share facebook facebook twitter menu hatena pocket slack

2017.07.11 TUE

第6回 セキュリティ共有勉強会 レポート

吉田 浩和

WRITTEN BY 吉田 浩和

こんにちは、ひろかずです。
今日は、第6回 セキュリティ共有勉強会 にお邪魔したので、一筆書きます。

開場は、渋谷道玄坂の21cafeでした。
思わず仕事したくなるような素敵空間です。
渋谷に行ったらここで仕事しよう。

セキュリティ共有勉強会は、専門家(セキュリティ担当者)に丸投げするだけでは確保できない、
社内セキュリティを確保するための知見や資料、ノウハウの共有を目的としているとのことです。

お品書き

どこまでリテラシーを求めるべきか?
リテラシーとインシデント事例
充電の際に気をつけたいと思ったこと
効果的な社内セキュリティ啓蒙
お悩み相談

どこまでリテラシーを求めるべきか?

周囲のリテラシーが低いと思うことはあるでしょうが、何を理解してほしいか明確になっているか?

  • 基準が分からない要求は扱いに困る

テーマ:必要最低限知ってほしいこと
答え:安全地帯は「ない」ということ

リテラシーとは?

  • 本来「識字率」と同じ意味で用いられている言葉。

セキュリティの分野は広くて深い(一舐めするだけでも大変)

  • 最低限の資格はいろいろあるけど、全社員が取るのは非現実的

エンドユーザーからよく聞く10の言い訳

最も重要なことは?

  • ITセキュリティに絶対の安全地帯なんてものはない!
  • その意識と理解が一番大事

エンジニアはカギを取り付ける。
皆さんは、カギを閉めて帰る(くらい心がけてください><)

  • オートロックはできるけど、お金がかかることは理解して><

誰しも備えが必要なら「自分にも関係ある」ということ。

だが、経営陣はちょっと違う

サイバーセキュリティ経営ガイドライン(3原則)

  • 経営者がリーダーシップを取る
  • パートナーや委託先も対策する
  • 平時から備える

もはや、知らなかったでは済まされない。

リテラシーとインシデント事例

hiroさん

情報リテラシーと情報モラル(ごっちゃになってない?)

  • 情報リテラシー:活用して事故の目的に適合するように管理/活用する能力(情強的要素)
  • 情報モラル:情報社会を生きぬき,健全に発展させていく上で,すべての国民が身につけておくべき考え方や態度

不正のトライアングル、不正の三要素

  • 動機(ギャフンと言わせる)
  • 機会(いつでもやれる)
  • 正当化(盗んではいない、借りただけ)

セキュリティインシデント事例(情報モラル欠如)

  • ベネッセ
  • ランサム作成
  • Twitterログイン画面フィッシング

セキュリティインシデント事例(情報リテラシー不足)

  • GMO(パッチ適用遅れ)

サイバーリスクとは

  • 情報漏えい(外部からの不正アクセス)
  • 事業阻害(データ消すとか)
  • 風評(SNSデマ)
  • 賠償責任(SLA)

一つの被害が連鎖的に波及することも。

リスクへの対応

  • 低減(発生確率を下げるような措置)
  • 保有(対策しない)
  • 回避(ネットワーク分離)
  • 移転(保険やSaaSの利用、委託)

インシデント発生による損害額
GMO-PG

  • 40万件のクレジットカード
  • 被害額は2億超
  • 保険で1億超を充当
  • 被害額は1億に圧縮

韓国のホスティング企業NAYANA

  • 4億5千万の要求を交渉で1億5千万に減額
  • 3900万円しか払えず、株式を担保に資金調達(結果倒産)

内部統制に因る対応(リスクの低減)

  • 職務分掌による相互牽制
  • 監視カメラ
  • 端末操作のログ管理
  • 経営者自身や共犯者等、限界がある

まとめ

  • 情報資産の洗い出しとリスクを把握
  • 不正の三要素を理解してリスクの低減
  • 保険
  • 教育
  • ログを取るだけでも違う

充電の際に気をつけたいと思ったこと

opqさん

壁から出ている充電用USBポートの向こう側に何か仕掛けがあったら???
Androidのケースで考える
コンセントの先にラズパイ→3G通信で簡単に達成

  • 端末をマウント
  • データ保管(SDカード)
  • Webサーバ化(からの読み出し)

