Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

【セミナーレポート】情報セキュリティワークショップ in 越後湯沢 (その2)

2024年10月10日-11日に新潟県越後湯沢にて開催されました情報セキュリティワークショップに参加しました。本ワークショップに参加した様子を簡単にご紹介します。

 

本ワークショップについて – 情報セキュリティワークショップin越後湯沢

 

■主な講演内容メモ(Day1)

※手持ちのメモをまとめ直したものとなります。(参考程度でお考え下さい)

※スポンサー講演を含めた全ての内容をカバーしてる訳ではありません。

※講演内容メモではオフレコ扱いの部分には触れていないつもりですが、関係各所からのご指摘があった場合は真摯に対応(変更・削除)致します

①開会挨拶/開催地挨拶

(12:15-12:35)

●開会挨拶

「社会的弱者を取り残さないために私たちが取り組めることは何なのか、 その啓発活動というのはどうあるべきか、あるいは社会とのコミュニケーションの中でどういう言葉の選び方、どういう伝え方をしていけばいいのか」

「(越後湯沢)秋の食べ物の飲み物が大変素晴らしい時期、この環境下で参加者の皆さんが相互に交流できる機会は素晴らしい」

●田村町長(ビデオ出演)

「今年の長期予報では雪は多い。越後湯沢に雪の時期にも来てください」

オリエンテーション

「1998年から開催、今年で25周年。立場を超えた様々な人たちが話し合えるワークショップを目指している」「革のキーホルダー。毎年色が違う。今年は綺麗なこげ茶色」

「講師の先生方には質疑応答に積極的に対応してくださいとお願いしている」

「車座会議を大切にしている。組織の垣根を越えて接触的に楽しく参加してください。(但しオフレコ)」

 

【キタきつねコメント】

※会場Wi-Fi有。総合冊子の最後のページの方(P23)に案内有。しばらく気づきませんでした。よく見るとベンダーブースにも案内が貼っていました。

Wi-Fi PWはNIST基準で”容易に推測できる”もの(セキュリティ系の集まりでは、どうかとは思いますが。。。)

【監査人視点】

(少人数なら)無料受講が理論上可能なワークショップID証運用である様に感じました。攻撃実現性はセキュリティ系のワークショップなので低いとは思いますが・・・。詳細手口の記載は避けますが、運営系の方で(念のため)知りたいという方がいればご連絡ください。

 

②サイバーセキュリティと国際政治

(12:35-13:25)

■小宮山功一朗氏(一般社団法人JPCERTコーディネーションセンター)

「プログラム発表前にチケット売り切れ。複雑な気持ち」

「技術が社会を変える例、スマホのバイブ音やカメラのシャッター音(日本)、ファーウェイ製の機器を使うのはリスクとの判断」

マスケット銃によって戦争の死者が増えた」

「社会決定論では、死なない様に戦う戦術から徴兵制に変わった事で戦術が変わり死者が増えたという見方ができる。両面から考える必要がある」

「昔のインターネット:電信」「エジソンは電信技士出身」

「イギリスの電信網は鉄道の線路と並行する形でケーブル敷設(中継)されていた」

「競馬で悪用、駅の人に頼んで傘の色(緑)を伝達する」※勝ち騎手の色=緑

「植民地経営では本国と通信できる手段が重要。電信技術は帝国主義と共に急速に普及した」

「電信技術は、次の技術(無線)にとって代わられる」「インターネットとサイバーセキュリティは社会を変え、社会に変えられ、次の技術にとって代わられる」「自由でオープンでグローバルなインターネットから、信頼できる、安全な、インターナショナルな通信プラットフォームを構築する方に寄せた方が良い」

「TrustできないがConfidenceを確立できるのが重要。Trust:親友を信用している、Confidence:ビジネス上野ライバル同士でも嘘をつかない、返事をしてやる関係」

 

