初心者エンジニアの備忘録

プログラミング・インフラ構築関連、読んだ本の記録などを書いていきたいと思っています。そして株などの投資関連にも興味があります。

【セミナー】Security Days Tokyo Fall 2018 10月5日 その2

前回の続き。本セミナー最後の聴講。

アップするの忘れていた。

10/4,5とSecurity Days Tokyo Fall 2018@JPタワーホール&カンファレンスセンターに少し行ってきました。

 

 

 ◆備忘録

【D3-04】従来の「検知型」ではなく「軽量」にシステムを防御する新概念エンドポイントソフトウェア「AppGuard」のご紹介(株)電通国際情報サービス 中村優一様

 

AppGuardの紹介。

・防御型:AppGuard

入ってきてから守る。検知・駆除はしない。ソーシャルエンジニアリングには対応しない。防御専門。

・検知型: アンチウィルス、Windows Defenderなど

検知型は振る舞いを特定してからなので、後追いになる。新しいウィルスなどへの対応ができない。入ってきてしまうと防げない。

 

 AppGuardの制御特徴

・アプリ起動を制御

・起動した後も危ない処理を勝手にさせない

・運用手間はかからない 

 

AppGuardの制御方法

・場所で制御

・デジタル署名で認証(Mcrosoftは許可するなど)

・アプリケーション名で許可(自前のアプリとかは例外的に許可するなど)

 

living off the land攻撃

 

アンチウィルス+AppGuard(+EDR)で万全! ということでした。

(最近はアンチウィルスはWindows Defender で十分とのこと)

 

◆所感

セキュリティはもう侵入をいかに防ぐかではなく、侵入してくるのはどうしようもない。侵入されてからどうするかって話が中心になってきていると感じました。

 

ちょっと違う分野ですが、原子力発電所についても、2011年の地震までは、どうしたら事故が起きないかって話が中心でした。いわゆる安全神話

 

2011年の地震後は、事故が起きるのは防げない。事故が起きた時にどのようにリスクを最小限に抑え込めるかって話が今は中心になっています。どちらも非常に似ている流れな気がします。

理想の形ではなく、現実を直視する事により変わるって事は、技術的には正念場なのかもしれない。

 

原子力は技術の敗北になるかもしれませんが(いつかは再生エネルギーに代替されるんだと思います)、セキュリティ業界は今のところ代替できないし(敗北するとインターネット捨てるってことになってしまう)、技術の敗北を喫することは許されないと思うので、きっとイタチごっこから脱却する技術が生まれるかもしれません。

もしかすると量子暗号とかで解決されるのかもしれません。

 

【セミナー】Security Days Tokyo Fall 2018 10月5日 その1

前回の続き。

ひとまず時間が経ってしまったので、メモ書き起こし。

10/4,5とSecurity Days Tokyo Fall 2018@JPタワーホール&カンファレンスセンターに少し行ってきました。

 

 

◆備忘録

【K3-03】IoT機器の普及で顕在化したサイバーリスク コネクテッド製品のセキュリティ対策 PwCコンサルティング 奥山謙様

 

SDLC(システム開発ライフサイクル)の各ステージでセキュリティについての対策・準拠確認をするべきだという話。 

ファームウェアのレベルでも、チップを抜かれたらセキュリティ上の問題が発生する。

ハードウェア保護もとても重要。

 

拾ったキーワード。

・脅威分析

・セキュアコーディング

ペネトレーションテスト

 

戦略的イノベーション創造プログラム(SIP

 自動走行システム/大規模実証実験

 →ガイドライン(ドラフト版)公開済

 

C-SIRT・・IT、セキュリティ部門の方々向け

P-SIRT・・関係者が多い。調査やパートナー会社様含め

 

【セミナー】Security Days Tokyo Fall 2018 10月4日 その2

前回の続き。

時間が経ってしまった。備忘録としてメモ書き起こし。

 

10/4,5とSecurity Days Tokyo Fall 2018@JPタワーホール&カンファレンスセンターに少し行ってきました。

www.f2ff.jp

 

10月4日の2つ目に聞いた講演の備忘録。

 

◆備忘録

【C2-10】クレジットカード業界を取り巻く最新動向とセキュリティ対策の重要性

PCI DSS やクレジットカード情報非保持化への対応

BSIプロフェッショナルサービスジャパン株式会社 最高執行役

兼JCDS(日本カード情報セキュリティ協議会)運営委員長 小島英彦様

 

以下の会社の方でした。

https://www.bsigroup.com/ja-JP/important-note/

  

日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:JCDSC)|PCIDSSの普及促進

 

