トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

2016年3月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。3月は忙しかったこともあり、読み物は琴線に触れたもののみまとめました。

読み物

日付 記事 情報源
2016/03/01 組織全体のリスクを考えられる「セキュリティ人材」の育て方 @IT
【海外セキュリティ】 攻撃者の「実態」に関する調査/セキュリティ担当者にかかるプレッシャー INTERNET Watch
サイバー攻撃グループ、ターゲットを米国機関からアジアや日本のインフラに切り替えた? スラド
セキュリティ事故経験は7割? 数字でみるニッポン企業の現実 ITmedia
OS Xに感染するマルウェアがまた発見される!対策方法とは 小龍茶館
2016/03/02 Microsoft、Windows 10の「侵入後」セキュリティーツールを発表 TechCrunch Japan
SIMD命令実行時にMacBook Airから出る電磁波でメリーさんの羊を鳴らす強者登場 PC Watch
2016/03/03 「2日侵入を防げ」--サイバー攻撃者視点での調査結果:パロアルトネットワークス ZDNet Japan
2015年のネット不正送金被害は過去最悪に、対策未実施口座が7割も ITmedia
内部不正による情報漏えい、手段のトップはUSBメモリ ITmedia
CISO任命だけではすまない--侵入被害を受ける前提で求められる組織のあり方 ZDNet Japan
2016/03/04 記者の眼 - 組織的・長期的に狙われている、日本の民間企業 ITpro
第1回 いま一度ISMSとは?メリットとデメリット ITmedia
2016/03/07 インシデントレスポンスとは何か――自動車事故に置き換えて考える ITmedia
連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 スラド
「マイナンバーのPCはネットから分離せよ」は正しい? 間違ってる? ITmedia
2016/03/09 ソフトウェア脆弱性対策の効率化に向けて着手――IPAとSAMAC ITmedia
ニュース - 総務省が約236億円の補助金交付を決定、地方自治体のサイバー攻撃対策促す ITPro
2016/03/10 SIPサーバへの不審なアクセス、3年半で約6倍増に ITmedia
残念ながらタイポスクワッティング攻撃はいまだに健在 マカフィー
2016/03/11 第2回 ISMSの進め方(準備・計画~実施編) ITmedia
中小企業「踏み台」は大企業も想定外 露呈する人材不足…「まずは意識改革から」 産経WEST
2016/03/14 サイバー攻撃者は侵入から2年の間に何をしていたか――調査で分かること ITmedia
Webサイトに“安心”をプラス―知らないでは済まされないSSLサーバ証明書の仕組み 技術評論社
インターネットにおけるDDoS対策が難しい理由 @IT
2016/03/15 なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ @IT
【レポート】事後にこそ問われる、企業の真価-セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード ITSearch
2016/03/16 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法 @IT
日本語表示に対応したモバイル版ランサムウェアを初確認、既に国内でも被害 トレンドマイクロ
HTTPレスポンスのgzip圧縮による日時リーク : Torの秘匿ネットワークの秘匿性を脅かす仕様・実装について POSTD
サイバーセキュリティ職への若者の関心、日本は国際平均を下回る ZDNet Japan
大規模漏洩で経営層の意識が変わった サイバー攻撃対策にはITの知見が必須 ITPro
科学的手法でネット犯罪に対抗--サイバーセキュリティ大規模検証環境「DETER Project」 ZDNet Japan
2016/03/17 「正しいセキュリティ設計の考え方」入門 @IT
LenovoのスタートページがAnglerを配信 エフセキュア
2016/03/18 「パスワードの強制定期変更」は時代遅れ、企業に再考促す ITPro
セキュリティ・テクノロジー・マップ @IT
第3回 ISMSの進め方(運用と内部監査編) ITmedia
404応答にマルウェアへの命令を隠す攻撃手法を確認、ネットワーク監視で注意を ITmedia
暗号文のままで計算しよう - 準同型暗号入門 - SlideShare
2016/03/22 Google、バイナリ比較ツール「BinDiff」を無償提供 ITmedia
いまの日本のセキュリティに足りないのは「攻撃の研究」――新刊『ブラウザハック』で攻撃手段を学ぶ CodeZine
もしかしたら、手遅れかも…。インターネットセキュリティの専門家が語る「サイバー犯罪の今」 ギズモード・ジャパン
エクスプロイトキット最新動向分析:狙われる国、与える影響の大きさ トレンドマイクロ
2016/03/23 日本MSがActive Directoryへのサイバー攻撃を実演、会場から驚きの声上がる ITpro
セキュリティエキスパートたちが「最近気になっていること」 @IT
2016/03/24 通信パケットが残す攻撃の足跡 ツール使い被害を正しく分析 ITpro
すご腕バグハンターたちが報奨金制度運営者と本音トーク @IT
ホワイトハッカー集めて「サービスとしてのSOC」を--米セキュリティ最新事情 ZDNet Japan
警察庁、2015年にC&Cサーバ48台をテイクダウン Security NEXT
2016/03/28 「既存のセキュリティに嫌気」--分離技術でマルウェアを無害化するMenlo ZDNet Japan
ANAグループやJPCERT/CCが説くインシデントレスポンスの要諦 ITmedia
独法・特殊法人の情報システムを国が一括監視へ IT Leaders
学研まんが「サイバーセキュリティのひみつ」電子書籍版を無償公開 INTERNET Watch
2016/03/29 IoT時代に必要とされる「新型セキュリティエンジニア」とは @IT
もっと身近な“FinTech”のお話 ITmedia
ベネッセ流出、元SE実刑 ロイター
2016/03/30 スマートフォンゲームのチート事情 SlideShare
ANAシステム障害の原因判明、シスコ製スイッチの「世界初のバグ」でDBサーバーがダウン ITpro
インターポールの考える「サイバー犯罪撲滅策」 @IT
2016/03/31 MBRを上書きする新手のランサムウェア出現、PCが使用不能に ITmedia
【無料】あの『東京防災』が電子書籍化、Kindleストアなどで配布開始 大切な人を守るために必ずDL アプリオ
サイバーセキュリティー 人材育成の方針決定 NHK
無料でダウンロードできるIT技術系電子書籍(EPUB/PDF)一覧【2016年版】 Build Insider

