サイト更新情報
[Categories]
agile | angularjs | barbecue | birthday | body scoop | car | chuork01 | dinner | domin life | drive | event | fes | fishing | friend | gunpla | javascript | life | lunch | photo | ps3 | rails | ruby event | sake | software-development | sports snowboard | study event | sushi | sweets | techmix-hokkaido | torne | travel | vegetable garden | vim | weight training | whiskey | work

Ogagaga Diary


2012年05月19日 [長年日記]

第11回 北海道情報セキュリティ勉強会@月寒公民会館

河野さんからクラウドをテーマにしたお話を聞けるということで とても楽しみにしていました。

下記は今日の簡単なログです。 (間違っていたらすいません)

今日の目標

  • 情報セキュリティの目的に従って判断ができるようになる
  • リスクベースの考察ができるような次頭作り
  • 学生諸君は情報セキュリティプロフェッショナルになるための準備と差別化

情報セキュリティの現場力、使えるスキルと人物像

  • 情報セキュリティは「科学」

- 推測しにくにパスワードはない 「科学的というのは誰がやっても同じ」という意味 ルールをどうやって作るかの方が重要 「あやしいメールを開かない」→ 何が怪しいかがわからない

  • 情報セキュリティは目的ではなく、手段だということを知らない三流エンジニア

[問題]

  • USBメモリ利用禁止の「管理目的」はなんでしょう

- アンチウイルス対策?→ウイルスソフトウェアがやるもの 本来の目的 - データが残ることが問題

 データを完全に削除することが難しいハードである。復元ソフトウェアで復元できてしまう

「残存オブジェクト」という。 残存データが悪用されないことを目的にする

スタックスネット USBメモリでデータを持っていたために、ウイルスに感染した話のせいかも

[問題] 個人情報保護のためのシンクライアントを導入している企業がしなくてはいけないことはなんでしょう

会社中の情報を誰でも見れるのが問題[日本のベンダー] 日立が問題?

ログインしたら、WordやExcelだけが選べるようになっていて、かつ特定のファイルにしか アクセスできないようになっている。→アプリケーションレベルでセキュリティをかける

シンクライアントはマシンを紛失してもサーバーにログインしないとデータを取れないので 安全である。情報保護でできることはこれだけ。

[問題] 個人情報保護法を違反したとして、何らかの処分を受けた人は2005年以降(行政では2003年以降) 何名いるでしょうか? (6ヶ月以下の懲役または30万円以下の罰金) →0名

消費者がクレームをいったときに対応をできないと違反になる。

  • 情報セキュリティって?

- 情報資産のセキュリティではない - ISMS取得を簡単にするためにやってきた情報セキュリティ対策から、自社のための情報セキュリティ

 に切り替えられない企業が山ほどある

いかに自分たちの会社にあった基準にしていくかが大事。徐々に緩やかに基準を落として行くほうがいい - 情報を活用するためのセキュリティができないと、クラウド、ソーシャルの世界に乗り遅れて

 しまいますよ
  • 現場に必要なのは

- リスクアセスメントが正しいかどうかを判断できる人材

 情報システムを活用するメリットを理解し、情報セキュリティ対策を立案できる人
 ○○してはいけないは、何もしないということなので、意味がない
 テレビをみちゃいけないは結果が残らないからだめ、
 テレビを見ないで本を読みなさいだと、本を読んだ結果について議論ができるのでよい。ほめることができてよい。

 「モチベーションが上がらないと誰もやらない」

- プロシージャを作成できる人材 私用マシン持ち込みについて →自分でルールを作っているから運用できている

 自分の作ったルールが会社の基準と合致していればだいたいは許可される

[問題] 課長が部門の5人にエクセルで管理表を送付しました。社員がこれらに記入してメールに添付して 課長に返信した場合、添付書類は全部でいくつになったでしょうか? →27個になる

 本来はこの27個分のチェック基準を作る必要がある。

でもだいたいは最初の課長のPCのチェックだけである。なのでなくなってもわからない ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ---------------------------- メールでの添付は危ない ----------------------------

よくファイルを暗号して、パスワードは別便で送ることがあるけど、 SMTPの経路を2回通ることになるので、泥棒が待ち伏せしているのと 同じ状況なのであまり意味がない。

