第30回山陰ITPro勉強会 参加レポート

• ハッシュタグ #sitw30
• 2015/04/23 松江オープンソースラボ

---

メインセッション1: 最近のセキュリティの色々 まっちゃだいふく さん

• 最近は情報セキュリティ教育のお手伝いをしたり
  • お手伝い時の新人CTFの問題がこちら
    • 筆者は会場で15分挑むも解けず、帰宅後に+15分で解けました
• 昨今のセキュリティ
  • 不正送金事案
    • メガバンク->地銀->企業と標的が推移してきている
    • メガバンクの対策が強化され標的が地銀に移り、地銀の対策が…という仕組み
  • 標的型攻撃
    • ランサムウェアで身代金要求
• セキュリティ情報
  • piyolog(twitter)が時系列などもまとまってておすすめ

メインセッション2: CSIRTとは 橘喜胤 さん

• コンピュータセキュリティにかかるインシデントに対処するための組織の総称
• OKIにOKI-CSIRTを立ち上げる
• 日本シーサート協議会
  • 活動内容は情報共有やWGなど
  • チーム数は現在135
    • 数年前は年に10チーム増えるかどうかだったが、近年は月に10チーム増えることも
  • 加入の仕方
    • ISMSのように何か基準があるわけではない
    • 名乗るだけでOK
• CSIRTは小さく立ち上げて大きくしていくのがベター
  • 完璧にしようとすると回らなくなる
• CSIRT奮闘記
• CSIRTの歴史や実際のトラブル時の処理事例も紹介
  • メールを受け取った人の、おおよそ1%の人が、OS等が出す数々の警告を無視して感染する
    • 感染者曰く「怪しいとは思ったんですよねー！でも開いた」

メインセッション3: ここだけは押さえておきたいIoTセキュリティ 渥美清隆 さん

• IoTは機能の話題に集中しやすい
  • セーフティ/セキュリティの話が実現の妨げになることもある
    • 見なかったことに…(隠ぺい・セキュリティ軽視)
• 問題となった事例
  • 運転の様子を記録するためのドングルで、車が操作できてしまう話
• 大事なこと
  • リスク評価ステージを作る
    • 企画中にリスク評価までは難しい
  • リスク評価がNGだったら企画にNOを突き付ける
    • 2,3回企画をやり直したら大概収束するはず
  • セキュリティの問題解決を現場だけで行なうのはNG
    • 設計者にできることは城壁を高くすることだけだが、経営者は他の選択肢も取れる
• どう守るか
  • 城壁を高くする
    • 最新(アップデートした)環境で
    • 不要なものはいれない
    • 作らない(内製しない)
• 起きてしまった場合は
  • 侵害発生前の準備
  • 侵害検知方法の検討
  • どんな侵害が起こるか考える
  • 被害を最小限にする手順を考える
  • 保険加入
    • 例：ドローン<-不具合がなくても落ちる

サブセッション: SITW 30回のふりかえり あみだく さん

• あみだくさんが、まっちゃだいふくさんにやろうと誘われたのがきっかけ
• 序盤はスタッフで発表者を回していた
  • 月1ペースだったのでしんどくなってきた
  • ペース落としたのと同時に講師の方を招くように
• 山陰ITプロテイン協会
• 気がつけば他にも色んな勉強会が立ち上がる
• まっちゃだいふくさんご多忙のため、スタッフ卒業