第12回 関西情報セキュリティ団体 合同セミナー に参加してきた
第10回も面白かったので、今回も参加。
関西情報セキュリティ団体合同セミナー告知サイトで募集されている内容を見ると、「セミナー申込(フォーム)」と「セミナー申込(メール)」があるんだけど、GoogleAppsなフォームを使えないフィルタリングをされている企業はどのくらいかなーと見ているということを仰っていたのが一番印象に残った(違
当日のセッションタイトル等
- 全社的リスク管理と情報セキュリティ:三菱UFJリサーチ&コンサルティング株式会社
- JASA技術部会 「統合内部監査WG活動報告」:株式会社ケーケーシ情報システム
- CTF に出てみました。:株式会社インターネットイニシアティブ 齋藤さん
- 情報セキュリティ予算のとりかた:株式会社ディアイティ 河野さん
- ライトニングトーク
- NTTにおけるCSIRT活動の紹介 セキュアプラットフォーム研究所
- デスクトップ仮想化におけるウィルス対策 トレンドマイクロ
- システムインフラ/運用基盤強化のためのフルサポートデータセンター活用 関電システムソリューションズ
- VersusKeyword Microsoft 香山さん
垂れ流し
■全社的リスク管理と情報セキュリティ 三菱UFJ谷口さん
1.企業価値向上を目指す全社的リスク管理
PDCAを回す際に色々なリスクを抱える→うまくいかない
リスクのレベルは3段階
・経営者が間違ってる→戦略
・日常的なリスク→操業
・事業継続
QCDを聞いたことある人?
CIAとの関係に置き換えてみることができる ← 資料の5ページ目参照
機密性完全性可用性
お客さんはセキュリティ以外のことをたくさんしている ← 情報セキュリティ管理は様々な業務の中の一っ部にすぎない
→ なんとかしようというのが全社的リスク管理
2.グローバル大企業が抱える課題
海外展開している会社で起こっていること
・セキュリティのことをわからない経営陣がほとんど
・現場も負担を減らさないと対応できない
・子会社なども含めると段階的に展開していかないといけない
・ほとんど管理できない状態で海外展開しているところもある
情報セキュリティの専業部署があればいいが現場はいろいろな仕事を振られている
経営陣・・・特に高いリスクを経営陣に考えてもらう 情報セキュリティはなかなか一番に上がらない
現場・・・管理のやり方をそろえて現場に依頼をしていく 管理部門で集約していく 日本は縦割りが多いのでなかなかそうもいかない
・グループが広すぎてどこが関連会社かわからない
巨大な組織は統一リスク体系を作らないといけない
→ 大きい枠組みのみ作って可容性な考え方で 統一リスク体系がないと各社ごとに異なった方式をチェックしないといけないので確認作業も増える
上位組織が下位組織リスクを把握 → 本社の管理・責任部門が全体を見ていく 経営陣が意思決定しやすい
・海外子会社では言語問題
自動集計システムみたいなものを使用すると言語が変わっても
3.PDCAサイクルに潜む課題
バランスが崩れてもPD重視にしていけばいい
クレームになれてる人はA重視でもいいかもしれない?
Plan→何でもかんでもやるのではなく費用対効果を考える・実行可能
Do→読める量に抑えて文書化、行動起きるような内容で(禁止禁止じゃダメ)
Check&Action→問題が起きる頻度が少ないとCheckが減る 少ないほうがいい
事件が起きたらルールを作る、一度作ったルールは変えにくい←悪しき例
的外れな規定とか←大昔に作った、誰が作ったかわからない、上場目的で作ったけど今は不要?等
確認項目大杉←何がいま調べる必要があるものなのかを考える
現場が忙殺←報告書書くために営業できないとか本末転倒
効率的なリスク管理を
4.Planの統合と高度化
何が会社の中で大事なのかを一度洗いだして大事なものを見返す
どれを誰がやるのか?
