まっちゃ139勉強会に参加してきたよ

セキュリティ

この記事は blog.polyomino.jp で掲載していた内容のコピーです.

2017年4月23日に行われたまっちゃ139勉強会に参加してきました.

今回の勉強会では『プロが教える情報セキュリティの鉄則ーー守り・防ぐ・戦う科学』を執筆された日本マイクロソフトの香山さんのお話がありました.

お話の内容は Active Directory や 情報セキュリティ についてでした.

香山さんは,初めに Active Directory について知っていいるのか会場全体に投げかけられました.参加者の80%程度が既に知っているという状況でした.

ここで私は,「もしかして,参加したらまずかったのでは?」と思いました.しかし,「そもそも Active Directory とは?」というところから始まり,Active Directory を知らない(使わない)人にも役立つ話もあったので,参加して良かったという感じです.

ではここからは内容 (発表の内容と後で調べた内容を混ぜて書いているから執筆の過程で間違いがあるかも)

Active Directory とは?

Active Directory (アクティブディレクトリ) とはマイクロソフトによって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称である。(Wikipediaより)

香山さんは Why What How で整理して説明されていました.

Active Directory を Why What How で整理

  • Why ビジネス上の目標
    • 組織の情報資産を安全に共有し生産性を高めたい,そのために適切なアクセス制御をしたい
  • What 実現内容(テーマ)
    • 社員(あるいは職員,メンバー)であることを確認すること
  • How 実施方法(やり方)
    • 組織内のユーザーを一元的にディレクトリに登録し,ユーザーIDと本人しか知らない・持たない情報をもとに本人を確認し,その人の権限・役割に応じて情報にアクセスできるようにする
    • クライアント端末の構成は組織のルールが徹底できるようにする.

(以上香山さんのスライドから引用)

電話で例えるならこんな感じ.今まで電話帳をそれぞれの電話で管理していたけど,新しいメンバーが追加されたらすべての電話に追加しないといけない.もし,電話の親機が一つで その他は子機ならば,電話帳一つで管理できるよね.もし新しいメンバーが追加されても,その電話帳に一つユーザーを追加すれば簡単にできる.
という具合です.

大雑把にいうと「ユーザーの管理をまとめてしてしまおう」っていう感じです.

Active Directoryを使うと何が良いのか

Active Directory に参加するためには,各パソコンでドメイン参加処理が必要です.そのため,ドメイン参加していないパソコン(持ち込みPCなど)を見分けることができます.

また,アカウントの管理も容易にすることができます.Wi-Fi のパスワードによって,アクセスの許可/拒否などをしている場合,退職した社員がそのネットワークにアクセスする可能性もあります.Active Directoryによって管理していれば,退職した社員の管理も容易です.

ここからはセキュリティの話

情報セキュリティとは

情報セキュリティとは,「機密性」「完全性」「可用性」のことです. - 機密性(Confidential)
許可されていない人に情報を公開しない - 完全性(Integrity)
情報の正確さ及び完全さを保護する - 可用性(Availability)
許可されている人が要求したときにアクセス及び利用が可能

もととなった英単語の意味も知っておきましょうとのこと. - Confidential
〈人が〉信任の厚い,腹心の. - Integrity
高潔,誠実,清廉.

(weblioより)

多くの会社は,セキュリティの対策として,入り口対策(侵入されないようにする)と出口対策(万が一侵入されても情報が漏洩しないようにする)という対策を取っているそうです.言い換えると,入り口でも出口でもない領域は見過ごされる傾向があります.

当然,内部で感染が拡大しないようにする対策も重要です.

メールについて

近年,メールの誤送信が度々話題になります.

これを防ぐ方法として次のような方法があります. - 送信の遅延設定をする. - 添付ファイルをやめる.

Outlookでは,"配信時間の指定"という設定ができるそうです.これは,送信ボタンを押したタイミングでは送信されず,その指定時間後に送信されるというものです.多くの場合,送信直後に気づくので,この設定をしていると安心です.

