2016年2月22日
2016年2月22日
2016年2月22日(月)
心技体を鍛えるサイバー防衛競技会のススメ
富士ゼロックス株式会社 新規事業開発部
筒井 淳平
みなさん、突然ですが防災の備えは万全ですか?
私は先日、自宅周辺が海抜1mだということを知り、家族でハザードマップを確認しました。離れ離れになった場合の集合場所を決め、食料や飲料もある程度の量を常時確保できるようできるだけ心がけています。避難経路についても実際に歩いてみることが重要です。三陸沖地震をきっかけに、避難訓練に高台まで走ることを導入した地域もあると聞きます。
サイバーセキュリティでも大切なことは変わりません。普段からどれだけ準備ができているか、現場でどれだけ体が動くかが明暗を分けるため、訓練が必要です。しかし、企業で提供しているようなシステムへのサイバー攻撃に対する、本格的な防災訓練が実施できるかというと、なかなか難しいのではないでしょうか。
過去のセキュリティ月間のコラムでも何度か紹介されていますが、”Hardening Project”という、「システム、ひいてはビジネスをサイバー攻撃から守る力」を競う競技イベントがあります。私自身も過去2回参加しており、このイベントがサイバー防衛における心技体を鍛える訓練として非常に有用だと感じています。
この競技で鍛えられる”技”とは、ITスキルだけのことではありません。システムのみならずビジネスを守るためには、攻撃を受けてしまった場合のマネジメント力や顧客対応力など、組織としての総合的なスキルと知識が必要となります。競技ではこの部分が勝敗の大きなカギとなるため、参加準備から競技当日までを通して、”技”の鍛錬やその動機付けに大きな効果があります。
一方で参加してこそ鍛えられるのが、”体”です。これはまさに身をもってサイバー攻撃を体験することです。日頃のニュースやWebサイトなどで、サイバー事件、脆弱性の情報を目にはするものの、ともすれば対岸の火事のように受け止めてしまいがちです。「あの脆弱性がこんな風に影響するのか」「あのニュースと同じ情報漏洩はこんなに簡単に起きてしまうのか」と、セキュリティインシデントをリアルに感じ、その対応までを経験することで、実際に動ける”体”を鍛えることができるでしょう。
最後に、”心”の部分は様々な観点から鍛えられると思いますが、その一つは、実行委員や参加者の方々と交流することが、高い意識を持つ良い刺激となることです。競技におけるルールや攻撃手法は、第一線のセキュリティ専門家たちが現実世界を模して用意したものであるため、これを体験することで専門家のマインドセットを知り、自身に取り込むことができます。また、競技中は非常に苦しい思いをする場合があるので、折れない心を鍛えることもできるかもしれません。
Hardening Projectについてはインターネット上に多くの情報がありますので、興味のある方はぜひそちらもご覧ください。前述の通り、このイベントはITスキルだけを競うものではありませんので、たとえあなたがIT技術者でなくても、参加に尻込みをする必要はありません。次回の参加者はこのコラムを読んでしまうほど意識の高いあなたです!
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月22日(月)
実施すべきこと、まず出来ること
トレンドマイクロ株式会社
萩原 健太
昨年の6月以降、顕著に表面化した標的型攻撃によって、サイバーセキュリティの意識は高まり、組織的にはCSIRTや、技術的にはサンドボックスや振る舞い検知、SDNやSIEMなど、サイバーセキュリティ対策の検討が加速している。
いつの間にか、私達は新しい対策の検討を進めているが、新たな対策を行う前に、まず実施すべきこと、まだ出来ることがある。
場合によっては投資をしなくても出来る対策があり、例えば、国内の標的型攻撃における侵入口のほとんどは「メール」であるため、メール添付によるファイル交換を無くせば、現状の標的型攻撃の対策としては効果の高いものになる。
―標的型攻撃は新しい対策をしなければならない― という考えは必ずしも正しくは無い。また、もしメールでのやり取りを無くすことが出来ないのであれば、フリーメールでのやり取りを無くすことによって、標的型などのメール侵入を防ぐことも出来る。
精度をさらに高めるのであれば、「フリーメール+添付ファイル」のメールを排除するなど、現状の標的型攻撃に関して言えば、まず高度な製品を導入するのではなく、実施すべきこと、出来ることが存在するのである。
急激な変化として、技術的な議論だけではなく、組織的な議論の中で「CSIRT」を構築しようとする動きがみられる。CSIRTを全ての組織で構築することは素晴らしいことであるが、構築することがゴールになっている組織も多いように感じる。
理想的かもしれないが、主たる目的はインシデントに対する組織的な対応能力の向上と維持であり、CSIRTは1つの形に過ぎない事を忘れてはならない。また最近ではCSIRT人材やそもそものセキュリティ人材の不足が叫ばれており、人材を確保出来なければ能力の向上も図りようがない現実がある。
ティーンエイジャーからの教育や啓蒙が重要なのは、サイバーセキュリティの分野も同じであり、早期に人材を発掘・育成していく必要がある。そのためには日本政府を中心とした待遇面も含めた適切な出口体制の確保や、企業にとってもメリットがあるような税制優遇策などの検討が必要であり、ユーザにおいても、政府においても実施すべきことは沢山ある。難しい対策や高度な対策を実施する前に、出来ることを実施し、少しでも日本全体のセキュリティレベルを向上させる必要がある。
※本文章には秘密が隠されている。発見され方は執筆者にご一報を。
(連絡先を知っている方に限定されますが...)
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。