JNSA「情報セキュリティポリシーサンプル改版」メモ

以前「情報セキュリティポリシーを書くときに使えそうな情報を集めてみた」という記事を書いたところ、コンスタントにアクセスがあって、需要があるんだなあと思ってたんですよ。

security.nekotricolor.com

で、そこで紹介したJNSAの「情報セキュリティポリシーサンプル0.92a版」、すごくいい資料なんですがいかんせん作成が2002年と古くて、というかセキュリティポリシーの情報って全体的に古いものが多くて、最近これだけセキュリティセキュリティ騒がれてるのにセキュリティポリシーはあんまり注目されてないのかしら?と思っていたら、まさかの全面改訂きました。2016年3月29日公開です。

www.jnsa.org

今年はISMS認証が改正されるようですし、経産省から「情報セキュリティ管理基準(平成28年改正版)」も出ているのでセキュリティポリシーが熱い年になるのでしょうか。

構成

16の方針・規定のサンプルが公開されています。

情報セキュリティ基本方針
情報セキュリティ方針
人的管理規程
外部委託先管理規程
文書管理規程
監査規程
物理的管理規程
リスク管理規程
セキュリティインシデント報告・対応規程 
システム変更管理規程
システム開発規程
システム管理規程
ネットワーク管理規程
システム利用規程
スマートデバイス利用規程
SNS利用規程

主な改訂点はこちらにまとめられています。

情報セキュリティポリシーサンプル改版概要

0.92a版にはなく1.0版で新しく追加された規定は以下の5つ。

  • リスク管理規程
  • システム変更管理規程
  • システム開発規程
  • スマートデバイス利用規程
  • SNS 利用規程

0.92a版は中〜大規模企業が対象だったのに対し、1.0版は小〜中規模企業が対象となっています。
想定されるネットワーク構成、情報セキュリティ委員会の体制図なども概要に乗っています。
情報セキュリティ委員会を持つ中小企業ってそんなにあるんだろうか?

「SNS 利用規程」感想

全部読むのは大変なので、時流に乗っている規定「SNS 利用規程」だけ見てみました。

企業がSNSを利用する社員にいいたいことは、「企業秘密漏らすなよ?」「バカッターとかすんなよ?」の2点に尽きると思われますが、それをどうポリシーっぽく書くか、ですよね。サンプルではそれを見事にちゃんとした文章にしています。

企業秘密漏らすなよ?

「4.1 業務目的での利用」にこんな記載があります。

(2)SNS に記述する内容は、公開 Web サーバに記述する公開情報に準ずる。

仕事の話をする場合にはWebサーバで公開されている情報以外は喋るなよ、と。まあ企業の公式アカウントはそれ以上のことを書いたりもするわけですが、広報がやってるんでもない限りはこのルールが分かりやすくていいですよね。

バカッターとかすんなよ?

これは「4.2 業務目的外(私的利用)での利用」に該当箇所が。

社員等が SNS を利用する場合、当社の非公開情報、法律、公序良俗に違反する 記載をしてはならない。

さすがにコンビニの冷蔵庫に入るのは公序良俗に違反するというのは誰でもわかると思うので(分かってないならわざわざツイッターにあげたりしないよね)、明確に禁止することでそれなりの抑止にはなりそうですね。私的利用についてまで指示される覚えはねーって思うかもしれませんけど、どこかに属している以上ある程度はしょうがない。実際勤め先まで晒されて一緒くたに叩かれるとか普通ですし、業界によっては致命的です。

でも以下2つを私的利用の方に書くのはちょっと過保護なような。

(4)社員等は使用デバイス(PC、スマートフォン、タブレット)と SNS の設定により、 使用デバイス上のデータ、写真、位置情報と SNS が自動連携され、自分のプライバシーデータ、写真、位置情報が予期せず公開される可能性のあることに注意すること。
(5)社員等は SNS の予期せぬ設定変更、機能追加によりセキュリティ制限レベルが変わり、情報がより一般に公開される可能性のあることに注意すること。