パスワードは事前に両者が知っている情報がいい(電話番号の下4桁とか。ただしメールのシグネチャに注意する)

アイデアは - ミッションインポッシブル - シャーロックホームズ - ナショナルトレジャー などにある。

  • リスクと損失のフレームワーク

リスク(インシデントの発生する可能性)

 脆弱生 × 脅威
       ↓
 損失(事故が発生した結末)
 - 情報資産が漏れたり、他社に使われたときの影響
 - 情報資産が意図せず改編されたりする
  • システム要件を考える

社外の関係者とも「共有ファイルサーバ」を使うときには、 どのような条件を満たしていればよいか

[要件] - ユーザー単位のID発行 - ファイル単位のアクセス権限

 編集制限

- ファイル単位で同時編集可能もしくは排他制御 - ファイル単位の記録

 更新履歴
 アクセスログ
  • 現場力を高めるために

- 「○○してはいけない」というルールは何も生まない - ひとつでも禁止事項があれば、それに引っ張られて、新たなシステムや

 ITサービスを導入することができなくなってしまいます。

クラウドサービスにおけるセキュリティ

クラウドセキュリティは簡単
  • リスクがあるか、ないか?

- 「そんなもんあるだとこころから思っている」 - 「リスクがあるから使わない」なんている人がいると「もう息をすうな」と思っています。

  人間の免疫力を馬鹿にすんなよと思っている
  • クラウドの免疫を高めるために

- 免疫ってのはどうやって出来るんだっけ? - いろんなことを考えてみよう。

 「こうやったら使えるじゃん」と考えれる人が向いている

[結論] クラウドセキュリティを大きな声で語っている奴に、クラウドのヘビーユーザはいない - 使っちゃ行けないって言っている

リスクマネジメントの基本から

- そもそもリスクマネジメントの基本に忠実に判断するべきではないだろうか - 「データがどこにあるのかわからないのが気持ち悪い」というのは不安であって、科学的なリスクではない

  • クラウドサービスで何が変わったのか

- 変化を正しく判断できないと

クラウドコンピューティングの特徴
  • 変化をしることにしましょう
  • NIST SP-800-145の定義
 - オンデマンドセルフサービス
   使いたいときに簡単に使える。amazonなら5分くらいで使えるようになる
 - 広範囲なネットワークからのアクセス
   VPN以外などのネットワークからのアクセスなど
 - リソースの共有
   メモリだけ、CPUだけ、ディスクだけ借りれるので、それを共有している。
   レンタカーのような感じ。
 - 迅速な対応
   ヤフーのゲームサービス
   サーバ費用だけで6億円、今は200万円だった。
   ユーザーが少なくなっても、6億の費用を維持しなければならない。
   クラウドは使わないときに減らすことができるのが便利
 - 従量課金製

上記のことを英語で正確に訳せてない人は信頼しないほうが...

  • On-demand self-service

メリットとリスクを並べてみる(できる限り考える) 二要素認証があれば、管理画面を乗っ取られる事はないんじゃないかってことを考えてみる。

それぞれの組織にとっては
  • リスクアセスメントは組織や、団体における事業計画、環境によって異なる
  • IPAでは中小企業用にサービスチェックしーとを作った
 http://www.ipa.go.jp/security/cloud/tebiki_guide.html
最近気がついた事
  • Evernote 手書きOCR

- メタデータの削除ができないことについて、みんなで考えてみるといい。

最近のいろいろなセキュリティの話題

  • どこのリージョンにデータがあるかわからないのもいいところである。
  • 半年間くらい観察しているのが一番危ないので、ここで食い止めたい。

- 日々、PCをスキャニングするのが大事。 -PC立ち上がったときにウイルスソフトが起動しているか確認してみる。

自社だけでインターネット全体のウイルスの感染状況を把握するのは難しい

無駄な事にお金をかけないで、ウイルスソフトが立ち上がっていることを確認するほうが大事!

スマートフォンの リスクアセスメント
  • 安価にセキュリティを守る方法

- Google Apps for business > モバイルの設定を利用するとよい

 Android Sync 年間6,00円
  • 今はブラウザのセキュリティの話よりも、クラウド時代はスマフォのクライアントアプリケーション
 にフォーカスがあたっている。

誰がどのアプリを使っているかを管理する時代になってきている。

懇親会

  • 白木屋
[]