添付ファイルをやめるというのは,代わりにクラウドを用いるという意味です.添付ファイルの場合,送信後に気づいても削除することができません.一方,クラウドを用いると 送信後公開してはいけないファイルだと気づいた場合,クラウドから削除することによって被害を最小限におさることができます.

多層防御という考え方

一つ防御に頼るのではなく,いくつもの防御を準備しておく方が望ましいです.

宮城県女川町の街づくりに見る多層防御

巨大な防波堤 vs 街全体の構造設計

巨大な防波堤を作る案 と 漁港施設,公園,市街地(商業地),居住地というように段々と標高が高くなるようにするという案が出ていたそうです.

次回どの程度の津波が来るのかわからないため,どれぐらい巨大な防波堤を作ると完全に防ぐことができるのかわかりません.一方,街全体として津波に強い設計にすると「粘り強い」構造となります.

情報セキュリティに置き換えて考えてみます.一つの(大きな)防御に頼りっきりとなると,その壁が突破されると甚大な被害になります.

何を守るのか,何が一番重要なのかを考え,全体としてそれを守る設計をすることでより強いセキュリティを作り出すことができます.

意外に使われていないセキュリティ機能

自分が少し退席した間にパソコンを操作される可能性があります.重要な情報を盗み見られるかもしれないし,罠が仕掛けられるかもしれません.これを防ぐためには,スクリーンロックという方法があります.

Windowsキー と L キー を同時に押すことでスクリーンロックをすることができます.

まとめ

ここまで様々な話を聞いてきた私ですが,まとめでなるほどなと思ったことをおっしゃっていたので,引用させていただきます.

  • セキュリティの事故の事例は科学的にアプローチするための検証材料であり,もぐらたたき的な対策のための材料にしてはいけない
    • 禁止を中心とした対策は,根本原因に向き合っていない可能性が高く特に注意が必要

とある攻撃が行われて その対策が必要となったとき,その攻撃に対する対策のみで完璧というわけではありません.次に同じ攻撃が来るとは限りません.そのため,その攻撃から次どのような方法を用いて来るのか攻撃者の立場になって考え,攻撃を受けても問題が無いようにしていく必要があると感じました.

お礼

学生の交通費として皆様にカンパをいただきました.ありがとうございます.

関西サイバーセキュリティLT大会(第2回)に参加してきたよ!

セキュリティ

この記事は blog.polyomino.jp で掲載していた内容のコピーです.

リスクとの向き合い方 / CTC伊藤優子さん

日常に潜むリスクとの向き合い方について解説されていました.

まず,価値工学の概念(バリューエンジニアリング)について紹介されていました.

{V = \frac{F}{C}}

  • V(value) : 価値
  • F(function) : 機能
  • C(Cost) : コスト

というものです. この考え方はセキュリティにも当てはめることができます.

リスクとは,「不確かさの影響」です.

そのリスクに備えるためには判断するための情報に触れる機会を増やす必要があります.

OODAという考え方

OODAとは,

  • Observe 観察
  • Orient 情勢判断
  • Decide 意思決定
  • Act 行動

頭文字を取ったものです. PDCAは計画通りの実行・見直しを行います.計画取りのことを実行することを目的としているため,突然のインシデントが発生したときに対処することが出来ません.

一生回してろ

ODDAは「Observe(観察)」が含まれているため,その時々の状況に合わせて柔軟に対応することができます.

観察するためには

  • Chromeのブックマーク

    1. Chromeに情報サイトのブックマークを保存
    2. 右クリックで「全てのブックマークを開く」
    3. 読んだらタブを消す
      • 不祥事.com

  • PodCast

    • security now
    • SANS

セキュリティの脅威は国内だけでなく,海外にもあるので海外の情報も収集する必要があります.

