Ogagaga Diary

■ 第11回 北海道情報セキュリティ勉強会@月寒公民会館

河野さんからクラウドをテーマにしたお話を聞けるということで とても楽しみにしていました。

下記は今日の簡単なログです。 (間違っていたらすいません)

今日の目標

• 情報セキュリティの目的に従って判断ができるようになる
• リスクベースの考察ができるような次頭作り
• 学生諸君は情報セキュリティプロフェッショナルになるための準備と差別化

情報セキュリティの現場力、使えるスキルと人物像

• 情報セキュリティは「科学」

- 推測しにくにパスワードはない 「科学的というのは誰がやっても同じ」という意味 ルールをどうやって作るかの方が重要 「あやしいメールを開かない」→ 何が怪しいかがわからない

• 情報セキュリティは目的ではなく、手段だということを知らない三流エンジニア

[問題]

• USBメモリ利用禁止の「管理目的」はなんでしょう

- アンチウイルス対策？→ウイルスソフトウェアがやるもの 本来の目的 - データが残ることが問題

 データを完全に削除することが難しいハードである。復元ソフトウェアで復元できてしまう

「残存オブジェクト」という。 残存データが悪用されないことを目的にする

スタックスネット USBメモリでデータを持っていたために、ウイルスに感染した話のせいかも

[問題] 個人情報保護のためのシンクライアントを導入している企業がしなくてはいけないことはなんでしょう

会社中の情報を誰でも見れるのが問題[日本のベンダー] 日立が問題？

ログインしたら、WordやExcelだけが選べるようになっていて、かつ特定のファイルにしか アクセスできないようになっている。→アプリケーションレベルでセキュリティをかける

シンクライアントはマシンを紛失してもサーバーにログインしないとデータを取れないので 安全である。情報保護でできることはこれだけ。

[問題] 個人情報保護法を違反したとして、何らかの処分を受けた人は2005年以降(行政では2003年以降） 何名いるでしょうか？ (6ヶ月以下の懲役または30万円以下の罰金) →０名

消費者がクレームをいったときに対応をできないと違反になる。

• 情報セキュリティって？

- 情報資産のセキュリティではない - ISMS取得を簡単にするためにやってきた情報セキュリティ対策から、自社のための情報セキュリティ

 に切り替えられない企業が山ほどある

いかに自分たちの会社にあった基準にしていくかが大事。徐々に緩やかに基準を落として行くほうがいい - 情報を活用するためのセキュリティができないと、クラウド、ソーシャルの世界に乗り遅れて

 しまいますよ

• 現場に必要なのは

- リスクアセスメントが正しいかどうかを判断できる人材

 情報システムを活用するメリットを理解し、情報セキュリティ対策を立案できる人
 ○○してはいけないは、何もしないということなので、意味がない
 テレビをみちゃいけないは結果が残らないからだめ、
 テレビを見ないで本を読みなさいだと、本を読んだ結果について議論ができるのでよい。ほめることができてよい。

 「モチベーションが上がらないと誰もやらない」

- プロシージャを作成できる人材 私用マシン持ち込みについて →自分でルールを作っているから運用できている

 自分の作ったルールが会社の基準と合致していればだいたいは許可される

[問題] 課長が部門の5人にエクセルで管理表を送付しました。社員がこれらに記入してメールに添付して 課長に返信した場合、添付書類は全部でいくつになったでしょうか？ →27個になる

 本来はこの27個分のチェック基準を作る必要がある。

でもだいたいは最初の課長のPCのチェックだけである。なのでなくなってもわからない ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ---------------------------- メールでの添付は危ない ----------------------------

よくファイルを暗号して、パスワードは別便で送ることがあるけど、 SMTPの経路を2回通ることになるので、泥棒が待ち伏せしているのと 同じ状況なのであまり意味がない。

パスワードは事前に両者が知っている情報がいい(電話番号の下4桁とか。ただしメールのシグネチャに注意する)

アイデアは - ミッションインポッシブル - シャーロックホームズ - ナショナルトレジャー などにある。

• リスクと損失のフレームワーク

リスク(インシデントの発生する可能性)

