こんにちは、ひろかずです。
今日は、第6回 セキュリティ共有勉強会 にお邪魔したので、一筆書きます。
開場は、渋谷道玄坂の21cafeでした。
思わず仕事したくなるような素敵空間です。
渋谷に行ったらここで仕事しよう。
セキュリティ共有勉強会は、専門家(セキュリティ担当者)に丸投げするだけでは確保できない、
社内セキュリティを確保するための知見や資料、ノウハウの共有を目的としているとのことです。
お品書き
どこまでリテラシーを求めるべきか?
リテラシーとインシデント事例
充電の際に気をつけたいと思ったこと
効果的な社内セキュリティ啓蒙
お悩み相談
どこまでリテラシーを求めるべきか?
周囲のリテラシーが低いと思うことはあるでしょうが、何を理解してほしいか明確になっているか?
- 基準が分からない要求は扱いに困る
テーマ:必要最低限知ってほしいこと
答え:安全地帯は「ない」ということ
リテラシーとは?
- 本来「識字率」と同じ意味で用いられている言葉。
セキュリティの分野は広くて深い(一舐めするだけでも大変)
- 最低限の資格はいろいろあるけど、全社員が取るのは非現実的
エンドユーザーからよく聞く10の言い訳
- https://japan.zdnet.com/article/35037858/
- 突き詰めると「自分には関係がない」
最も重要なことは?
- ITセキュリティに絶対の安全地帯なんてものはない!
- その意識と理解が一番大事
エンジニアはカギを取り付ける。
皆さんは、カギを閉めて帰る(くらい心がけてください><)
- オートロックはできるけど、お金がかかることは理解して><
誰しも備えが必要なら「自分にも関係ある」ということ。
だが、経営陣はちょっと違う
- セキュリティ対策の責務の判例
- http://blog.tokumaru.org/2015/01/sql.html
- 最低限の責務は果たさないといけない(セキュリティ対策は実施して当然という判例)
サイバーセキュリティ経営ガイドライン(3原則)
- 経営者がリーダーシップを取る
- パートナーや委託先も対策する
- 平時から備える
もはや、知らなかったでは済まされない。
リテラシーとインシデント事例
hiroさん
情報リテラシーと情報モラル(ごっちゃになってない?)
- 情報リテラシー:活用して事故の目的に適合するように管理/活用する能力(情強的要素)
- 情報モラル:情報社会を生きぬき,健全に発展させていく上で,すべての国民が身につけておくべき考え方や態度
不正のトライアングル、不正の三要素
- 動機(ギャフンと言わせる)
- 機会(いつでもやれる)
- 正当化(盗んではいない、借りただけ)
セキュリティインシデント事例(情報モラル欠如)
- ベネッセ
- ランサム作成
- Twitterログイン画面フィッシング
セキュリティインシデント事例(情報リテラシー不足)
- GMO(パッチ適用遅れ)
サイバーリスクとは
- 情報漏えい(外部からの不正アクセス)
- 事業阻害(データ消すとか)
- 風評(SNSデマ)
- 賠償責任(SLA)
一つの被害が連鎖的に波及することも。
リスクへの対応
- 低減(発生確率を下げるような措置)
- 保有(対策しない)
- 回避(ネットワーク分離)
- 移転(保険やSaaSの利用、委託)
インシデント発生による損害額
GMO-PG
- 40万件のクレジットカード
- 被害額は2億超
- 保険で1億超を充当
- 被害額は1億に圧縮
韓国のホスティング企業NAYANA
- 4億5千万の要求を交渉で1億5千万に減額
- 3900万円しか払えず、株式を担保に資金調達(結果倒産)
内部統制に因る対応(リスクの低減)
- 職務分掌による相互牽制
- 監視カメラ
- 端末操作のログ管理
- 経営者自身や共犯者等、限界がある
まとめ
- 情報資産の洗い出しとリスクを把握
- 不正の三要素を理解してリスクの低減
- 保険
- 教育
- ログを取るだけでも違う
充電の際に気をつけたいと思ったこと
opqさん
壁から出ている充電用USBポートの向こう側に何か仕掛けがあったら???