レシピ

  • jmtpfs
  • rsync
  • python -m SimpleHTTPServer

緩和策

  • 自分のUSB充電アダプタ
  • 充電専用ケーブル
  • 記憶領域の暗号化

制約(攻撃者目線)

  • 長いことマウントしてられなさそう
  • 電源が入っていて、ロックがハズレていることが条件

QA

記憶領域の暗号化って大変じゃない?

  • 設定-セキュリティからできる。
  • 古い端末やレスポンス優先でOFFしてる場合もありそう。
  • 開発者向けオプションで、充電Onlyモードがある。

効果的な社内セキュリティ啓蒙

hiro4848さん

結局のところセキュリティは…

  • 悪い人が居なければ、ただのオーバーヘッド
  • セキュリティそのものはお金を産まない
  • ECサイトはPCIDSSに準拠必須
  • 攻撃者は、無数の対象に対して、一度成功すればいい(攻撃対象は、NOT 専門家)

セキュリティの底上げを図ろう

  • 楽しいイベント(エンジニア向けには社内CTFとか)
  • 正しいハッキングで現状の確認(マネジメントチームの了解を得て、Red Teaming/ペネトレからの実演/デモやビデオを経営陣にプレゼン)
  • 一般ユーザ向けにはマネジメント越しにセキュリティ啓蒙メッセージ(セキュリティエンジニアの言うことより、上司の指示が効く)

社内CTF

  • SECCONの過去問題
  • GitHubには例題や過去問がたくさん
  • コストが許せば、セキュリティチームが作る

正しいハッキングで状態確認

  • プレゼン
  • Targetの事例(レジ機器のWindowsXPにマルウェア感染からの、決済情報を外部送信)
  • Windowsが居るネットワークは感染しているものと見做して、データを取り回す。

ペネトレ/Red Teaming

  • 一般ユーザをフィッシング
  • 社内ネットワークに外から侵入
  • Metasploit等を用いて、社内ネットワークを横断、データの一部を採取
  • Domain Adminに属するユーザアカウントを乗っ取り(BloodHound等で、AD設定の穴を洗って、Domain Adminを奪取)

お悩み相談室

リテラシー低くて困った話

Windows Updateが長期間かからない端末がある

  • そんな環境ある?(コケる、アプリが阻害する場合がそうなることがある)
  • どうする?(ネットワーク隔離?医療用はUpdateできないケースもある。フロッピーが現役の現場も。)

難易度を高い社員教育を実施したくてもできない

  • レベルに応じた、各層の関心を呼ぶネタの提供

制度化しても機能しない

規定が多くて、把握しきれず、業務が回らなくなる(担当者退職で「死」)

  • 規定から、ToDoへの落とし込み(Wiki化)

e-Lerningを行っているが形骸化しているように感じる…

  • 達成した人が答えをバラしてしまう。
  • 動画を全部見ないと、合格フラグが立たないようにしたけど、効果はよくわからなかった。
  • 長い動画閲覧は、キツイ。グループ閲覧はなら、なんとか乗り切れる。
  • 派遣さんは、すぐに居なくなってしまう。教育時間にも、お時給がかかってしまう。
  • 効果測定をやっていない。浸透していない人に深掘りしていくアプローチが重要。

利用サービスの管理ができない

未実績のソフト、未導入のソフトの安全性確保

  • オープンソースは、メンテナンス間隔や携わっている人の数、issueの処理状況をみる

そのほか

セキュリティ勉強の優先順位

  • 興味じゃね?資格とか?
  • 入り口としては、qiitaでキーワードを検索して、なんとなく読む

おわりに

話は尽きず、盛り上がったまま終了しました。
熱量が高く、活発な素晴らしい会でした!

今日はここまでです。
お疲れ様でした。

元記事はこちら

第6回 セキュリティ共有勉強会 レポート

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。