 脆弱生 × 脅威

       ↓
 損失(事故が発生した結末)

 - 情報資産が漏れたり、他社に使われたときの影響
 - 情報資産が意図せず改編されたりする

• システム要件を考える

社外の関係者とも「共有ファイルサーバ」を使うときには、 どのような条件を満たしていればよいか

[要件] - ユーザー単位のID発行 - ファイル単位のアクセス権限

 編集制限

- ファイル単位で同時編集可能もしくは排他制御 - ファイル単位の記録

 更新履歴
 アクセスログ

• 現場力を高めるために

- 「○○してはいけない」というルールは何も生まない - ひとつでも禁止事項があれば、それに引っ張られて、新たなシステムや

 ITサービスを導入することができなくなってしまいます。

クラウドサービスにおけるセキュリティ

クラウドセキュリティは簡単

• リスクがあるか、ないか？

- 「そんなもんあるだとこころから思っている」 - 「リスクがあるから使わない」なんている人がいると「もう息をすうな」と思っています。

  人間の免疫力を馬鹿にすんなよと思っている

• クラウドの免疫を高めるために

- 免疫ってのはどうやって出来るんだっけ？ - いろんなことを考えてみよう。

 「こうやったら使えるじゃん」と考えれる人が向いている

[結論] クラウドセキュリティを大きな声で語っている奴に、クラウドのヘビーユーザはいない - 使っちゃ行けないって言っている

リスクマネジメントの基本から

- そもそもリスクマネジメントの基本に忠実に判断するべきではないだろうか - 「データがどこにあるのかわからないのが気持ち悪い」というのは不安であって、科学的なリスクではない

• クラウドサービスで何が変わったのか

- 変化を正しく判断できないと

クラウドコンピューティングの特徴

• 変化をしることにしましょう
• NIST SP-800-145の定義

 - オンデマンドセルフサービス
   使いたいときに簡単に使える。amazonなら5分くらいで使えるようになる
 - 広範囲なネットワークからのアクセス
   VPN以外などのネットワークからのアクセスなど
 - リソースの共有
   メモリだけ、CPUだけ、ディスクだけ借りれるので、それを共有している。
   レンタカーのような感じ。
 - 迅速な対応
   ヤフーのゲームサービス
   サーバ費用だけで6億円、今は200万円だった。
   ユーザーが少なくなっても、6億の費用を維持しなければならない。
   クラウドは使わないときに減らすことができるのが便利
 - 従量課金製

上記のことを英語で正確に訳せてない人は信頼しないほうが...

• On-demand self-service

メリットとリスクを並べてみる(できる限り考える) 二要素認証があれば、管理画面を乗っ取られる事はないんじゃないかってことを考えてみる。

それぞれの組織にとっては

• リスクアセスメントは組織や、団体における事業計画、環境によって異なる
• IPAでは中小企業用にサービスチェックしーとを作った

 http://www.ipa.go.jp/security/cloud/tebiki_guide.html

最近気がついた事

• Evernote 手書きOCR

- メタデータの削除ができないことについて、みんなで考えてみるといい。

最近のいろいろなセキュリティの話題

• どこのリージョンにデータがあるかわからないのもいいところである。
• 半年間くらい観察しているのが一番危ないので、ここで食い止めたい。

- 日々、PCをスキャニングするのが大事。 -PC立ち上がったときにウイルスソフトが起動しているか確認してみる。

自社だけでインターネット全体のウイルスの感染状況を把握するのは難しい

無駄な事にお金をかけないで、ウイルスソフトが立ち上がっていることを確認するほうが大事！

スマートフォンの リスクアセスメント

• 安価にセキュリティを守る方法

- Google Apps for business > モバイルの設定を利用するとよい

 Android Sync 年間6,00円

• 今はブラウザのセキュリティの話よりも、クラウド時代はスマフォのクライアントアプリケーション

 にフォーカスがあたっている。

誰がどのアプリを使っているかを管理する時代になってきている。

懇親会

• 白木屋

■ 新しくOpenした床屋さん

行きつけの床屋さんが閉店してしまってどうしたものかと思っていたんだけど そのときの日記はこちら↓
床屋さんで感動して涙がこぼれ落ちた マスターのつてで新しくお店を開業したい人が見つかりGWにOpenしてたので行ってみました。

