第6回 セキュリティ共有勉強会 レポート

こんにちは、ひろかずです。
今日は、第6回 セキュリティ共有勉強会 にお邪魔したので、一筆書きます。

開場は、渋谷道玄坂の21cafeでした。
思わず仕事したくなるような素敵空間です。
渋谷に行ったらここで仕事しよう。

セキュリティ共有勉強会は、専門家（セキュリティ担当者）に丸投げするだけでは確保できない、
社内セキュリティを確保するための知見や資料、ノウハウの共有を目的としているとのことです。

#お品書き
どこまでリテラシーを求めるべきか？
リテラシーとインシデント事例
充電の際に気をつけたいと思ったこと
効果的な社内セキュリティ啓蒙
お悩み相談

#どこまでリテラシーを求めるべきか？
周囲のリテラシーが低いと思うことはあるでしょうが、何を理解してほしいか明確になっているか？

• 基準が分からない要求は扱いに困る

テーマ：必要最低限知ってほしいこと
答え：安全地帯は「ない」ということ

リテラシーとは？

• 本来「識字率」と同じ意味で用いられている言葉。

セキュリティの分野は広くて深い（一舐めするだけでも大変）

• 最低限の資格はいろいろあるけど、全社員が取るのは非現実的

エンドユーザーからよく聞く10の言い訳

• https://japan.zdnet.com/article/35037858/
• 突き詰めると「自分には関係がない」

最も重要なことは？

• ITセキュリティに絶対の安全地帯なんてものはない！
• その意識と理解が一番大事

エンジニアはカギを取り付ける。
皆さんは、カギを閉めて帰る（くらい心がけてください＞＜）

• オートロックはできるけど、お金がかかることは理解して＞＜

誰しも備えが必要なら「自分にも関係ある」ということ。

だが、経営陣はちょっと違う

• セキュリティ対策の責務の判例
• http://blog.tokumaru.org/2015/01/sql.html
• 最低限の責務は果たさないといけない（セキュリティ対策は実施して当然という判例）

サイバーセキュリティ経営ガイドライン（３原則）

• 経営者がリーダーシップを取る
• パートナーや委託先も対策する
• 平時から備える

もはや、知らなかったでは済まされない。

#リテラシーとインシデント事例
hiroさん

情報リテラシーと情報モラル(ごっちゃになってない？)

• 情報リテラシー：活用して事故の目的に適合するように管理/活用する能力（情強的要素）
• 情報モラル：情報社会を生きぬき，健全に発展させていく上で，すべての国民が身につけておくべき考え方や態度

不正のトライアングル、不正の三要素

• 動機（ギャフンと言わせる）
• 機会（いつでもやれる）
• 正当化（盗んではいない、借りただけ）

セキュリティインシデント事例（情報モラル欠如）

• ベネッセ
• ランサム作成
• Twitterログイン画面フィッシング

セキュリティインシデント事例（情報リテラシー不足）

• GMO(パッチ適用遅れ)

サイバーリスクとは

• 情報漏えい（外部からの不正アクセス）
• 事業阻害（データ消すとか）
• 風評（SNSデマ）
• 賠償責任（SLA）

一つの被害が連鎖的に波及することも。

リスクへの対応

• 低減（発生確率を下げるような措置）
• 保有（対策しない）
• 回避（ネットワーク分離）
• 移転（保険やSaaSの利用、委託）

インシデント発生による損害額
GMO-PG

• 40万件のクレジットカード
• 被害額は2億超
• 保険で1億超を充当
• 被害額は1億に圧縮

韓国のホスティング企業NAYANA

• ４億５千万の要求を交渉で1億５千万に減額
• 3900万円しか払えず、株式を担保に資金調達（結果倒産）

内部統制に因る対応（リスクの低減）

• 職務分掌による相互牽制
• 監視カメラ
• 端末操作のログ管理
• 経営者自身や共犯者等、限界がある

まとめ

• 情報資産の洗い出しとリスクを把握
• 不正の三要素を理解してリスクの低減
• 保険
• 教育
• ログを取るだけでも違う

#充電の際に気をつけたいと思ったこと
opqさん

壁から出ている充電用USBポートの向こう側に何か仕掛けがあったら？？？
Androidのケースで考える
コンセントの先にラズパイ→3G通信で簡単に達成

• 端末をマウント
• データ保管(SDカード)
• Webサーバ化(からの読み出し)

