こんにちは、ひろかずです。
今日は、第6回 セキュリティ共有勉強会 にお邪魔したので、一筆書きます。

開場は、渋谷道玄坂の21cafeでした。
思わず仕事したくなるような素敵空間です。
渋谷に行ったらここで仕事しよう。

セキュリティ共有勉強会は、専門家(セキュリティ担当者)に丸投げするだけでは確保できない、
社内セキュリティを確保するための知見や資料、ノウハウの共有を目的としているとのことです。

お品書き

どこまでリテラシーを求めるべきか?
リテラシーとインシデント事例
充電の際に気をつけたいと思ったこと
効果的な社内セキュリティ啓蒙
お悩み相談

どこまでリテラシーを求めるべきか?

周囲のリテラシーが低いと思うことはあるでしょうが、何を理解してほしいか明確になっているか?

  • 基準が分からない要求は扱いに困る

テーマ:必要最低限知ってほしいこと
答え:安全地帯は「ない」ということ

リテラシーとは?

  • 本来「識字率」と同じ意味で用いられている言葉。

セキュリティの分野は広くて深い(一舐めするだけでも大変)

  • 最低限の資格はいろいろあるけど、全社員が取るのは非現実的

エンドユーザーからよく聞く10の言い訳

最も重要なことは?

  • ITセキュリティに絶対の安全地帯なんてものはない!
  • その意識と理解が一番大事

エンジニアはカギを取り付ける。
皆さんは、カギを閉めて帰る(くらい心がけてください><)

  • オートロックはできるけど、お金がかかることは理解して><

誰しも備えが必要なら「自分にも関係ある」ということ。

だが、経営陣はちょっと違う

サイバーセキュリティ経営ガイドライン(3原則)

  • 経営者がリーダーシップを取る
  • パートナーや委託先も対策する
  • 平時から備える

もはや、知らなかったでは済まされない。

リテラシーとインシデント事例

hiroさん

情報リテラシーと情報モラル(ごっちゃになってない?)

  • 情報リテラシー:活用して事故の目的に適合するように管理/活用する能力(情強的要素)
  • 情報モラル:情報社会を生きぬき,健全に発展させていく上で,すべての国民が身につけておくべき考え方や態度

不正のトライアングル、不正の三要素

  • 動機(ギャフンと言わせる)
  • 機会(いつでもやれる)
  • 正当化(盗んではいない、借りただけ)

セキュリティインシデント事例(情報モラル欠如)

  • ベネッセ
  • ランサム作成
  • Twitterログイン画面フィッシング

セキュリティインシデント事例(情報リテラシー不足)

  • GMO(パッチ適用遅れ)

サイバーリスクとは

  • 情報漏えい(外部からの不正アクセス)
  • 事業阻害(データ消すとか)
  • 風評(SNSデマ)
  • 賠償責任(SLA)

一つの被害が連鎖的に波及することも。

リスクへの対応

  • 低減(発生確率を下げるような措置)
  • 保有(対策しない)
  • 回避(ネットワーク分離)
  • 移転(保険やSaaSの利用、委託)

インシデント発生による損害額
GMO-PG

  • 40万件のクレジットカード
  • 被害額は2億超
  • 保険で1億超を充当
  • 被害額は1億に圧縮

韓国のホスティング企業NAYANA

  • 4億5千万の要求を交渉で1億5千万に減額
  • 3900万円しか払えず、株式を担保に資金調達(結果倒産)

内部統制に因る対応(リスクの低減)

  • 職務分掌による相互牽制
  • 監視カメラ
  • 端末操作のログ管理
  • 経営者自身や共犯者等、限界がある

まとめ

  • 情報資産の洗い出しとリスクを把握
  • 不正の三要素を理解してリスクの低減
  • 保険
  • 教育
  • ログを取るだけでも違う

充電の際に気をつけたいと思ったこと

opqさん

壁から出ている充電用USBポートの向こう側に何か仕掛けがあったら???
Androidのケースで考える
コンセントの先にラズパイ→3G通信で簡単に達成

  • 端末をマウント
  • データ保管(SDカード)
  • Webサーバ化(からの読み出し)

レシピ

  • jmtpfs
  • rsync
  • python -m SimpleHTTPServer

緩和策

  • 自分のUSB充電アダプタ
  • 充電専用ケーブル
  • 記憶領域の暗号化

制約(攻撃者目線)

  • 長いことマウントしてられなさそう
  • 電源が入っていて、ロックがハズレていることが条件

QA

記憶領域の暗号化って大変じゃない?

