ITmediaさん主催で、11月30日に開催された「ITmedia エンタープライズ セキュリティセミナー」(東京)に行ってきました。そのうちITmediaさんが関連記事を出してきてくれると思います(信じています)が、まだ出てきてないようなので、個人的に一番興味があった「特別講演C-2:セキュリティリサーチャーズナイト」の感想など書きます。
※講演の写真や録音が禁止のセミナーだったような気がしますが、会場の雰囲気だけパシャっとしたのをコソっと貼ります。
会場は17:40からの最終セッションという事もあり、ざっと半分位でしょうか。(登録はもっと多かったのかと思いますが)NICTやアクサ生命のセッションも面白そうでしたので、そちらに多くの方が行ってしまったのかも知れません。パネラーは、IIJ根岸さん、SBT辻さん、ノー肩書きのpiyokangoさん、の日本を代表するセキュリティリサーチャーの方々です。
※piyoさんは顔出しNGだと思いますので、念のため、雰囲気処理をしておきます。
3人のパネルセッションの場合は、言い方が悪いですが雑談形式っぽく進みますので、ある意味気楽に聞けるのが好きだったりします。3人のパネルは前回は8月30日に@ITさんのセミナー(雅叙園)お聞きしました。
パネルの中でも根岸さんか辻さんかが言ってた気がしますが、月1回更新されている「podcast - #セキュリティのアレ」がパネル形式になっただけ、という感じです。
パネルテーマは、辻さんのところが7/17に個人情報漏えい(だったかもしれない)事件を経験されたので、その対応について、根岸さん、piyoさんが(手心加えて)突っ込む、、、というスタイルでした。
詳細はITmediaさん辺りが詳細記事をUPしてくれると思いますので、そちらをご覧いただければと思いますが、(インシデント対応の)個人的に印象を受けたのは、
- サイバーセキュリティ経営ガイドライン 付録C が参考になりそう
- やはりCSIRT(辻さん)的な役割とトップの迅速な判断が重要
- 影響範囲特定は難しい
- 社内リソースがあるソフトバンクテクノロジーだから迅速に対応できた
- あの図欲しい。
という感じでした。
1は、11月16日に公開された「サイバーセキュリティ経営ガイドラインv2.0」の付録C作成に辻さんが関与していて、まさに検討中に事件が発生したので、是非、その時の教訓が詰まった付録Cを活用して欲しいという部分。Excelなので各組織に合った形に加工もしやすそうですし、いい資料だと思います。
2は、SBTさんの事件対応時の組織図が投影されたのですが、「1人CSIRT」として経営層と社内関連組織の間に入って対応していたことです。これは、辻さんだから出来ることででしかなく、普通の組織だとCSIRTを作るか、CSOやCISOががんばるしかない気がします。
トップが判断早かったところは(事件は漏えいがあろうが無かろうが公開、緊急体制の構築に関与等々)参考になりますね。
3は、攻撃を受けた端末が特定されたとしても、その他の端末が攻撃を受けてないか、影響範囲を調べる(無かったことの確認を取る)ことが非常に苦労したという点。フォレンジック等の外部の第3者ベンダーが調査してくれる場合は別ですが、社内での初期調査については、これは面倒そうだなと感じました。このネットワーク図は最新?であったり、検証サーバは本当にIP死んでいるのか、、、等々まで確認調査をしていた、という部分は、なかなか普通の組織では真似できない(考え付かない)ところかもしれません。
- 他には影響範囲ありません。「大丈夫です」というのは勇気がいる
4は、やはり通常の組織であれば、外注のセキュリティ専門会社(アンチウィルスベンダーやフォレンジック調査会社)のサポートを受けないと、この手のインシデントハンドリングは無理だと思いました。
最後の5は、辻さんが事件経緯の説明で使っていた事故概要図がとても分かりやすく書かれていた(根岸さんやpiyoさんも高評価)ので、是非辻さんに一般公開してor会場の最前列に居た記者さんに記事の中で引用して欲しいな・・・と思う次第。参考にしたいなぁ、あの書き方。
以上、ぶっちゃけ、辻さんがすごかったんですね、パネルの概要でした。
また次も機会あれば聴講します。
関連ソース
news.mynavi.jp
更新履歴