まあこれも情報漏えいやバカッター防止には書くしかないのかな。

炎上したら連絡を

業務目的・業務目的外どちらにも、クレーム、中傷、炎上があった場合は報告しろとありますね。

(3)SNS 利用において、他利用者からのクレーム、中傷、炎上等がある場合は、情報 セキュリティ担当者に報告すること。

(6)社員等は SNS 利用において、当社の非公開情報の漏えいの可能性、他利用者からのクレーム、中傷、炎上等により当社の信用失墜がある可能性がある場合は、 部門長及び情報セキュリティ委員会に報告すること。

「炎上」って単語が入ってるとか時代ですねえ。

炎上は悪意がなくてもするときはするので、意図的にやったのでなければ炎上しても素直に報告してきたら厳罰に処すようなことはしないで欲しいものです。情報漏えいと同じで、報告することを躊躇させるようなやり方は絶対によくない。

ここまで私的利用について踏み込んでるポリシーというのも珍しい気がしますが、今後はこれが当たり前になっていくんでしょうね。

2016年2月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。1月分はこちら。

security.nekotricolor.com


さすがに読み返しにくいので、「脆弱性・インシデント・文書公開」と「読み物」で分けました。

脆弱性・インシデント・文書公開

日付 記事 情報源
2016/02/01 遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 ラック
Amazon をかたるフィッシング (2016/02/01) フィッシング対策協議会
2016/02/02 複数の省庁のWebサイトの閲覧障害についてまとめてみた piyolog
2016/02/03 サイバーセキュリティのひみつ IPA
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2016年2月1日版】を公開しました。 JSSEC
EMET 5.5 リリースしました Microsoft
2016/02/04 防衛関連団体にサイバー攻撃 文書の外部流出も NHKニュース
DBセキュリティガイドライン実装WG 対応表 データベースセキュリティコンソーシアム
2016/02/08 「秘密情報の保護ハンドブック~企業価値向上に向けて~」を策定しました! METI
2016/02/09 米国土安全保障省やFBIの職員情報、大量に流出か ITmedia
2016/02/10 まんがで学ぼう「セキュリティ入門」 Google Japan Blog
国税庁、JETRO、日本証券金融、日本政策金融公庫のWebサイト閲覧障害についてまとめてみた piyolog
Adobe Flash Player の脆弱性 (APSB16-04) に関する注意喚起 JPCERT/CC
2016年2月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起 JPCERT/CC
2016/02/12 「Firefox 44」に深刻な脆弱性、アップデートで対処 ITmedia
Cisco ASAシリーズに深刻な脆弱性、CVSS値は最大 ITmedia
2016/02/15 情報セキュリティ10大脅威 2016 IPA
2016年北朝鮮核実験以降の韓国サイバー関係の情勢についてまとめてみた piyolog
日本郵政を騙った不審メールが急増していますのでご注意ください 日本郵政
2016/02/17 GNU Cライブラリの脆弱性(CVE-2015-7547)についてまとめてみた piyolog
2016/02/19 国際協力機構、住宅金融支援機構、日本格付研究所のWebサイトの閲覧障害についてまとめてみた piyolog
2016/02/22 サイバーセキュリティ注意喚起サービス「icat for JSON」の公開 IPA
2016/02/23 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました~国際水準のクレジットカード決済環境の整備を進めます~ 経済産業省
2016/02/24 「EMETを使ってEMETを無効化」、Microsoftが脆弱性に対処 ITmedia
Ruby 2.0.0 および Ruby 2.1 の今後について Ruby
2016/02/25 改ざんの標的となるCMS内のPHPファイル JPCERT/CC
2016/02/26 マルウェアに対する被害未然防止の実施 総務省
2016/02/29 情報と金銭を狙ったサイバー犯罪の矛先が法人に - 2015年日本と海外における脅威動向 トレンドマイクロ
2015年下半期 Tokyo SOC 情報分析レポート 公開 Tokyo SOC Report