【キタきつねコメント】

サイバーコミュニティはConfidenceを高められるパートナーを見つける心がけが必要との話は、重みを感じます。併せて新しい技術は常に悪用と隣り合わせとの内容はパスワードでも同様なので、現在の主流技術(課題)を技術・社会の両面で俯瞰する事も大事なのだと感じます。

サイバースペースの地政学 (ハヤカワ新書)

■湯沢せきゅあ新聞(公式まとめ記事)

③事例から学ぶランサムウェア被害の実態と対策

(14:10-14:25)

■杉木勇磨氏(ストーンビートセキュリティ株式会社)

ランサムウェア攻撃は短時間で実施される。数時間~早いものだと1-2時間で暗号化・脅迫まで完了する」

「3つの観点

①侵入経路

VPN装置:ADとVPNユーザーの連携でADアカウントで侵入される

・RDP接続:ADアカウントで認証試行が可能

②内部での侵害拡大

・権限昇格にあまり時間がかかっていない

ドメイン管理者のアカウントが簡単に窃取されている

・横展開やRDPやSMB

③不審なプログラム(攻撃手法)

・アンチウィルス対策ソフトの削除、無効化

・オフィス等、ランサムウェア展開の妨げになるタスクの強制終了

・シャドーコピーの削除」

「侵入されないための最低限の確認事項

VPN機器の脆弱性コスパを悪くする

※最新化、認証強化(パスワード複雑化、2要素認証)不要なアカウント削除、アクセス制限(無効化)

 

【キタきつねコメント】

お話の中で、インシデント対応の経験として、攻撃自体は単純なものが多く、全体的に脆弱なパスワードを突いた攻撃が多いとコメントされていたのが印象的でした。

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

④サイバー空間における脅威情勢と警察の取組

(14:25-15:15)

■阿久津正好氏(警察庁サイバー警察局サイバー企画課)

「刑法犯認知件数は右肩下がり」だが、「サイバー空間を悪用した犯罪、インター熱とバンキング不正送金被害、SNS型投資・ロマンス詐欺、ランサムウェア被害報告は右肩上がり」

「高度な技術を悪用した犯罪(ランサムウェア)、右肩上がり、98%が海外IPから」

警察庁の最新統計、ランサムウェア被害について従来はVPN装置の比率が高かったが、RDP比率が増えている。機器の設定不備、アクセス制限不備、初期設定のままの認証情報などが原因」※認証情報を強くする必要がある

「海外はメール経路の侵入が多いが日本は少ない」

「ウィルス対策ソフトは導入しているがやられている。ソフトの最新化は当然としてEDRやFW等の多層防御が重要」

「被害に遭わないのが最善だが、完璧には守れない。被害の拡大防止も重要」

「バックアップは自然災害からIT-BCPへの切替が必要。バックアップまで暗号化は非常に多い」

「ログは調査・復旧の観点だけでなく、捜査の立場からも重要。バックアップ同様に保護が必要」

「警察との関係構築。名古屋港は関係構築が出来た事がグッとプラクティスとして報告書で紹介されている」

「大阪急性期の報告書、契約の見直し、サイバー攻撃を念頭に置いて誰が何をやるのか明確化が重要。訓練でさらに確認し、大企業は監査を通じて点検するPDCAサイクルを廻す」

※講演後半の警察における各種取組パートはメモ掲載を自主規制します

 

【キタきつねコメント】

Lockbitリークサイト摘発(クロノス作戦)の辺りのお話もあり、国境を越えたサイバー攻撃では国際連携が重要であり、クロノス作成において”日の丸が上がった”(摘発に対して貢献した)のが、かなり象徴的な出来事であった事がよく分かりました。

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

⑥誰もが安全にクラウドサービスを活用するために ~セキュリティ評価プラットフォーム「Assured」/脆弱性管理クラウド「yamory」のご紹介~

(15:15-15:30)

■植木雄哉氏(株式会社アシュアード)

