第10回 関西情報セキュリティ団体合同セミナーに参加してきた
今回は、すごく早く締切になっちゃったらしいので、参加したくても参加できなかった方はログで雰囲気をどうぞ。
情報セキュリティの初心にかえってもう一度やって見ませんか?
設定から監査まで、初めての人でもわかる情報セキュリティの基本
というキャッチコピーだったので、めっちゃ心惹かれました。速攻申し込みですよ。
以下、聞き取りログです
■自治体におけるセキュリティ担当者の現状と課題 ナニワ計算センター
ポリシー97.1%の策定状況 ・・・ 実際は作っただけという自治体も多い ペラ1枚等
都道府県レベルのポリシーの見直し状況や監査状況は8割以上
市町村レベルのポリシーの見直し状況や監査状況は4割未満
監査などのセミナー開催も中央省庁のある東京などが多くなかなか地方で行われない
県庁レベルでセルフチェック/内部監査用のExcelシートが送られてきても一般職員での対応が困難で読みかえる作業が必要
自治体の情報化計画等が掲載されているが、人員不足による計画倒れが発生している
→ 第三者要員として他部門の人員を手配してもセキュリティ知識がなく監査できない■知ってるつもり!?Active Directory Microsoft 香山さん
日本国内の企業全体の78%がAD利用 2009年度
正しい構成をしていないと危険な場合もある
ADで実現する認証基盤の営業ツールとして見せるスライドはまったく知識のない人にはわかりにくいスライド
Windowsドメインを構築する→ADはセキュリティの境界ですという場合もある 。。。抽象的
セキュリティの説明図→わかってくればわかるんだけど。。。
ベンダー視点の説明は難解
WhyWhatHowの整理をして説明をすると伝わりやすい ← 最初にこれを決めておかないと説明されてもわかりにくいよね
ADの機能説明
・ディレクトリサービス
電話機の電話帳機能で比喩すると分かりやすい
・クライアント端末管理機能
GPの話
ユーザが利用できるPCを固定するなど<公共のTV局などでは実施されているところもある
ユーザ名は統一されているところが多いけど・・・マシン名はバラバラが多いですね
マシン名の命名規則を統一しているとPC固定の設定は便利になります<成りすましの対策にも有効
・認証機能
ケルベロス認証 最近だと カードと誤解される場合もw
CIAは認証あってこそ成立
機密を確保するには認証あってこそ
可用性も情報のアクセスを認める認証あってこそ
完全性→誰が原文を作ったのか?ということも認証があってこそ
認証が伴わないCIAはない
・認証基盤(識別・認証・認可→業務)
認識:社員番号が誤っていたら認識ができない
認証:アクセス権の設定がおかしかったら認証されない
認可:
・NTLM認証の話
信頼関係を駆使してレスポンスをたくさん発生させて最終的に認証まで持って行っている
昔はレジストリに入れていたので2万オブジェクトがMax
・AD認証
情報をHDに入れているので論理的には無制限
・ケルベロス認証
切符の仕組みで比喩
認証機能深堀
・ADRAT(リスクアクセスメントツール)
・ADポリシーの推奨構成の説明
・Hashの種類の違いの説明
・古い業務システムが残っている場合は延命措置として使用しないといけない場合はまだ仕方がないとして
デフォルト値を変更してませんでしたは避けたいところ
・鍵の安全性で比喩
シリンダーキー → ディンプルキー
まとめ■トレンドマイクロを使った情報収集について トレンドマイクロ
各メディアの記事はメディア部門が発信しているので興味を引くようなキーワードの記事だけになっている
・トレンドマイクロセキュリティブログ
2-3日に1件程度の更新頻度
・インターネット脅威レポート
・セキュリティデータベースDNS Changerで悪用されていたDNS Serverの正常運用停止期限 2012/07/09が期限になっている
■初心者の為の情報セキュリティ監査の手引き 情報セキュリティ監査研究所
監査とはやり方を押し付けるのではなく、強度が同じならどんなやり方でもいいという考えが大事
監査とはセキュリティ上の課題を見つけることだけではなく、改善するように訴えかけることが大事
積極的に発言してギブアンドテイクの関係を結べることが大事
・体験型監査
→情報セキュリティ監査はどういう効果があるのか?