読み物

日付 記事 情報源
2016/02/01 SECCON決勝に決着、DEF CON出場権は誰の手に? Security NEXT
サイバーセキュリティ月間:エキスパートたちのセキュリティ対策 Google Japan Blog
2016/02/02 不審ドローン対策の切り札になるか。オランダ警察、鷲にドローン捕獲を訓練中 Engadget Japanese
サイバーセキュリティ基本法改正案など衆院提出 政府 日本経済新聞
2016/02/03 加入者がマルウェア指令サーバーと通信するのをISPが強制的に遮断、新たなサイバー攻撃対策スタート INTERNET Watch
国際サイバー犯罪集団が相次ぎ日本進出、その理由は ITmedia エンタープライズ
PCやネットのセキュリティ対策、一般ユーザーとセキュリティ専門家との違いとは スラド
JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される スラド
サイバー法改正案が閣議決定、「情報処理安全確保支援士」新設へ ITpro
2016/02/04 マルウエアと正面から向き合うのはもうやめよう ITpro
ハッカーとセキュリティ担当者のサイバー軍拡競争が急速に進行 -- ENISA ZDNet Japan
2016/02/05 「公衆無線LAN」の安全な使い方 @IT
偽Flash更新マルウェア、OS X感染を狙う手口が横行 ITmedia
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ SlideShare
セキュリティ人材をどう育成するか、日本シーサート協議会が採用担当者向けセミナー開催 INTERNET Watch
往年のDOSマルウェアをDOSエミューレーター上で実行できる博物館 本の虫
2016/02/07 内閣サイバーセキュリティセンター、LINE公式アカウントを開設 RBB TODAY
企業・団体がウイルス感染 2万件以上情報流出か NHKニュース
2016/02/08 インターネット以前から存在した「DDoS的なもの」――DDoS攻撃の本質と対策を考える (1/2) @IT
オラクルが放った最新プロセッサ「SPARC M7」の実像 - 「SPARC M7はOracleの気持ちが入ったプロセッサ」の真意 ITpro
日本のハッキング大会で韓国チームが優勝、専門教育センターの成果 趙 章恩「Korea on the Web」
2016/02/09 DoS/DDoS攻撃の概要と一般的な緩和対策 - 【AWS 初心者向け Webinar】 AWS 上での DDoS 対策によせて AWS Solutions Architect ブログ
現金より情報の方が盗みやすい?――ある実験が明らかにした「行動規範はセキュリティに役立つか」 @IT
米国で進む医療機器とビッグデータ連携のためのルール整備 @IT
米大統領選「注目候補者」のサイバーセキュリティ政策(後編) カーソンの「NCSA計画」とサンダースの「反NSA」、そしてトランプは… THE ZERO/ONE
今ならGoogle ドライブに2GBの無償容量を追加可能。セキュリティ診断を行うだけ 窓の杜
情報セキュリティのまとめ(春) 言葉足らず
2016年はCISO(最高情報セキュリティ責任者)の設置がトレンドに? マイナビニュース
2016/02/10 日本型セキュリティの現実と理想:第16回 標的型攻撃が生んだセキュリティビジネスの“光と影” ITmedia
個人番号カード、パソコンやスマホのオンライン申請で別人のカード交付の恐れ ITpro
スマホがカギになってBluetoothでロック解除できる南京錠「Noke」は未来を感じるスマートデバイス GIGAZINE
2016/02/11 「情報セキュリティ人材が足りない」は本当か ZDNet Japan
2016/02/12 1分で理解するプロの知恵[ネットワーク設計&運用編] - ユーザーの手が届くスイッチはループ対策オンがマスト ITpro
スマートフォンの暗号化で捜査が進まない現状 FBIが2カ月かけても破れない トリビアルニュース
米国の確定申告システムにマルウェア攻撃、阻止に成功 ITmedia
IoT時代において重要性が増すデバイスのセキュリティ CodeZine
マルウェア博物館がオープン あの頃のウイルスは楽しかった? ITmedia
三井住友、東京VISAのクレジットカード うるう年問題で今月29日は利用不可 ライブドアニュース
エネルギー業界だけが標的ではなかった「BlackEnergy」の攻撃 トレンドマイクロ
2016/02/13 Windows コマンドを監視しよう www.morihi-soc.net
AWSにおけるセキュリティの考え方 SlideShare
マルウェアを機械学習する前に Speaker Deck
2016/02/15 敵は内部にもあり! エンドポイントセキュリティの果たす役割 @IT
「データベースセキュリティ」の視点から見る「ユーザー管理」「監査証跡(ログ)管理」のポイント @IT
「CIA」の視点で見るIoT機器のセキュリティ(前編) ITpro
日本を襲うDDoSサイバー攻撃、打つ手はあるか? ITpro
「裁判所への通知」を装った「ばらまき型」メール調査メモ (n)inja csirt
ランサムウェアが「ランク外」から「第3位」に:「情報セキュリティ10大脅威 2016」、IPAが発表 @IT
富士通研究所、暗号鍵が異なるデータを復号せずに照合可能な暗号技術開発 マイナビニュース
「CIA」の視点で見るIoT機器のセキュリティ(後編) ITPro
DNSを悪用する新たな標的型攻撃が日本を襲う ITPro
サイバー攻撃のリスク最小化のために、いざというとき意思決定者が行うべきアクション EnterpriseZine
車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ MONOist