レシピ

• jmtpfs
• rsync
• python -m SimpleHTTPServer

緩和策

• 自分のUSB充電アダプタ
• 充電専用ケーブル
• 記憶領域の暗号化

制約（攻撃者目線）

• 長いことマウントしてられなさそう
• 電源が入っていて、ロックがハズレていることが条件

##QA
記憶領域の暗号化って大変じゃない？

• 設定-セキュリティからできる。
• 古い端末やレスポンス優先でOFFしてる場合もありそう。
• 開発者向けオプションで、充電Onlyモードがある。

#効果的な社内セキュリティ啓蒙
hiro4848さん

結局のところセキュリティは...

• 悪い人が居なければ、ただのオーバーヘッド
• セキュリティそのものはお金を産まない
• ECサイトはPCIDSSに準拠必須
• 攻撃者は、無数の対象に対して、一度成功すればいい（攻撃対象は、NOT 専門家）

セキュリティの底上げを図ろう

• 楽しいイベント（エンジニア向けには社内CTFとか）
• 正しいハッキングで現状の確認（マネジメントチームの了解を得て、Red Teaming/ペネトレからの実演/デモやビデオを経営陣にプレゼン）
• 一般ユーザ向けにはマネジメント越しにセキュリティ啓蒙メッセージ(セキュリティエンジニアの言うことより、上司の指示が効く)

社内CTF

• SECCONの過去問題
• GitHubには例題や過去問がたくさん
• コストが許せば、セキュリティチームが作る

正しいハッキングで状態確認

• プレゼン
• Targetの事例(レジ機器のWindowsXPにマルウェア感染からの、決済情報を外部送信)
• Windowsが居るネットワークは感染しているものと見做して、データを取り回す。

ペネトレ/Red Teaming

• 一般ユーザをフィッシング
• 社内ネットワークに外から侵入
• Metasploit等を用いて、社内ネットワークを横断、データの一部を採取
• Domain Adminに属するユーザアカウントを乗っ取り(BloodHound等で、AD設定の穴を洗って、Domain Adminを奪取)

#お悩み相談室
##リテラシー低くて困った話
Windows Updateが長期間かからない端末がある

• そんな環境ある？（コケる、アプリが阻害する場合がそうなることがある）
• どうする？（ネットワーク隔離？医療用はUpdateできないケースもある。フロッピーが現役の現場も。）

難易度を高い社員教育を実施したくてもできない

• レベルに応じた、各層の関心を呼ぶネタの提供

##制度化しても機能しない
規定が多くて、把握しきれず、業務が回らなくなる（担当者退職で「死」）

• 規定から、ToDoへの落とし込み（Wiki化）

e-Lerningを行っているが形骸化しているように感じる...

• 達成した人が答えをバラしてしまう。
• 動画を全部見ないと、合格フラグが立たないようにしたけど、効果はよくわからなかった。
• 長い動画閲覧は、キツイ。グループ閲覧はなら、なんとか乗り切れる。
• 派遣さんは、すぐに居なくなってしまう。教育時間にも、お時給がかかってしまう。
• 効果測定をやっていない。浸透していない人に深掘りしていくアプローチが重要。

##利用サービスの管理ができない
未実績のソフト、未導入のソフトの安全性確保

• オープンソースは、メンテナンス間隔や携わっている人の数、issueの処理状況をみる

##そのほか
セキュリティ勉強の優先順位

• 興味じゃね？資格とか？
• 入り口としては、qiitaでキーワードを検索して、なんとなく読む

#おわりに
話は尽きず、盛り上がったまま終了しました。
熱量が高く、活発な素晴らしい会でした！

今日はここまでです。
お疲れ様でした。