→大きい会社ほど面倒くさいことをしたくないのでお見合い効果的な不祥事の原因に どっかでやってると思ってるものはどこもやってない可能性も
統制ありき ルールがあるからではない
→大小を分けて、大事なものを優先で
リスクを出すのをしっかり出すなら、
・固有リスク(監査人が見る)
・計画リスク(規程や計画書にあることを全部やったらどうなるか)
・実績リスク
・改善リスク に分けるといい
リスク値の計算方法 誤差の出ない計算方法を行うべき → 桁数ごとにリスク評価を変更する桁数評価
ルールの導入根拠を明確にしておく → どの法律に基づき作成されたか? わからないと将来的にメンテナンス出来ない
5.Doの統合と高度化
自分に関係した規程だけを抜き出すようなシステムがあるといいよね → 読む量が減る
規程がなぜできたのかを明確にした表とか
6.Checkの統合と高度化
内部工数が増えるので内部監査工数が増える
いろいろなテーマを自分で決めないといけない
内部監査にも自動化を
専門知識がなくてもシステム監査ができるように
内部監査前に自己点検をしておくといい → 膨大なルールに基づいてチェックできる
7.Actの統合と高度化
誰も記入しないのは、記入項目が多すぎるから
重大なことが起きた場合だけ細かく記入を促すなど 通常はチェックのみ
テーマは経営課題によって変わる
お客さんにどう刺さるものにするか
excelでフォームを作るとユーザは引かない親和性が高い
============================
■JASA技術部会 統合内部監査WG活動報告 ケーケーシー情報システム 青木さん
JASA統合内部監査WG (JASAについて - 部会・支部活動)
WGの目的
毎月1回 18:00~20:00
統合監査はすでに実証段階にきていうる
セキュリティに係る監査は現時点では個別対応が多いが統合することで監査負荷を減らせる
統合型内部監査対象事業者の規模
大企業は対象外・中堅どころが対象
監査を専門でやってる部署がないところが多い(200-300人規模の企業ですら!)
監査の仕方やスキル不足で専門的監査が難しい
また監査かという言葉を投げかけられる場合もある→効率的な監査が望まれる原因
統合監査のチェックリスト・ガイドラインをWGで作りたい
内部監査調査結果を共有することが大事
情報セキュリティ必須(JASAがやってるしね)
具体的な進め方1:2011年
・対象:情報セキュリティ系のJISやISO規格をベースに
・27001の管理基準をベースに対比表を作成している
・対比表の説明
具体的な進め方2:2012年
・対比表を埋めていく
具体的な進め方3:2013年
・体制が統一されている→苦労しなくて済む
・スコープが同じ所を見ていく
・プライバシーマーク→全社的
・ISMS→部分的
・対比表だけを見てもどう使えばいいかわからないので、ガイドラインを作るなら使い方を有効に出していく(例文を作る)
パスワード管理に関しての場合 PCIDSS、ISMS、Pマークを一括して確認すれば1度ですむ、実地検証も1度ですむ ...みたいな
→監査人・ユーザの時間短縮・負荷も減少
今年度の完成は難しいかもしれないが、コレを参考にして企業内で独自にアレンジを!
監査の着眼などの資料になればいいと考えている
WGの成果物などに関しては JASA (JASAについて - 成果物)参照
============================
■CTFに出てみました IIJ斎藤さん
去年、CTFチャレンジジャパン2012(大阪予選)に出場した体験談の話
・1日目は研修 ペネトレの話を1週間かかかるものを1日で!30万くらいNRIで聞いたらかかるよって言ってた
・2日目は大会 優勝しちゃいました
2/2-3 CTF チャレンジ ジャパン 2012
CTFって何?...Capture The Flagの略、ITの技術を競う大会
タイプ
・一問一答型...悩みながらやる、回答すると得点加算される、暗号読解、パケット解析、バイナリ解析、フォレンジック問題等様々な問題
知識と技術が総合的に求められる、攻撃者よりかも?