2016/02/16 Linuxサーバをマルウェアから守る3つのツール マイナビニュース
ハリウッドの病院がコンピュータウィルスに"院内感染"。全システムダウンで業務に支障、復旧の"身代金"は約4億円 Engadget Japanese
CISO設置企業は半数以下、セキュリティ人材のキャリアパスと体制整備が課題 ZDNet Japan
2016/02/17 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」レポート @IT
インターネットに直結されるIoT機器(前編) ITPro
セキュリティの人材難、ITとセキュリティの担当を分けるべき? ITmedia
Instagramにようやく2要素認証が追加 TechCrunch Japan
「日本政府を攻撃する」公安を震撼させた少年ハッカー 普通の子供が「アノニマス」にあこがれた末に暴発したナゾ 産経WEST
Apple、FBI捜査のためのiPhoneバックドア命令を拒否──自由を脅かすもの ITmedia
2016/02/18 米国帰りの青年が夢見る「サイバーセキュリティ」の世界 @IT
インターネットに直結されるIoT機器(後編) ITPro
多発する犯罪の切り札に?「日本サイバー犯罪対策センター」の活動とは ITmedia
DevOps時代に明日から活かせる セキュリティ対策術#devsumi20160218 Speaker Deck
明日、敗訴しないためのセキュアコーディング SlideShare
「非」標的型の攻撃者は9日で諦める--では標的型は? ZDNet Japan
Tim Cook、FBIの要請でも全機種に適応できるようなiPhoneの「バックドア」は作らないと明言 TechCrunch Japan
2016/02/19 Facebook、TwitterのドーシーCEOもAppleのバックドア拒否に賛同表明 ITmedia
Facebookで相手がいつ寝ているのかがわかる秘密のAPIが発見される GIGAZINE
新たな多言語対応ランサムウェア「Locky」が国内でも拡散中 トレンドマイクロ セキュリティブログ
ランサムウェアに感染した病院、身代金要求に応じる ITmedia
2016/02/22 「セキュリティに自信がある」は45%、ランサムウェアの被害額3400万ドルに ZDNet Japan
Stuxnet、ドキュメンタリー映画化 スラド
できる人に任せ過ぎ? 堺市68万個人情報流出事件、最大の問題 ITpro
2016/02/23 ウィルス感染でWebサービスが20日間ダウン。本当にごめんなさい Qiita
バックドア仕込んだ「Linux Mint」、Webサイト改ざんしてダウンロードさせる ITmedia
ノーガード戦法とは異なる、これからの「事故前提型対策」とは @IT
「Android」を狙うマルウェアの「GM Bot」--ソースコードがオンラインに流出 CNET Japan
Linux MintのWebサイトが改ざん、バックドア付きISOのダウンロードリンクに書き換えられる スラド
よくわかる認証と認可 Developers.IO
BIGLOBEが中小向け標的型攻撃対策、クラウドでサンドボックス提供 ITpro
人生を台無しにする危険も? SNSで共有しない方がいいもの ライブドアニュース
2016/02/24 技術者を魅了する「Slack」とは? ITpro
空港で不正Wi-Fiの提供実験 2000人以上が接続、63.5%が端末や身元を特定される ITmedia
バレやすい暗証番号やパスワードの代わりに指紋・音声・自撮りなどで認証を行う動きが加速中 GIGAZINE
2016/02/25 「誘導質問術」の恐怖――あなたにもある“六つの脆弱性” @IT
「標的型メール訓練」がもてはやされる理由 ITmedia
「Linux Mint」にバックドアを仕込んだハッカー、手口と目的を語る ZDNet Japan
ソニー攻撃の集団、世界でスパイや破壊活動 日本でもマルウェア発見 ITmedia
News Up IoT機器がサイバー攻撃に加担 NHKニュース
【セキュリティ ニュース】「WordPress」や「Joomla!」など主要CMSで原因不明の改ざん被害が発生中 Security NEXT
ASUS、ルータの脆弱性問題で米当局と和解 ITmedia
2016/02/26 無線キーボードやマウス、知らずに乗っ取られる危険性が判明 ギズモード・ジャパン
マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰 INTERNET Watch
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開 SlideShare
セキュアコーディング方法論再構築の試み SlideShare
「さくらの平和は私たちが守る!」さくらインターネットのサイバーセキュリティ担当にインタビュー さくらのナレッジ
OSC2016 Tokyo/Spring セミナー資料 SlideShare
2016/02/27 EMETを利用してEMETを無効化する手法、FireEyeが解説 スラド
2016/02/29 “尖って”なくても認められていいんだ――「セキュリティキャンプ・アワード」創設へ @IT
「CSIRT」に求められる役割とその実現に必要な人材のスキルとは INTERNET Watch
自社のWebサイトを守るために今できること―JPCERT/CC満永拓邦氏に聞くWEBセキュリティ事情 EnterpriseZine
総SSL通信化時代のセキュリティ死角、F5ネットワークスが解説 INTERNET Watch
農業や土木/建設など商業利用で立ち上がる海外のドローンスタートアップと日本の取り組み fabcross
稼働中のシステムでセキュリティを理解する人材が不足--慶應大と日立、共同研究 ZDNet Japan

データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン 第1.1版」メモ

2015年9月に公開されたものの改訂版です。2016年2月3日に公開されました。

DB 内部不正対策ガイドライン 第1.1版

構成

1 はじめに 
  1.1 目的
  1.2 本ガイドラインの前提
  1.3 語彙の定義
  1.4 本ガイドラインに関する注意事項
2 DB内部不正対策概略
3 管理者の誘因
  3.1 雇用条件
  3.2 職場環境
  3.3 幸福度
4 管理者の抑制
  4.1 アクセス制御
  4.2 認証方式
  4.3 管理者の分掌
  4.4 暗号化・鍵管理
  4.5 DB周辺デバイスの管理
5 運用の実施
  5.1 ポリシーの制定
  5.2 保全
  5.3 監査・監視体制
  5.4 監査の実施
6 DB内部不正耐性チェックシート
7 DB内部不正対策マップ
8 セキュリティソリューション事例
9 DB内部不正対策ガイドライン執筆者

「8 セキュリティソリューション事例」が追加されています。主に執筆者の所属する会社が提供しているソリューションの紹介ですね。導入までの期間や費用など具体的に書かれています。

感想

内部不正の誘因として、初手から雇用条件とか出してくるところがとてもいいです。

管理者が内部不正を行う動機として、雇用条件に対する不満から、不正を働く可能性が高くなることが、DBSC による管理者へのアンケートにて指摘されている。具体的には従来の年功序列や長期雇用といった日本的雇用形態を支持する場合や規範的な組織コミットメント(周囲の目を気にして業務をするタイプの人である傾向)が強い場合は内部不正行為が起こりにくく、衛生要因が悪い場合(従業員満足度が低い場合)には情報に対する内部不正行為が起こりやすい傾向がアンケートから導き出された。*1

最近やたらとセキュリティ人材が不足してるとか騒がれてますけど、「一人で何でもできて、安く雇える」って枕詞ついてんじゃないの?という気がするので。

マズローの欲求5段階の話を出して、技術習得とかもさせないとねって話もしています。

技術習得などのプログラムはワーキング・モチベーションの向上に寄与する。なぜならば、アブラハム・マズローによる「マズローの欲求段階説」における 5 段階の欲求のうち、上位 2 つを満たすことが出来るからである。*2

サビ残させんなよ?って話も。書いてる人、苦労してるのかなあw

過度の長時間労働、特にサービス残業を課される雇用状況は管理者が不満を持つことになる。有給の取得を
責任者が正当な理由なく阻止することも、管理者の権利の侵害となり管理者が不満を募らせることにある。また、逆に生活残業が黙認されるような環境下では、それをしていない人々に不公平感が芽生え、モラールの低下をもたらす。*3

対策の方はDBに特化したものは少なく。アカウントの管理とかポリシーの策定とか。ていうか誘因の内容が濃すぎて頭に入ってこないw

まあ具体的なサービスをソリューション事例として後ろで紹介してますから、対策の方は逆に具体的には書いてないということなのかもしれないですね。ソリューションごとにガイドラインのどの項目をカバーするかが載っているので、必要に応じて選んでねということでしょうか。

結局のところ、システム的には事例のような専門のサービスを頼めばいいわけですが、社内の管理者が自ら不正利用しようとすれば止めようがないわけで、誘因の方に力が入ってるのは正しい姿なのかも・・。

そういえば以前書いた経済産業省の「秘密情報の保護ハンドブック~企業価値向上に向けて~」にも同じようなことが書かれていましたねぇ。

d.働きやすい職場環境の整備
○ 例えば、ワーク・ライフ・バランスの推進の観点から、長時間労働の抑制(適正な業務配分等)や年次休暇取得促進のための体制構築(労働時間の適正化、多様な休み方の提案等)、福利厚生の充実などを実施することにより、従業員等が働きやすい職場環境を整えて、企業への帰属意識を高めます *4

セキュリティという観点から、というかもうなんでもいいんで世の中の職場環境が改善されて欲しいです。

IPA公開の情報セキュリティ10大脅威 2006年〜2016年のまとめ

IPAから、情報セキュリティ10大脅威 2016が公開されました。

www.ipa.go.jp

そこで、2006年〜2016年の10大脅威をまとめてみました。

はてな記法の表だと読みにくくなるので画像です。クリックで拡大。
http://www.flickr.com/photos/44539043@N05/24436312743
*1

いくつかピックアップしてみました。

2006年第3位 音楽CDに格納された「ルートキットに類似した機能」の事件化

この頃は中米エルサルバドルで楽しくLinuxを教えていたのでこんな事件があったなんて知りませんでした。

Antinnyを投下するトロイの木馬、コピー防止ソフト「XCP」で隠蔽工作か

抜子たんて。

www.symantec.com


Antinnyをドロップするらしい。Winnyウイルス全盛期って感じですねえ。

2009年第1位 DNS キャッシュポイズニングの脅威

これは職場で環境を作って再現実験をしたことがあって、久々に面白い脆弱性だなあと思ったことを覚えています。

www.atmarkit.co.jp


ポートのランダム化ちょー大事。

2011年第4位 狙われだしたスマートフォン

iOSの脆弱性とか不正なアプリとか今や珍しくない話ですが、この頃から急にスマホの普及が進んで
問題になってきたようです。

2010 年度の国内におけるスマートフォンの出荷台数は675 万台になる見通しである。前年度(234 万台)から約 2.9 倍の伸びとなり、スマートフォンが急速に普及し始めている。*2