Androidのケースで考える
コンセントの先にラズパイ→3G通信で簡単に達成
- 端末をマウント
- データ保管(SDカード)
- Webサーバ化(からの読み出し)
レシピ
- jmtpfs
- rsync
- python -m SimpleHTTPServer
緩和策
- 自分のUSB充電アダプタ
- 充電専用ケーブル
- 記憶領域の暗号化
制約(攻撃者目線)
- 長いことマウントしてられなさそう
- 電源が入っていて、ロックがハズレていることが条件
QA
記憶領域の暗号化って大変じゃない?
- 設定-セキュリティからできる。
- 古い端末やレスポンス優先でOFFしてる場合もありそう。
- 開発者向けオプションで、充電Onlyモードがある。
効果的な社内セキュリティ啓蒙
hiro4848さん
結局のところセキュリティは…
- 悪い人が居なければ、ただのオーバーヘッド
- セキュリティそのものはお金を産まない
- ECサイトはPCIDSSに準拠必須
- 攻撃者は、無数の対象に対して、一度成功すればいい(攻撃対象は、NOT 専門家)
セキュリティの底上げを図ろう
- 楽しいイベント(エンジニア向けには社内CTFとか)
- 正しいハッキングで現状の確認(マネジメントチームの了解を得て、Red Teaming/ペネトレからの実演/デモやビデオを経営陣にプレゼン)
- 一般ユーザ向けにはマネジメント越しにセキュリティ啓蒙メッセージ(セキュリティエンジニアの言うことより、上司の指示が効く)
社内CTF
- SECCONの過去問題
- GitHubには例題や過去問がたくさん
- コストが許せば、セキュリティチームが作る
正しいハッキングで状態確認
- プレゼン
- Targetの事例(レジ機器のWindowsXPにマルウェア感染からの、決済情報を外部送信)
- Windowsが居るネットワークは感染しているものと見做して、データを取り回す。
ペネトレ/Red Teaming
- 一般ユーザをフィッシング
- 社内ネットワークに外から侵入
- Metasploit等を用いて、社内ネットワークを横断、データの一部を採取
- Domain Adminに属するユーザアカウントを乗っ取り(BloodHound等で、AD設定の穴を洗って、Domain Adminを奪取)
お悩み相談室
リテラシー低くて困った話
Windows Updateが長期間かからない端末がある
- そんな環境ある?(コケる、アプリが阻害する場合がそうなることがある)
- どうする?(ネットワーク隔離?医療用はUpdateできないケースもある。フロッピーが現役の現場も。)
難易度を高い社員教育を実施したくてもできない
- レベルに応じた、各層の関心を呼ぶネタの提供
制度化しても機能しない
規定が多くて、把握しきれず、業務が回らなくなる(担当者退職で「死」)
- 規定から、ToDoへの落とし込み(Wiki化)
e-Lerningを行っているが形骸化しているように感じる…
- 達成した人が答えをバラしてしまう。
- 動画を全部見ないと、合格フラグが立たないようにしたけど、効果はよくわからなかった。
- 長い動画閲覧は、キツイ。グループ閲覧はなら、なんとか乗り切れる。
- 派遣さんは、すぐに居なくなってしまう。教育時間にも、お時給がかかってしまう。
- 効果測定をやっていない。浸透していない人に深掘りしていくアプローチが重要。
利用サービスの管理ができない
未実績のソフト、未導入のソフトの安全性確保
- オープンソースは、メンテナンス間隔や携わっている人の数、issueの処理状況をみる
そのほか
セキュリティ勉強の優先順位
- 興味じゃね?資格とか?
- 入り口としては、qiitaでキーワードを検索して、なんとなく読む
おわりに
話は尽きず、盛り上がったまま終了しました。
熱量が高く、活発な素晴らしい会でした!
今日はここまでです。
お疲れ様でした。