問題例:167ctf参照 atmarkit のサイト調べること
・攻防戦...お互いのServerを攻めつつ、自分のServerも守りつつサーバ内のflagを奪い合う
海外には多いみたい
実際にどんなことやったの? 配布された資料を見ながら
・シナリオ説明→競技実施→競技終了→表彰 4時間半
シナリオ とある企業から個人情報を奪取するのが目的です
ゴール 機微な個人情報を取得する
攻略方法を説明する
・ネットワーク、Webアプリなどが対象
・事務局へのソーシャルエンジニアリング禁止
・ルータを攻撃は禁止(海外だと、自分が攻略したらルータ攻撃してほかの人が攻略できないようにする)
・ちょっとしたヒントもある
・DoS攻撃は禁止、処理能力を低下させることは禁止
得点を表示するようなシステムをハックして自分のところをすごい点にするとかダメ
・他チームへのソーシャルエンジニアリングも禁止
・対象範囲内のマシンやシステムを攻略後に堅牢化するのもだめ
等の資料が渡されて競技開始
まずすること。。。
・セットアップ
ネットワークのセットアップ→ネットで調べながらしないといけない
調査環境のセットアップ→話すと他チームにソーシャルハックされる
GnuPGとは何か調べる→誰も使ったことがないとか
初手
・nmap
ネットワークスキャン→対象ホストの洗い出し
ポートスキャン→ポート・バナー情報調べる
ゾーン転送
↓
Windowsっぽい何か
DNSぽい何か
wwwぽい何か
Pingしか応答しない何か
攻撃対象への役割分担
・Webアプリ調査→SQLインジェクション
・ブルートフォース→ssh
・ありえそうな脆弱性を攻撃
↓
Windowsっぽい何か MS08-67の脆弱性から管理者権限奪取 Cドライブから鍵取得 パスワードハッシュをレインボークラック
DNSぽい何か Windowsから入手したID/PASSでsshログイン Vmspliceの脆弱性でRoot奪取 三つ目のServerの情報を取得
wwwぽい何か DNSっぽいのから入手したID/PASSでsshログイン Vmspliceの脆弱性でRoot奪取 新しいユーザ情報・・・見つからない!
アクセス制限がある、踏み台Serverが必要
Pingしか応答しない何か www踏み台でポートスキャンsmbサーバ 取得したユーザでマウント 4つ目の鍵奪取
CTF練習のための競技ツール De-ICE の話
全国大会はニコ生で中継されるよ!
どんな大会があるの?
・DEFCON
・CODE GATE
・HITB SecConf
・Hack in Pari
・CTFチャレンジジャパン→来年度はJNSAの委託事業として
・SecConCTF(学生向け) 参考:SECCON CTF福岡大会レポート(1/3) − @IT
・HardeningZero→Serverを守る技術を競い合う 参考:実録、「Hardening Zero」の舞台裏(1/2) − @IT
最後に
・業務に役立つ?→クラッキング技術がどれだけ役立つかは疑問
・個人のスキル向上につながる?→ふわっとした話を実際に行うことで身につく
・なぜ参加するの?→面白いから、実践、試してみる、同じ考えをする人と出会える
============================
■情報セキュリティの社内営業〜上司はわかってくれない、ホントのキモチ DIT河野さん
http://goo.gl/0RQBW ← 今日の資料すっごく面白い資料です!
なぜ、情報セキュリティは売れないのか?
ネットに繋がってると危ない!といってタブレットをつながない←アンチウィルスどうやって更新するの?
情報セキュリティは絶対必要!というなら理由を言いましょう
費用対効果を見せる等
子供のころからチャレンジしてきた ゲーム機にしても...
・何に使うのか?
・いくらするのか?
・ちゃんと使うのか?
・今持ってるものをどうするのか?
必要だからってのはダメ→なぜ必要なのかが必要
ダメな資料:情報セキュリティの必要性とか一枚目にプレゼン資料が書かれてたり
持ってる人に営業するほうが楽、持ってない人間を口説くほうが難しい
親がゲームを好きならゲーム機を買ってもらいやすいのと同じ
経営者は経営が大好き 経営の話からセキュリティの話に結び付けていく
費用の話
何かと比べても安い!という説得はダメ
コレを使うとどれだけ儲かる、どれだけ経費節減になる のほうがいい
月々の○○がこれだけ減る
持ってる人に売るのがいい!
彼氏のいない女の子を口説くより、彼氏がいる女の子を口説くほうがいい。
女の子にもてるのも一緒
彼氏いない子は彼氏が必要ないかもしれない
どういう関連性を持たせるか
上司も上司に説明する
社内会議や経営会議で説明しないといけない、その場で納得してもらっても...
子供がお母さんは説得できても、お母さんがお父さんに説明できないといけないとかとか
誰かが説明しやすいように説明する
情報セキュリティでできてるか?
よその人もやってます!=みんなが持ってるから欲しいんだよ! ← 子供の時におもちゃを買ってもらえないパターンと同じ
情報セキュリティって何
・ITを最大に活用するための最小限の安全確保
ノートPC購入した→持ち出し禁止になった→ネット経由でノーツを使うのが個人情報保護法やISMSで最大限の安全確保のために困難になった
世間一般の考え方 民意を反映しないような
セキュリティも安全確保をしたほうがいいけど、最小限のほうが人間を楽にする
いかに人間の手を煩わせないか?人間が苦労する←ダメな感じ 運用でカバーとか 推測しにくいパスワードとか
なぜわかってもらえないのか?