◆備忘録

以下が対策の3本柱

・クレジットカード情報保護対策(加盟店におけるカード情報の非保持化、PCIDSS準拠)

・クレジットカード偽造防止による不正利用対策(クレカの100%IC化、決済端末の100%IC化)

・非対面取引におけるクレジットカードの不正利用対策(多面的、重層的な不正利用対策)

 

PCI DSS(Payment Card Industry Data Security Standard)

結構要件の件数も多く、かなり広範囲な決まりを定めた規格のようでした。

端的に言うと、カード使用の末端である決済端末で情報は暗号化して、PSP業者に届くまで復号せずにセキュアに情報を運びましょう、というような規格決まり。

 

割賦販売法という法律により、クレカを扱う加盟店等にも様々なカード情報の管理義務が課せられ、さらにアクワイアラーは加盟店のセキュリティ対策実施状況の調査義務を負うことになりました。

PCI DSSに準拠するか、情報の非保持化するかが必要になるようです 

 

あとは偽造しやすい磁気カードは止めて、IC化しましょうということ。

 

 

日本のクレジットカード普及率は、世界的に見てもとても低いので、安全性をアピールして使用率を拡大していきたいという流れでしょう。

 

日本ではとりわけ安全性を重視しないと普及しないと思うので、この方向は恐らく正しいように感じます。

ガチガチに安全だよ、ってなってからやっと普及ってなるんだと思います。

ただ良くも悪くもこういう思想が、ハードウェアのガラパゴス化を進める原因だとは思いますが。

 

-追記-

中国のQRコード決済(Alipay, WeChat,,,)みたいに、屋台にQRコードぶら下げて決済するような感じで技術が普及するなら、日本ももっと様々な新しい技術が世界に先駆けてお目見えするようになる気がします。

 

PCIDSSのような規格はあるんですが、paypayとかのパスワード何回間違えてもロックしないとか、ああいうUIの作りに対しても、最低限は何らかのIFの決まりみたいなのは必要なのかもしれません。

 

◆所感 

PCI DSSって言葉を聞く職場に転職したので、何だかいつかは関連する業務をやるかもしれません。

 

【セミナー】Security Days Tokyo Fall 2018 10月4日 その1

10/4,5とSecurity Days Tokyo Fall 2018@JPタワーホール&カンファレンスセンターに少し行ってきました。

www.f2ff.jp

 

それぞれ滞在時間は3時間くらい。講演を2,3個ずつ。

色々ブースでていましたが、自分の立場が今微妙なので、名刺交換等はスルー。

(微妙な立場についての詳細は、近いうちに書くかもしれません)

集中力ないので、人の話を聞くのは2時間くらいで限界です。。

 

ひとまず10月4日の1つ目に聞いた講演の備忘録。

(配られたパワポの資料ってアップしていいのか分かりません‥‥)

あとただ思ったことは所感に無責任に記録。

 

◆備忘録

【B2-08】エンドポイントセキュリティの新時代 〜[保護と対応]を重視するDIYで実現するセキュリティ対策〜 (株)FFRI 河原 一郎様

 

FFRIって会社は、少し前に株買おうかなーと思いながら一時監視していたことがありました(ただ値下がっていってる時期だったので、購入には至りませんでしたが)。

技術的な話を聞くのは今回が初めてでした。

 

マザーズに上場している会社。

元社名:Forteenforty Research Institution --> FFRIに上場時に変更したとのこと。

www.ffri.jp

 

純日本の会社でエンドポイントセキュリティの会社は珍しいと言っていました。

確かにトレンドマイクロとかマカフィーとか外資ですよね。

 

FFRI yaraiの紹介。

yaraiは会社が新宿矢来町に会社があったときに開発されたものだとか。

 

Windows7の無償サポートが2020年に切れるため(有償は2023年まで)、各社がWindows10に移行している状況とのこと。

私の会社のPCも丁度Windows7から10に移行するところです。

 

Windows10のアンチウィルスはデフォルトで入っているWindows defenderで大体OK。 

ただアンチウィルスソフトだと未知のマルウェアは対応できない。

そこで未知のマルウェアへ対応するのがこのソフト。

 

5つの振る舞い検知エンジン。

アプリケーションを脆弱性から防御するZDPエンジン、

マルウェア攻撃から防御するStatic分析エンジン、Sandboxエンジン、HIPSエンジン、機会学習エンジン(機械学習は流行ってますね)。

 

HIPSエンジンと機械学習エンジンで未知の脅威の振る舞いを監視するエンジン。

既知の脅威はアンチウィルスソフトの仕事。未知のウィルスをFFRI yaraiで。

 