年齢は僕と同じくらいでとても話しやすい気さくな人がマスターでよかったです。

髪を切りながら、以前マスターがいたお店の話や「僕がどれくらいヤシロさん通っていたの？」などお話しました。最近は人柄で自分が通うお店を決めるのですが、ヤシロのマスターに劣らず良い人なので行きつけのお店になりそうです。あ、もちろん腕もよいですよ！

Open記念ってことでお店で使っているとてもよいらしいシャンプーをもらって帰ってきた。

■ 酒蔵オフ

すもけさんから小樽北の誉 酒泉館に行きたいので、幹事してくれい！というご要望があり有志を募り行ってきました。

が、ブラック企業勤務となった言い出しっぺのすもけさんは欠席になりましたwww。そこで当日はすもけさんのために、画像投稿するときに必ずmentionをしてあげる優しさ(いじめ？)をしてみました。

写真は20120512_酒蔵オフ at 北の誉 酒泉館です。

• 入館10秒で試飲
• 工場見学の際には謎の帽子をかぶりました。記念にみんなでかぶっている姿で写真撮影
• この時期はお酒を作っていないので絞りたてのお酒は飲めなかった。冬は搾りたてを飲めるとのことでした！

参加できなかったすもけさんには親玉という日本酒をこっそり買っておいたので、今回はこれで我慢してくださいw

この後はみんなで(旧)岡川薬局でご飯食べてきました。僕は念願の岡川ラーメンを食べてきました。

また企画しようと思います。

■ Sapporo.js 2012.05.05 #sapporojs

前回の参加は 2011.05.08 だったので、約1年ぶりの参加ですね。 以下に自分がJavaScript嫌いなのかがよくわかる^^;

だけど、こうして続けていてくれるので、あんまり勉強する気に ならない僕に力を与えてくれるので、ありがたいです。

@tricknotes にはいつも感謝です^^

今日は、第8章 メソッド(P.90)の array.reverse() からで、せっかくだからTestを書きながらやってみましょうということで、mochaを使いテスト書きながら楽しい会となりました。

一般発表は

• ぬるjs
• NotHub API の紹介
• Web Audio APIとNode.jsで楽々ウェブ楽器の作り方～Beatonica

などありました。

次回もテスト書きながら本を読みすすめるのかな。楽しいけどあまり本が進まないねw

■ 年を一つ重ねました

無事誕生日を迎えまして、また一つ年を重ねました。

よい友人と仲間に囲まれてとても楽しい一年でした。新しい出会いが多かったり、仕事でも立場が変わったりと今後の30代をどう過ごすかについても考えることができた一年でもありました。

あと、体脂肪率が初めて15%台になったのが嬉しかった！最近「何のためにそんなに筋トレしているの？」と聞かれますが、もちろん日々楽しく過ごすためですよ。太りにくくなるし、体力がついて疲れにくくなり怪我の予防もできていいことだらけです。
あと、今日は先日亡くなったばあちゃんの49日法要の日でもありました。 諸事情により僕が今日までとりまとめしましたが、ばあちゃんが僕の働きに満足してくれてるとよいな。