  • 設定-セキュリティからできる。
  • 古い端末やレスポンス優先でOFFしてる場合もありそう。
  • 開発者向けオプションで、充電Onlyモードがある。

効果的な社内セキュリティ啓蒙

hiro4848さん

結局のところセキュリティは…

  • 悪い人が居なければ、ただのオーバーヘッド
  • セキュリティそのものはお金を産まない
  • ECサイトはPCIDSSに準拠必須
  • 攻撃者は、無数の対象に対して、一度成功すればいい(攻撃対象は、NOT 専門家)

セキュリティの底上げを図ろう

  • 楽しいイベント(エンジニア向けには社内CTFとか)
  • 正しいハッキングで現状の確認(マネジメントチームの了解を得て、Red Teaming/ペネトレからの実演/デモやビデオを経営陣にプレゼン)
  • 一般ユーザ向けにはマネジメント越しにセキュリティ啓蒙メッセージ(セキュリティエンジニアの言うことより、上司の指示が効く)

社内CTF

  • SECCONの過去問題
  • GitHubには例題や過去問がたくさん
  • コストが許せば、セキュリティチームが作る

正しいハッキングで状態確認

  • プレゼン
  • Targetの事例(レジ機器のWindowsXPにマルウェア感染からの、決済情報を外部送信)
  • Windowsが居るネットワークは感染しているものと見做して、データを取り回す。

ペネトレ/Red Teaming

  • 一般ユーザをフィッシング
  • 社内ネットワークに外から侵入
  • Metasploit等を用いて、社内ネットワークを横断、データの一部を採取
  • Domain Adminに属するユーザアカウントを乗っ取り(BloodHound等で、AD設定の穴を洗って、Domain Adminを奪取)

お悩み相談室

リテラシー低くて困った話

Windows Updateが長期間かからない端末がある

  • そんな環境ある?(コケる、アプリが阻害する場合がそうなることがある)
  • どうする?(ネットワーク隔離?医療用はUpdateできないケースもある。フロッピーが現役の現場も。)

難易度を高い社員教育を実施したくてもできない

  • レベルに応じた、各層の関心を呼ぶネタの提供

制度化しても機能しない

規定が多くて、把握しきれず、業務が回らなくなる(担当者退職で「死」)

  • 規定から、ToDoへの落とし込み(Wiki化)

e-Lerningを行っているが形骸化しているように感じる…

  • 達成した人が答えをバラしてしまう。
  • 動画を全部見ないと、合格フラグが立たないようにしたけど、効果はよくわからなかった。
  • 長い動画閲覧は、キツイ。グループ閲覧はなら、なんとか乗り切れる。
  • 派遣さんは、すぐに居なくなってしまう。教育時間にも、お時給がかかってしまう。
  • 効果測定をやっていない。浸透していない人に深掘りしていくアプローチが重要。

利用サービスの管理ができない

未実績のソフト、未導入のソフトの安全性確保

  • オープンソースは、メンテナンス間隔や携わっている人の数、issueの処理状況をみる

そのほか

セキュリティ勉強の優先順位

  • 興味じゃね?資格とか?
  • 入り口としては、qiitaでキーワードを検索して、なんとなく読む

おわりに

話は尽きず、盛り上がったまま終了しました。
熱量が高く、活発な素晴らしい会でした!

今日はここまでです。
お疲れ様でした。

元記事はこちら

第6回 セキュリティ共有勉強会 レポート