・情報セキュリティは必要だとみんなが思っていると勘違いしている
・個人情報という共通の情報カテゴリがあると思ってる←会社ごとに違う
土台を併せることが大事
いかに共通化していくか?
土台は必要性ではない
・ITがなくなったら情報セキュリティはなくなる
紙は情報セキュリティがない時代から守ってた
ISMSで守らないといけないのはプリンタで印刷してコピーしているものだから 原本は電子データ
電子データを印刷した紙が原本になったとしておかないとただのコピー
ITのデータフローを知らない人がISMSをやってる
情報資産のフローを知らないでやってるから紙が資産になってる
・すべての情報セキュリティは業務の為に
業務を効率化するためのIT
情報セキュリティでは人が重要!とかは相反する
システムでできることはシステムで
どうしても人間でないとできないことを残していく
提案書作成の実際
・経営者の人に情報セキュリティはどこまでやればいいのか聞かれる
・F/W販売のところとか売れる時期が過ぎたら保守費で喰う
どのくらいで壊れるの?→まーまー壊れますとか言われる、予備入りますよね→メンテナンス両方しないとすぐに代替使用できない とかとか
→クラウドが主流になってきて保守部品にはお金払わない、バックアップにお金かける とか
メールサーバは何分止まっても大丈夫?
・もし、4時間大丈夫なら
→Serverの保守考えたら代替品は持つ必要があるの? 保守対応の時間で復旧しない?
・絶対必要!
→何を持たないといけないのか
影響度・脅威・脆弱性は違う
事故が起きても影響が起こらなければいい
業務に影響を与えると思うなら業務分析すべき
自社で持たないといけないの?
アウトソーシングしたほうがいいかも
サポートへの人件費とかとか
目的とコストはどんな提案書にも書くべき
コスト:初期費用・運用費用・撤去費用など
例:椅子を安価で購入→大型ごみの引き取り費用は?
↓
CISSPの組織作りで連絡体制を決めなさいと書いてある
誰が誰に報告して、一番最後に報告を受けるのが最高責任者 責任が委譲される連鎖
PDCAサイクルのAで経営者がいろいろな判断できるよう Cで情報集めて経営者に提案する
報告をするのは責任を伴う
プロジェクトを始めるには上司に最初の相談→上司に責任
目的とコストを考えないでなぁなぁになるとダメ
システム導入において一番大事なのは最大停止許容時間
→どれだけ影響があるか調べないといけない
リスク受容レベルの話→100件漏れても100件の人にすぐ謝罪で来て回収できるなら問題ないかも
USBメモリーからウィルス感染てすごくするからひどい!→USBメモリーさしたら検知した→検知するのはいいこと、検知されなかったら?→そりゃダメ
何がなんだかわからないよ! 検知は事前に防げてるということ
どういう風に予防できてるのかを考えないといけない
土台の合意=リスク受容レベルの合意
会社として最低限しないといけないこと、部署として最低限しないといけないこと
現場がこういう風に使いたいということ合意書取ってきました←リスク受容レベル
ゲームがあっても勉強するよってアピールするような話
対策に意味があるか?
・重要な書類を電子メールに添付してはいけない
→ 重要な書類:何?
電子メールに添付ダメ:電子メール以外ならおk?
・重要な書類を電子メールに添付するときは上司に相談すること ← 上司に相談するというエビデンス
○○がだめ、いけない ということには記録が必要 PDCAのCができる
何かを禁止するのではなく使うためのルール
管理目的はなんですか?
・USBメモリ禁止の理由
スタックスネットでは...それはきっかけにすぎない、CD-Rでも同様のことは起こるよね?
→USBメモリが原因でなくウィルス対策ソフトのシグネチャが原因
・標的型メールも同じ
すでに持ってるのにまた買うの?
・USBメモリ禁止のツールを追加購入するのではなく、管理手順を策定するのがいいんじゃない?
全員が使うという前提でルールを使う
ルールが作れないものは使わない
禁止ではなく利用マニュアルを!
比較を書く
・使うメリット
・使うリスク
→メリットが多かったらつかい、リスクをどうやったらつぶせるかを考えて使う
できる限り具体的に、金額化できることは金額化して対策費用を決めることができる
標的型攻撃を受けないにはどうしたらいい?
