たすべき役割の中で、「統合&断舎利」とあり、捨てるのは、分散しているもの、時代とともに不要になったものであると話がありました。

 

質問:女性がマネージャー職を敬遠する理由に「現場の仕事が楽しい」ということもありますが、それを上回るマネージャー職の魅力をどう考えていますか?

回答:一人の能力では限界があるため、チームでやっていけるというのが魅力だと思う。

 

質問:女性がマネージャー職に立候補する自信が持てない要因の一つ、特に育児期間中は「無理のないワークライフバランスを保てるか」「周囲(部下・家族)に迷惑をかけないか」という不安がありますが、経験上どのように対処してこられましたか?

回答:育児休暇制度がなかった時代。マラソンみたいなもので、最後にゴールすることが目的と考えれば、短期間の停滞はあまり気にしない方がいいのではないかと思う。

 

質問:キャリアを貫く場合、子供との時間が少なくなってしまうが、だからこそ子供と大切にしてきたこと、また、家庭において工夫されてきたことをお聞かせ

回答:子供と会う時間は少なかったが、その分密度を濃くしようと意識していた。

 

その他にも、知らない人に難しいことをわかりやすく説明する方法は重要だと考えているとお話がありました。

 

 ワークライフバランスが叫ばれる中で、個人的にとても参考になりました。

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

テーマ:サイバーフィジカルシステムにおけるセキュリティ

講 師:国立研究開発法人 産業技術総合研究所 情報・人間工学領域

    サイバーフィジカルセキュリティ研究センター 研究チーム長 森彰氏

 

サイバーフィジカルループとは、現実世界の情報を集め、人工知能の技術等で分析・学習・予測し、遠隔制御で現実世界にフォードバックし、地球規模での最適制御を実現するもの。

 

サイバーフィジカルシステム(CPS)のセキュリティの性質として、次の3点があり、

1 サイバー攻撃が現実空間へ悪影響をもたらす

2 自然現象、物理現象、人間・社会現象を含む

3 大規模で複雑なシステムとなる場合が多い

IoT機器のセキュリティがより一層重要になると話されていました。

 

対策としては、セキュリティライフサイクルと多層防御を挙げられていました。

 

セキュリティライフサイクル

1 新たな脅威に対して、セキュリティの(再)設計をする

2 脆弱性のないシステムを開発する

3 脆弱性があってもサイバー攻撃を受けにくくする

4 システム稼働中に判明する不良を監視する

  1に戻る、もしくはインシデント対応を行う

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

 

最優秀学生研究賞は、筑波大学の矢倉 大夢氏の「実世界でも攻撃可能なAudio Adversarial Exmple」でした。おめでとうございます!

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

 以上が2日目でした。

 

初参加でしたが、なかなかの濃い2日間で、勉強になる内容が多かったです。

以前の職場の方や勉強会界隈でお世話になっている方との出会いだけでなく、新たなネットワークができたのは大きな収穫でした。

来年も機会があれば、是非参加してみたいですね。