2016年3月2日

2016年3月2日

2016年3月2日(水)

「私はコレで会社を辞め(させられ)ました」でいいの?

 内閣サイバーセキュリティセンター 情報統括グループ
 参事官補佐 川口 洋

 
 コラムをお読みいただきありがとうございます。このタイトルを見て約30年前のテレビコマーシャルを思い浮かべた方は私より年上の方だと思います(笑)。
 
 つい先日、ある中小企業の(非IT)エンジニアの仕事用パソコンを見る機会がありました。セキュリティ担当はおろかIT担当者もいないであろう会社なので、ウイルス感染しててもおかしくないだろうなと思ってみたところ、予想通り残念な結果となっていました。
 

  •  パソコンに設定されたパスワードが弱い
  •  業務用端末なのにゲームソフトがインストールされている
  •  ゲーム関連機器を使用するためのフリーソフトをインストールするときにまがいもののセキュリティ対策ソフトをインストールしてしまっている
  •  ウイルス対策ソフトがまともに動いていない
  •  使用している本人に自覚がない

 
川口「このソフトなんで入っているんですか?」
あるエンジニア「あ、それね、ゲームがしたいと思って昨日入れたんです。」
川口「へー。このゲーム面白いですもんね~。」
あるエンジニア「でしょ?でしょ!!」(テンションアゲアゲ!!)
川口「ところで、このパソコンは仕事用?」
あるエンジニア「そう。出張とかに持っていって使うやつ。」
川口「メールも・・・?」
あるエンジニア「あ、見れますよ。お客さんとこでメールを見れないと困るから」
川口「それ、会社、クビになりますよ」
あるエンジニア「え?なんで?なんで?みんなやってるけど、問題?」
川口「これ、ゲームは論外だし、ウイルスみたいなソフトもインストールされてるし、大問題です。お客さんの情報も入ってるんですよね。いつ情報が漏れてもおかしくないですよ!あちこち情報が漏れて大ごとになってるの知らないんですか?」
あるエンジニア「え。そんなに漏れるもの?」
川口「漏れまくって世間が大騒ぎになってますよ。このフォルダの取引会社とか最近情報管理が厳しいはずだけど。しかも、ゲームをしていて漏れましたってなったら、弁解の余地がないやつですよ。もし漏れたらあなたのクビだけじゃなくて、上司と役員くらいのクビは飛びますよ。お客さんの部長さんまで処分を受けるかもなあ。来年、お子さん生まれるんですよね?お父さん、無職になったって聞いたら奥様とお子さんもショックだろうなあ。(以下、クドクド。。。)」
あるエンジニア「まじか・・・。どうしたらいいですか」(意気消沈)
 
 正直なところ、中小企業にウイルス対策を含むセキュリティ対策を大企業や官公庁と同じレベルで求めることは難しいなと思っています。ウイルスに感染してしまうのも想定しておかなければならないでしょう。ただ、業務用パソコンに業務外のソフトを勝手にインストールしてウイルスに感染したとなってしまえば、それはもう個人の責任になってしまいます。取引先の情報がそのような原因で漏れてしまえば、ウイルスに感染した担当者だけではなく、その上司や取引先の担当者まで処分が下される可能性があります。そして処分が下された担当者の家族にもその影響は及びます。何気ない「業務外利用」がその周りのいる人の人生を大きく狂わせることになります。
 
 中小企業の経営者は従業員に対して「業務用のパソコンでは業務外利用はしない」ように注意をしていただきたい。また、従業員は「業務外利用をしない」ことは会社や取引先の情報を守るという意味だけではなく、その個人やその家族の人生を守るために必要なことだと理解していただきたい。
 
 「私は、コレ(会社のパソコンでゲームをやって)で、会社を辞め(させられ)ました」
 
 ということが無いように気を付けていただきたいものです。高度なセキュリティ対策の前に、基本的なことをこの機会に今一度確認していただけたら幸いです。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

2016年3月2日(水)

CTFを始めたきっかけと、2年間CTFに取り組んで見えてきたこと

日本電気株式会社 サイバーセキュリティ戦略本部
主任 木津 由也

 
 CTF(Capture The Flag)というのは世界各地で行われているセキュリティの競技会のことです。参加無料で、年齢制限もなく、どこからでも自由に参加できるということもあり、見つけた大会にエントリし、CTFを楽しんできました。2年間ほど続けてみて感じていることを少し書いてみたいと思います。
 