セキュリティ関連全ての情報を収集するのは現実的ではないです.なので,

  • 共助
  • 公助
  • 自助
  • 互助

していきましょう.LT大会などに参加することは,共助,公助,自助,互助の一つです.積極的に参加していきましょう.

関西のセキュリティを盛り上げていこう! / seraphさん

登録セキュリティスペシャリストを 自腹で 取られたseraphさんの話でした.

関西でセキュリティ勉強会が少ないため,seraphさんは「tktkセキュリティ勉強会」というものを作られました.

この勉強会では,自己紹介タイムやお菓子タイムがあり,さらに前回は”セキュ狼”をされたようでとても楽しそうな勉強会というイメージを持ちました.

こちらの勉強会は高槻で開催されており,LT募集中(2017年4月13日現在)なので,ぜひ参加されてみてはどうでしょうか.

tktkセキュリティ勉強会

東京2020オリンピック・パラリンピックとセキュリティ / NECネクサソリューションズ中西克彦さん

2020年に控えたオリンピックに向けて準備されているお話でした.

2012年に開催されたロンドンオリンピックでは,2億件以上のサイバー攻撃が行われたりしました.

リオ市のウェブサイトにおいて,普段ほとんどアクセスされないのに,オリンピックの期間中は攻撃などが多々あったようです.

東京オリンピックでも,サイバー攻撃が行われる可能性があり攻撃を防ぐ必要があります.

台湾2020東京ホームページというウェブサイトが出来ているようです.このような活動が活発になると某国からの攻撃が増加する可能性があるため,いろいろな情報収集が重要になってきます.

(裏話のようなものが多かったので,どのあたりまで書いていいかわからないのでこのあたりにしておきます.)

ひるね姫を見に行ったよ!

この記事は blog.polyomino.jp で掲載していた内容のコピーです.

投稿者: fractal | 2017年3月21日 0件のコメント 今 話題(?) になっている “ひるね姫“という映画を見てきました。

あらすじはこんな感じです。

突然父親が警察に逮捕され東京に連行される。 謎を解決しようと、おさななじみの大学生を連れて東京に向かう。 彼女はいつも自分が見ている夢にこそ、事態を解決する鍵があることに気づく。

(公式ウェブサイトより一部抜粋)

夢と現実がリンクしている感じがとても気持ちがよかったです。 映画を見ていくにつれて今まで見てきた夢がどのようなことを意味していたのかがはっきりしてきます。 夢の世界での、”魔法”や”行動”が現実世界での何に当たるのかを推測するという点が個人的に好きです。 日本の「ものづくり」に関する考え方や、「組織」や「会社」というものが一体どのようなものなのかという基礎知識があるとより楽しめる映画になります。

ちょっと疑問に思ったところがあるけど、それはアニメ映画の都合と考えれば問題ありません。

2回目に見ると、また違った視点から物語を楽しむことができる映画だと思います。

WordPressでブログを作ってみたよ!

この記事は blog.polyomino.jp で掲載していた内容のコピーです.

投稿者: fractal | 2017年2月28日 0件のコメント 本日、ブログの開設を行いました。

きっかけは セキュリティ・ミニキャンプ in 近畿 2017(京都)での辻さん(@ntsuji)のお話。

0x02. セキュリティって仕事

大切なこと

「知っている」 と 「分かる」 は違う 「分かる」 と 「できる」 も違う 「できる」 と 「やる」 も違う 「できる」 と 「伝える」 も違う 「伝える」 と 「伝わる」 も違う

ということをおっしゃっていました。

この話を聞いて、自分も「できる」ことがあるなら次は「やる」段階だなと感じました。 そして、このブログ作成に至りました。

私が「できる」ことは、サブドメインを作成してWordPressをインストールするということで、実際に「やる」ことができました。 次は、「できる」ことを「伝える」という段階です。

これから、自分の新しく得た知識などをこのブログを通じて「伝える」そして「伝わる」ことができるように努力していきます。