こんな僕ですがまた一年よろしくお願いします。

嬉しい事にAmazonよりお誕生日プレゼントが届きましたので、紹介させていただきます。

ちなみに、プレゼントは随時受け付けております！

Amazonの欲しい物リスト

プログラミングHaskell from @tmaedaさん

会社でおすすめの本を相談したときに、「誕生日に待ってます！」と言ったら 本当に届いてびっくりしました！ありがとうございます！

プログラミングの基礎 from @tmaedaさん

この本は中身をあまりよくわからないのですけど、前田さんがおすすめする本に間違いはないはずなので熟読しよう。

ジョジョの奇妙な名言集 part1-3 from @smokeymonkeyさん

ジョジョの奇妙な名言集 part4-8 from @smokeymonkeyさん

ジョジョ全巻が行方不明なので、この本はとてもありがたいです！ メッセージに勉強会やりましょうって書いてあったw 今年も同世代として楽しく遊びましょう！

GENTOS(ジェントス) 閃 from つかさん

僕は釣りやアウトドアが好きだったりするので、これもありがたいです！ ただ、自転車用っぽいですけど、アウトドアメインで使ってみます！ ちなみにどなたからかわからんので、名乗り出てくれるといいなー。

その後いただいたもの

ソフトウェア開発を成功させるチームビルディング 5人のチームを上手に導く現場リーダーの技術 from @sandinistさん

これもずっと読んでみたかったので、大変ありがたいです！だけど、名無しさんからだったので、名乗り出てくれるといいなー。

鉄人倶楽部(IRONMAN・CLUB) トレーニング&ヨガマット(収納ケース付・ゴムバンド付) from ぬまたさん

自宅でストレッチするのにほしかったんです！ありがとうございます！

体幹力を上げるコアトレーニング from Mさん

お腹の横を鍛えるのに欲しかったんです！どうもありがとう！次回あったときまでに肉を減らしておきますわw

ケンタロウのフライパンひとつでうれしい一週間！ from @izumii19さん

晩ご飯用に欲しかった本です！どうもありがとうございます！

岸辺露伴 ルーヴルへ行く from @tatsuoSakuraiさん

ジョジョファンなのでありがたいです！どうもありがとうございます！

合計10個もいただき嬉しいです！

引き続きお待ちしております。

■ 床屋さんで感動して涙がこぼれ落ちた

10日くらい前にいつも散髪している床屋さんから3月末で閉店するお知らせの葉書が届きました。

「葉書には継続する事が難しくなり閉店する事としました」と書いてありました。マスターも

いい年齢だったのでいつかはこんな日がやってくるとは思っていましたが、まさかこんな早い

とは思いませんでした。

ちょうど今月散髪しようと思っていたので、今日行ってきました。

普段はお客様に髪を切っている間くらいは休んでほしいという考えのマスターでしたが、

最後の散髪ということもあり、初めてきたのは何時からか、お店はこの後どうなるかや

なぜお店を閉めることにしたのかなど色々お話しました。

顔をお店できないのが残念なのですがとても若々しい70歳のマスターです。60歳くらい

に見えるんですよ。

もう少し頑張るかどうか大分悩んだそうですが、今後の健康を考えて引退を決意した

とのことでした。僕はお店がなくなるのかーと思っていたら、今まで通っていたお客さん

のために理髪店をやってくれる方がちょうど見つかり、お店は残すことになるそうです。

いきなりお店がなくなると今までお客さんが困るから、自分の後で開業してくれるいい人

を探していることに感動しました。

本当にお客さんを大事にしているマスターだったんだなーと改めて思い知った日でした。

ちなみに僕の少年時代は「スポーツ刈り」の一択でした。今考えるとどんな髪型だよ！って

感じですよねw

散髪が終わり「大変お世話になりました。ありがとうございました！」と言って帰るはず

だったのだけど、名残惜しさがあり、「マスター最後に写真撮ってもいいですか？」と

いったら笑顔で引き受けてくれました。

お店の写真です(本当にマスターの写真を載せれないのが残念)

写真を撮り終わって、お会計をしようとしたら...、なんとマスターが号泣してるじゃ

ありませんか！僕の「写真撮っていいですか？」の言葉が響いてしまったようでした。

そしたら、僕も感動して、涙がこぼれてしまいました。

（ちなみに今日はだいぶ割引してくれました。本当にいいマスターだ）

閉店したあとはゆっくり過ごすと言っていました。

本当に今までお世話になりました。

5月に新しいオーナーになって違うお店としてオープンするそうなので、今度からは

そこに通ってみようと思います！