スマートフォンの市場規模の推移・予測 - 株式会社 MM総研

2012年第2位 予測不能の災害発生!引き起こされた業務停止

東日本大震災に絡んで。

被害の一部には、地震によるサーバ障害や津波による戸籍データの消失などが含まれる。
この災害により、一部地域では計画停電(輪番停電)が実施されたが、民間企業のアンケート調査によると、全体の 38%が計画停電で事業に何らかの影響を受けたと回答している。*3


techtarget.itmedia.co.jp


中小企業庁の広報冊子、事業継続計画(BCP)や新型インフルエンザの対策についての情報があって興味深い。

中小企業庁:経営サポート「経営安定対策」

2004年の中越地震、2007年の能登半島地震、中越沖地震で被災した企業の当時の対応などをヒアリングした貴重な資料も公開されています。

中小企業の事業継続計画(BCP)<災害対応事例からみるポイント>

2015年第9位 脆弱性公表に伴う攻撃

Heartbleed、Shellshock、POODLEといろいろあった年。こんなに騒がしかったのはsadmindとCode RedとNimdaが出た2001年以来じゃないでしょうか。


blog.trendmicro.co.jp


d.hatena.ne.jp


japan.zdnet.com


なんか「脆弱性の公開が攻撃を誘発した」みたいに読めるけど、そこで脆弱性の公開を止める方向ではなく、すぐ対策をとれる体制作りをしようという方向に行って欲しいすね。まあ現実問題難しいのかもしれないけど、そろそろ小さい会社でも本腰入れてやる時期だと思う。

2016年第3位 ランサムウェアを使った詐欺・恐喝

去年はランク外だったものが3位になったそうで。

www.atmarkit.co.jp


ランサムウェアって感染したらもうバックアップから復旧させるしかないよね。今年はバックアップがアツい(多分

*1:2009年分は、上から「組織への脅威」1〜3位、「利用者への脅威」1〜4位、「システム管理者・開発者への脅威」1〜3位

*2:2011年版10大脅威 進化する攻撃…その対策で十分ですか? P.20

*3:2012 年版10 大脅威~変化・増大する脅威!~ P.15

METI「秘密情報の保護ハンドブック~企業価値向上に向けて~ 」メモ

2016年2月8日に経済産業省から公開されました。

秘密情報の保護ハンドブック~企業価値向上に向けて~

本文に出てくる参考資料をまとめたものも公開されています。

構成

第1章 目的及び全体構成
1-1 目的及び留意点等
1-2 本書の全体構成
1-3 本書の使い方
コラム① 本書をどのように使えばいいの?
第2章 保有する情報の把握・評価、秘密情報の決定
2-1 企業が保有する情報の評価
(1)企業が保有する情報の全体像の把握
(2)保有する情報の評価
2-2 秘密情報の決定
(1)秘密情報の決定に当たって考慮すべき観点のイメージ
第3章 秘密情報の分類、情報漏えい対策の選択及びそのルール化
3-1 秘密情報の分類
3-2 分類に応じた情報漏えい対策の選択
3-3 秘密情報の取扱い方法等に関するルール化
(1)ルール化の必要性とその方法
(2)秘密情報の取扱い等に関する社内の規程の策定
コラム② こんなに怖い、秘密情報の漏えい
3-4 具体的な情報漏えい対策例
(1)従業員等に向けた対策
(2)退職者等に向けた対策
(3)取引先に向けた対策
(4)外部者に向けた対策
コラム③ 標的型攻撃メールってどんなもの?
コラム④ 最低限のサイバーセキュリティって?
第4章 秘密情報の管理に係る社内体制のあり方
4-1 社内体制構築に当たっての基本的な考え方
4-2 各部門の役割分担の例
第5章 他社の秘密情報に係る紛争への備え
5-1 自社情報の独自性の立証
5-2 他社の秘密情報の意図しない侵害の防止
(1)転職者の受入れ
(2)共同・受託研究開発
(3)取引の中での秘密情報の授受
(4)技術情報・営業情報の売込み
5-3 営業秘密侵害品に係る紛争の未然防止
第6章 漏えい事案への対応
6-1 漏えいの兆候の把握及び疑いの確認方法
(1)漏えいの兆候の把握
(2)漏えいの疑いの確認
6-2 初動対応
(1)社内調査・状況の正確な把握・原因究明
(2)被害の検証
(3)初動対応の観点
(4)初動対応の体制
6-3 責任追及
(1)刑事的措置
(2)民事的措置
(3)社内処分
6-4 証拠の保全・収集
(1)証拠の保全
(2)証拠の収集

目的は

秘密情報を決定する際の考え方や、その漏えい防止のために講ずるべき対策例、万が一情報が漏えいした場合の対応方法等を示しており、それによって、経営者をはじめとする企業の方々に、自社における秘密情報の管理を適切に実施していく際の参考としていただく本書では、秘密情報を決定する際の考え方や、その漏えい防止のために講ずるべき対策例、万が一情報が漏えいした場合の対応方法等を示しており、それによって、経営者をはじめとする企業の方々に、自社における秘密情報の管理を適切に実施していく際の参考としていただく *1