未知のマルウェアの防御実績も多くあり。

総契約ライセンスも742,374(2018/03現在)とのこと。

メインは中央省庁、金融サービス、官公庁向け。

 

2018年10月にはEDR機能がリリース予定。

 

 

◆所感

あくまでエンドポイントのセキュリティ。制御システムや、サーバに入れる感じではない。

侵入を防ぐIPSではなく、あくまで検知するIDS的な感じのようでした。

 

未知の脅威の振る舞いを検知する以外に根本的な手はないものか。

パターンマッチは新たなマルウェア発生ー>対応パターンアップデート(ゼロデイ攻撃とかの危険な空白期間は生じてしまう)とイタチごっこ。

確かにFFRI yaraiのような商品は、未知のマルウェアが発生しても、ある程度の期間は検知しそうな感じのようです。

ただ大きく異なる新たな振る舞いをするマルウェアが現れたら、アップデートが必要でしょうし、時差はあるもののやはりイタチごっこには変わりないように感じました。

 

根本的には、新たなマルウェアを作ることがビジネスになってしまっている現状を、なんとかするしかないんでだとは思います。

【読書】システムを「外注」するときに読む本 細川義洋(ダイヤモンド社)

[ç´°å· ç¾©æ´]ã®ã·ã¹ãã ããå¤æ³¨ãããã¨ãã«èª­ãæ¬

https://www.amazon.co.jp/dp/B071J1WQGS/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1

 

システム発注者側の人間が、システムを構築する上で気をつけるべきことがストーリー仕立てで描かれています。

最初は初めてのシステム発注者として、そしてその後、システムコンサルの会社に出向し、コンサルタントとして様々なシステムに関わっていきます。

その中で、様々なシステム発注者 ・ベンダと仕事をしながら、失敗を通してシステム発注者として必要な素養を学んでいくストーリーです。

 

ストーリー仕立てであっという間に読めました。

私はベンダ側の人間ですが、発注者側の気持ちに触れることができたと思います。

 

  

気になった部分(知識部分も含めて)の備忘録。

 

◆備忘録

・要件定義:システムと、それを使う人の動作(業務)を決める作業。

・業務要件定義(発注者が全面的にリード):システムを導入して、どんな業務を実現するかを決める。
・システム要件定義:業務要件定義を実現するために、システムが持つべき機能を書き出す。

 

・機能要件(決めるのは発注者):社内のどの部門がどのように使って、そのために情報をどんな形で出力するか。
・非機能要件:処理時間、想定されるデータ件数、セキュリティに関する要望。

 

・システム化するのは、効果が明確に説明できるところだけ。
・システム化する範囲は、本当にそこをコンピュータでやるべきか、何度も考えて決める。


・ベンダは発注者が決めることを決めないと何もしないし、PJの状況確認をしない発注者は見捨てられる。

 

システム開発請負の見積もりでPJ管理工数は全体の10%程度。

リスク管理表の対応策発動の閾値を決める(作業遅延5日を超えたときなど。定量的に)。

 

・システム化の目的を社長自ら全社員に刷り込む。ユーザ部門のキーマンの意識を変える。システム開発への参加を本業にするための体制を作り、その姿勢や実績を人事考課に組み込む。

・一度でも自社内のリスクを突き返されたベンダは、それ以降リスクを開示しなくなる。


・発注者が、ベンダが勝手に作業をしていることを知っていながら放置すると、それが事実上の要件合意と捉えられることがある(H15 5月8日東京地方裁判所 判決)。


・技術的な話は最終的にベンダが責任を持つけど、それを決める過程では発注者だって口出しして構わない。

・発注者はモヤモヤが消えるまで質問、注文を繰り返すことで、ベンダも今のやり方の正しさに自信が持てる。

 

トリアージ:情報を、機密性の高さと漏えいしたときの影響の大きさを考量して分類し、それに応じた対応方針を決めておくこと。

・業務に必要不可欠なシステムであっても、セキュリティ上の不安が拭いきれないとあらば、即座に切り捨てる。

 

2018/7/19 ★★★★

【その他】はじめてのブログ

某メーカ企業で何となくソフトウェア・インフラエンジアとして働いている初心者エンジニアichidoです。

会社の歯車で終わってしまうことに恐怖を覚えた訳ではないけど、自己啓発の記録をそっと残していこうとブログ始めました。

 

・ソフトウェア開発関連

・サーバ構築などのインフラ関連

・読んだ本の感想

 

等を中心に思い付いたことを書いていくつもりです。目標は2週間に1回更新。

よろしくお願い申し上げます。

 

以上