→WindowsXP使わない 脆弱性一杯だし たくさんの追加セキュリティ機能を使ってるよね
メールを自前管理しない アンチウィルスのゲートウェイ、スパムゲートウェイ、ワークフローアプリ...etc
50~100人規模でのデータよりGoogleやMicrosoftのクラウド型メールサービスのほうが膨大なデータをもとに処理できる
バージョンアップした時に必要なアプリは今も必要か? OSに含まれてないか?
新しいマシンが10万円という考え方の人もいまだにいるからね。
============================
LT
■NTTにおけるCSIRT活動の紹介 セキュアプラットフォーム研究所 森廣さん
CSIRTについて
インシデントへの取り組みスタンス
取組しててもインシデント起きる→インシデント起きるの前提で活動する組織が必要
・脆弱性情報の共有 ↘
・攻撃検知 →防止
・被害発生 ↗
各CERTで情報共有 どこがトップというものではない
CERTの業務
・事前対応...情報共有
・事後対応...脆弱性ハンドリングやフォレンジック
・セキュリティ品質向上
http://www.ntt-cert.org/
http://www.nca.gr.jp/
■デスクトップ仮想化におけるウィルス対策 トレンドマイクロ 上田将司さん
VDI環境特有の課題
・一般的には各PCにウィルス対策を導入
・デスクトップ仮想化ではホストのリソースを共有しリモートアクセス
→ 一つ一つのリソース負荷が全体に影響する
1.ホストへの負荷
同時にウィルス検索、同時にパターンファイルDL
2.運用管理(運用負荷)
VDIテンプレート内のマスタイメージに含まれるパターンフルサイズの更新作業が定期的に必要
↓
検索同時実行をずらす、パターンファイル更新時間をずらす、共通領域を検索対象から外し対応
回避策
・ウィルスバスターコーポレートエディション(VDIオプション)による自動化
・DeepSecurityによるエージェントレス型ウィルス対策(仮装アプライアンス)
まとめ
・デスクトップ仮想化においてウィルス対策は環境特有の課題が存在
・課題を回避するための方法、仕組みを実装した製品を使用
■システムインフラ/運用基盤強化のためのフルサポートデータセンター活用 関電システムソリューションズ
事業説明
・首都圏で東京と大阪両方にバックアップを取りたい会社に
・電力会社のデータセンターなので停電にはならない!と思ってほしい
・電力会社なので高速データ回線を持ってる
・切替訓練も年4回程度実施
第四センターの建設を手掛け中
データセンター | データセンターなら関電システムソリューションズ
■VersusKeyword Microsoft 香山さん
ベン図を使用して重なってるところが大事という話
いかに相反することをバランスさせるか
セキュリティと生産性・利便性
セキュリティ原則:知識分離・二重管理
↕ この部分 →セキュリティ原則と生産性原則を両立させることが現実のビジネスに要求される
生産性原則:情報共有・一元管理
共通の部分を見つけがんばれる人が情報セキュリティのプロフェッショナル
戦略⇔戦術
一般的には戦略が乏しい場合が多い、戦略だけだと机上の空論で実践が伴わない
実行力...しがらみを断ち切り大胆に挑戦
マネージャ⇔リーダ
競争のある分野はリーダ必須、マネージャはどんな古い産業にも存在
全体を管理することも大事だがリーダもいないと進まない
チーム⇔グループ
目標が一致している=チーム 最下位が決まったチームはチームプレーせず個人記録に走る
野球が上手な人の集まり=グループ
見込み生産⇔受注産業
顧客変動VS固変
革新的VS保守的
トランザクション型VSソリューション型
サラリーマン偏差値⇔ビジネスマン偏差値
組織の一員として上司を見て仕事
マーケットの一員として世の中を見て仕事
組織の一員である以上は決裁してもらわないといけないので両方必要
スキル⇔タレント
技術的根拠のあるタレントが必要
スキルだけ高くてもビジネスに生かせない
スキルフルな人がタレント性があるとは限らない バランスがいいことが大事
知識⇔知恵
知恵者も知識を持っているほうが引出が多い
元ラグビー日本代表 宿澤広朗氏の講演キーワード
・勝負は70%戦力で決まる 残りが戦略、戦術、情報、チームワーク
・戦略は大胆に戦術は緻密に
・オリジナリティが大事
・網羅的は無理 何をして何をしないか
・良いリーダとは強気と慎重さのバランスを持つkと
他人に負けない自信のあるものを複数持つことが大事
→ 情報セキュリティをする人はそれだけでなくいろいろな知識を持つことで良い提案をできる人になる
宿澤広朗 - Wikipedia に発言集があるので後で読む。