となっています。

感想

144ページの大作です。自社の機密情報が何かを把握し、それを守るために何をすべきか、漏えいした場合どうするか、という話。ISMS認証取得のためのToDoという感じもして、そういえば来年度に認証制度を改定するって話があったのでその布石かなあと思いました。


まず気をつけたいのは以下。

秘密情報の漏えいの中には、従業員のミスによるものなど、漏えい者が意図しない形での漏えいも含まれますが、本書では、基本的に、意図的な秘密情報の漏えい防止を目的とした対策を紹介しています。*2

マルウェア感染や操作ミスによる情報漏えいは対象じゃありませんよ、と。

まったく個人的な意見ですが、マルウェア感染などによる意図しない情報漏えいを組織が防止しようというときには、まずやることは従業員になんらかの行動を促す/禁止するのではなく、システムや業務フローに感染や漏えいを防止する仕組みを組み込むことだと思ってます。ウイルス対策ソフトをすり抜けるマルウェアが、どう見ても自分宛のメールに添付されてくるような時代に、「あやしーめーるはひらかないようにしましょー」とかいう通達のみで済ますとか言語道断。これって「組織として対策する気はないんで、個人で頑張ってね」って言ってるだけじゃん。こんなんで漏えいさせたら責任取らせるとかいうのは隠蔽を助長するだけですよバーカバーカ。



さて。


初手の「第2章 保有する情報の把握・評価、秘密情報の決定」もうここから難しいですよねぇ。保有する情報の把握方法として、

① 経営者等の責任者が社内の各部署や担当者に対して直接ヒアリング等を実施することにより把握する方法
② 秘密情報の管理を統括する部署が統一的な基準を示しつつサポートしながら、各部署や個別の担当者に、その基準に則してそれぞれが有する情報を経営者等の責任者に報告させ、情報を集約することにより把握する方法 *3

とありますが、実際こんなことやるのは大変だ。まあこういうのは最大の理想を書くものなのでしょうね。


「6-1 漏えいの兆候の把握及び疑いの確認方法」はちょっと面白い。従業員、退職者、取引先、外部者それぞれの漏えいの兆候を紹介しています。

例えば従業員の兆候。社畜は疑われます。

① 業務量に比べて異様に長い残業時間や不必要な休日出勤(残業中・休日中に情報漏えいの準備等を行う従業者が多いことから兆候となり得る)
② 業務量としては余裕がある中での休暇取得の拒否(休暇中のPCチェック等による発覚を恐れるため兆候となり得る)*4


個人的に強く賛同するのはこれ。

a.職場の整理整頓(不要な書類等の廃棄、書棚の整理等)
○ 不要となった書類が廃棄されておらず、様々な資料が乱雑に積まれ、整理がなされていない状態となっていると、職場全体が情報管理に対して無関心であるとか、無責任であることを情報漏えい者に連想させ、情報漏えいを行ったとしても発覚しないと思わせることになってしまいます。*5

机の上が乱雑な企業にはセキュリティ対策は期待できません(断言。
ISMS認証を取得したいという企業に最初にすべき質問は、「机の上に紙の書類を置くことは一切禁止されますけどそれでも取りますか?」だと思ってます。


と、なんかメモにかこつけた自己主張になってますが、秘密情報を守りたいけど何からやっていいか分からない、という企業の人が読むといいのかなあと思いました。いつかは腰据えてこういうことしなきゃいけないよねっていう。

*1:P.1 (本書の目的)より

*2:P.3(本書の留意点) より

*3:P.8 より

*4:P. 123より

*5:P. 40【管理の行き届いた職場環境を整える対策】より

NISC「ネットワークビギナーのための情報セキュリティハンドブック」メモ

2016年2月1日、サイバーセキュリティ月間ということで公開されました。

ネットワークビギナーのための情報セキュリティハンドブック

構成

プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ
第1章 基本のセキュリティ ~ ステップバイステップでセキュリティを固めよう!
1. 4つのポイントでセキュリティを守る .
2. 環境を最新に保つ、セキュリティソフトを導入する
3. 複雑なパスワードと多要素認証で侵入されにくくする
4. 攻撃されにくくするには、手間(コスト)がかかるようにする
5. 心の隙を作らないようにする(対ソーシャルエンジニアリング)

感想

ページの右側に第4章まで見出しがついてるんですけど、順次公開されるんですかね。これだけで割と完成してる気がするんですが。


とても読みやすいし、挿絵もすごくいいですね。頭に入りやすい。結構難しい話も入ってるので描くの苦労しただろうなあと思いました。
紙の冊子にして学校に配ったり、市役所に置いといたりしてくれるといいすね。


再配布OKだそうなので個人的に今一番使えそうな絵をピックアップ。スマホでなくPCのほうがよかった気がしますが。

http://www.flickr.com/photos/44539043@N05/24515599010
※ P.28より


1つの対策に任せるのでなく多重に対策するのが大事ですよね。これ1つあればなんでも解決してくれるもの(人)なんかありませんから!