■CTFを始めたきっかけ
 私とCTFの出会いは、SECCON 2013 横浜大会(予選)でした。ちょっと見学だけのつもりでしたが、事前登録なしでも出場可という話を聞いて、思い切って出場してみました。SQLインジェクションチャレンジなどに出てみたのですが、全く歯が立たず、大変悔しい思いをしました。次回「悔しい」思いをしないようにと、インターネット上にあるCTF練習サイトで問題を解いているうちに、CTFの面白さに取りつかれ、半年後には世界各地で開催されているオンラインの大会に没頭するようになっていました。
 
■CTFの魅力とは
 ちょっと知的な大人の宝探しゲームといった感覚で楽しく取り組めること、次第に新しい知識・技術が身に付いていき、今まで見えなかったゴールまでの道筋が見えてくる感覚、苦労を乗り越えてリモートからシステムの制御権を取得しフラグまで辿り着くことができた時の感動など、色々な面を持つCTFの奥深さに魅せられて、私はCTFの深みにはまっていきました。
 
 人それぞれとは思いますが、次のようなメリットもあります。
・ 専門以外の技術に興味がわく
 今まで深掘りしてこなかった暗号関連の技術を学習するよいきっかけになりました。
・ 人脈が拡がる
  CTFを通して多くの方と知り合うことができ、仕事での活動範囲が大きく拡がりました。 私は口下手ですが、色々な場面で話題に困るということが減りました。
・ 様々な技術に触れることで視野が拡がり、新しいアイデアの閃きにつながる
  今まで見えなかった課題に気づけるようになり、面白いアイデアを出せるようになってきました。
・ 世界のエンジニアと切磋琢磨できる
  世界大会に参加しているチームの数は、2013年で3515チーム、2014年で6209チーム 、2015年で8535チームと毎年2000チーム以上のペースで増加しています。世界トップクラスのチームに何度でも挑戦可能です。英語を学ぶよいきっかけにもなりました。
 
 色々書きましたが、最大の魅力は「セキュリティについて楽しく学べる」ことと思っています。
 
■どんな問題がでて、どう学習したらよいのか
 集計した2015年のCTF世界戦(約1000問)のカテゴリ別出題比率の上位は、以下の通りです。

カテゴリ 出題比率
Pwnables (*1) 18.4% (2014年 17.6%)
Reversing (*2) 18.0% (2014年 17.4%)
暗号 (*3) 16.6% (2014年 12.8%)
Web (*4) 14.6% (2014年 16.2%)
 
*1 システムの脆弱性をついてリモート端末の制御権を奪取しフラグを得る問題
*2 実行形式のファイルを解析してフラグを得る問題
*3 暗号を解読してフラグを得る問題
*4 Webシステムの脆弱性をついてフラグを得る問題
 
 興味のある分野を掘り下げるのが一番ですが、点を稼ぎたい場合は出題数の多い上位4カテゴリについてもチーム内で分担して深掘りし、答えのある過去問を中心に勉強していくのがよいと考えています。各地で開催されているCTF関連の勉強会などに出てみるのも有効と思います。
 
  過去問は以下などから辿ることができます。
   https://github.com/ctfs/
 
■今後について
  ここ1、2年サイバー攻撃の技術は急速に進歩しており、セキュリティの教科書や参考書レベルの知識では、実戦で役に立たなくなってきています。常に最新の技術を追いかけていく必要があります。最新の実践的な技術に触れることができるという面でCTFはとても有効と考えています。現行のCTFを仕事で活かせる内容にしていくのは、少し工夫が必要かもしれませんが、今後企業でも、CTFを人材の発掘や育成に活用する動きが活発になってくると考えています。CTFの魅力のところで記載しました通り、CTFで得られた経験は様々な場面で活きてきます。特にこれからセキュリティの技術者になりたいと思っている方々には、得られるメリットが多いと考えます。時間確保は大変ですが、是非CTFにも挑戦していっていただきたいと思っています。
  今まではあまり動けていませんでしたが、今後は各地で開催されているCTFのイベントや勉強会に可能な限り参加し、writeupの公開(CTF競技後に他チームへ解法を公開すること)なども行いCTFを盛り上げていきたいと思っています。色々な大会やイベントで皆様とお話できるのを楽しみにしています。
 
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。