※セキュリティ評価プラットフォームAssuredと、脆弱性管理クラウドyamory(SBOM対応サービス)の紹介パートは割愛

クラウドサービスでガバナンスを効かせづらいのは、利用契約しかないから」

「攻撃者は狙いやすいところから狙うので、データオーナーとして重要資産を守るためには、クラウドサービスもきちんと見ていく必要がある」

クラウドサービス利用者が公開情報から確認しやすい部分もあるが、バックアップやログ保全脆弱性診断をアプリだけでなくインフラまでやっているか等、問い合わせないと得にくい情報もある。特にセキュリティ関係情報は問い合わせが必要なものが多い」→Assuredはセキュリティの専門家がサポートし評価・レポート化(視える化)

クラウドサービス事業者の回答の妥当性まで評価する」

「リリース2年で500社以上の実績」

「yamoryは国産サービス(日本語対応)。自動で構成情報を吸い上げ構成管理、脆弱性管理の両方ができる」「優先順位対応など、SSVCフレームワークなどを参考にオートトリアージュ機能、攻撃事例の有無なども見ている」

SaaSのサービスはどうしても機能が優先されがち、セキュリティの手間がかかる部分を任せ、各企業でしか対応できない領域(判断や対応)にリソースを集中する事が望ましい」

 

【キタきつねコメント】

何年も経たない内に、良い国産ツールの代表例とも言えるのがAssured/yamoryと評される様な気がします。

※講演内容とは関係ありませんが、アシュアードさん社内で”キタきつね”認知度が高かったのは驚きでした。

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

⑦ID管理の死角:なぜ脅威は減らないのか? ~現場の課題と解決への道筋~

(16:15-17:05)

■﨑村夏彦氏(OpenID Foundation)

「情報セキュリティとIAM(IDとアクセス管理)コミュニティが分断されている、交わる必要がある」

「当人認証:登録された人がサイトに来た際に、正しく登録された人である事を確認するのが当人認証」

※例:PW、OTP、パスキー、ICカード

「IAMの4大認証

①身元確認:登録ユーザーが誰であるか(例:マイナカードで確認)

②当人認証:今来ているユーザーがどの登録されたユーザーなのかを確認(例:OTPで確認)

アイデンティティ連携:当人認証されたユーザの属性と認証された条件などの情報を連携(例:OIDCで認証情報と属性を連携)

④アクセス管理:属性に応じて、リソースへのアクセスの許可・不許可を決定・実施(例:人事課長かつ社内ならば参照許可」

「身元確認はアイデンティティライフサイクルの「登録」と「再開」のときに利用される」

※「登録」と「再開」はID管理で危ないプロセス

積水ハウスの55.5億円被害は身元確認の失敗(偽造パスポートにおけるICチップ情報の確認を行わなかった)

「アクセス制御の失敗例:1人の出向者が全顧客データをダウンロード(→Need To Know原則の違反)」

「NIST SP800-63 第4版が策定中。デジ庁の本人確認ガイドラインも改訂中」

「デジ庁の身元確認保証レベルの対策基準(案)では、券面偽造部分のレベルが変わる可能性あり」

「SP800-63に合せて、デジ庁のガイドライン(リスク評価プロセス)も改訂される可能性あり」

「脅威が減らない原因 

【外部要因】

・攻撃のビジネス化と高度化

サプライチェーン

【技術的要因】

・ID管理の複雑化

・レガシーインフラ

・業務プロセス改善

・ログ収集と分析

【人的要因】

・セキュリティ意識の欠如

・知識・スキルの欠如

・既存の業務フローを変えることへの抵抗

・内部不正のリスク

【組織的要因】

・トップマネジメントの意識

・不十分なリスク管理

・不適切なアクセス権管理

・対策投資の不足

・不十分な教育プログラム

・セキュリティチームと運用チームの連携」

 

【キタきつねコメント】

講演の最後「火傷ドリブン」という言葉が印象的でした。

※火傷するまで熱さが分からず、火傷してから対策するのではいけない(茹で蛙と同じですね)。

ではいつやるのか?(林先生の有名なアノ台詞は自主規制)

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

→(その3)に続く予定

 

foxsecurity.hatenablog.com

 

更新履歴

  • 2024年10月14日