効果がわからないものはいくらでも高く見えてしまう
監査資格をとっても外部監査人として監査する経験がないので半ボランティア的な実費での請負を行っている
・内部監査と外部監査の違い
外部監査は常に契約書が優先
監査は常にリスクありき
・監査主体のひな形 JASAで作成している
・よその会社の業務はわかりにくい
→個別管理基準がそのまま監査項目になる
どの帳票を見る?等
この考えは内部監査も同じ、特定の事業部の監査を行うときも業務のヒアリングが必要になってくる
個別管理基準に同意していなかったら監査人も苦しい 同意していたら監査項目を明確にしやすい
→契約書を作成することと同じだけど契約書よりは後になるのがふつう
・契約解除になる例
隠ぺい、事実を書かないでくれと頼む等
約束した日より監査報告書を出し遅れる、監査項目のやり方が雑だった(実装確認するはずが閲覧しかしていない)等
→ 契約の停止レベルなのか解除が必要なのか?
・監査の大まかな日取りは決めても正式な日程を決めるのは負荷がかかる
→契約締結時には定められない場合が多い
・リスク分析手法の説明
・利益をセキュリティ事故時の準備金に充てる場合は税がかかるよ
・事故の起こる基礎数値はJNSAが持っている場合が多いのでALEを行う場合はJNSAのデータなどを探してみるといい
・東電はETAをやってた
→うまくいかなかったのは本質ではなかったのではないか?
ツリー解析は人間の思考解析と同じ
・リスクアセスメント本は本屋で山ほど売っている
→リスクアセスメント結果に対する監査人の視点が書かれている本は少ない
リスクアセスメントが中途半端なら監査は失敗するのか?→監査人次第
脆弱性の評価が大事 → 安全神話にとらわれている場合が多い
脅威の評価はリスクアセスメントをするところが教えたらいい
資産の価値は偉い人が知っている
評価を迷ったら高い数値(対策が必要な値)をつけるべき
・河野省二さんの運送業における〜をベースに監査計画を個別に作ってみた
・コンサルタント→監査人→立つ瀬がなくなる
コンサルタントは監査の基本要素の基準を作っておけばいい、監査人だけが基本四要素を使うのではない
・監査は身の丈に合った監査業務しかできない
小さい仕事の一人前にはなれても、幅を広げたら一人前ではない
基本に忠実に監査を行い高品質なものを
・他社受託業務のアウトソースは品質管理を行っているのと監査も同じ
監査チーム外の品質管理を行うべき
情報セキュリティ監査をやっているところが小さい部門だったら相互レビューで品質を高める
CAIS→監査人補■中小企業の継続的な情報セキュリティ対策について考える JNSA西日本支部
株式会社OSK 大塚商会100%子会社
JNSA西日本支部の説明
・情報セキュリティチェックシートWG
・出社してから退社するまでのリスク対策WG
中小企業にとって情報セキュリティは敷居が高く兼務が多いので四苦八苦 → わかりやすく例題などを含めたものを手引書として発行している
今後はクラウドやスマホなどにも対応させていく
中小企業の情報セキュリティ対策の現状(課題)
・他企業との取引ウエイトが高い
・自社の情報セキュリティ対策が必要で対策することの必要に迫られている →手引き
・自社の情報セキュリティ対策が必要だけど実践が伴わない →〃
・情報セキュリティ対策の必要性を感じていない →〃
大塚商会研修プログラムの紹介
認証取得企業の悩み
・継続的な運用・改善ができていない
・事務局だけが一生懸命
・孤独
・モチベーションの維持
・実施内容が妥当か不安
・マンネリ化、形骸化の打破方法
・複数のマネジメントシステム導入だが担当部署が違う 環境は総務、品質は品管等 PDCA がばらばら
・効率的に運用したい
・トップの意識が薄くなった、コスト意識を持たれている
自社の情報リスクを知る〜初級編(認証取得していない企業の悩み)
・じしゃのじょうほうりすくあなだらけ、中小企業にそこまで余裕はない
・まったくリスクに気付いていない
・リスクがあるのは知っているが、自社には関係していないと思っている
・必要性を感じても自社はレベルが低いので無理
・今年はやろうと思って計画しても導入・運用に至らない
・何からやったらいいかわからない
・実施すると手間が増え、仕事に差し障りがあると従業員に思われている
・情報セキュリティは保険だしお金がないとはいらない
・スマホを業務で利用しているけど、会社として決まったルールがない
課題への対応例
○認証取得企業の場合
・中小企業ではPDCAサイクルを運用し続けることが重要
マンネリ化、形骸化の打破継続
全員のモチベーションを上げて事務局の孤独感排除
参加者からの積極的な意見集約、妥当性の確保
ITの導入による運用効率化
認証を取得未取得に関わらず、情報セキュリティ対策は継続的に
・監査や教育を活用すべき
・用語は自分たちなりに言い換える
内部監査と言わず、調査・調整という
監査ということで構えられると正しく教えてもらえない場合がある
・監査の手順は自分たちなりに変kする
内部監査は健康診断
簡単検査もあれば人間ドックもある
問題があっても経過観察もある
リスクによってはセカンドオピニオンや医師団による診断など
・内部監査員は各部門で任命
任命されることで本人意識が向上、各部門の推進役に
各部門の代表による実施で、いままで意識していない他部門業務の相互理解につながる → 業務効率が良くなる
・Goodポイントを報告し水平展開
あらさがしからの脱却に
ISMS等じゃあげるけどPマークじゃあまりやらない
・顧客従業員に還元される活動
・教育・訓練だけでなく成果発表の場に
・導入時のレベルを上げすぎない
守られないルールは捨ててしまう
・やりすぎはやめる → 管理策、教育回数、監査回数
審査では合理的に説明できれば問題ないので回数ではない
・事務局・社員の負荷を軽減
複数マネジメントシステム統合
IT導入:文書管理ツールやワークフローを導入する
○認証未取得企業対応例
・対象範囲を絞り込む
本社はやってるけど他はやってないところもたくさんある
・対象業務や情報資産を絞り込む
取引先のどこどこだけはちゃんと守る
・教育・訓練の習慣化
・通達をまとめる
聞いた聞いていないをなくす
・情報セキュリティはやり続けると 慣れ、成れ、熟れ ← 担当者を励ます
・担当者として軸になるガイドラインを持つ
それを基準に継続的に見直していく
経産省のガイドライン見てもわけわからんし時間もない → 基準と照らす 去年はここまで今年はそこまで
→JASA、JNSA、JSSEC のガイドラインを見てみるといいよ
我々の課題
・IT関連企業や業界団体が継続的に支援活動を行っていくことが重要
・会員募集の案内 JNSAでは絶賛会員募集中
・成果物の案内 たくさん公開しています■ログから読み解くセキュリティインシデント トレンドマイクロ
・トレンドマイクロロゴで1枚1000円で社内販売→売り上げが寄付
今年は2000円に値上がり
UNIQLOで1枚990円で売ってたYO
・ウィルスログの中身について
一つのウィルスが見つかっただけでもそこそこのログを吐いている
・レポートが簡単に作成できる
・既に動いているウィルスは処理失敗する可能性が高い→動いている(開いている)Excelファイルを削除しようとしたら出来ないのと同じ
・X97Mが実はまだちょろちょろ
・主な侵入経路
リムーバブルメディア経由
Web経由
メール経由
・注意したい検出
暴露ウィルス、パスワードクラックソフト、ライセンスキー生成ソフト、音楽ソフトと見せかけたウィルス(正規購入外)
→ 企業内で1件でもあればしかるべき部門に報告する
自社からこんなウィルス出ましたという話がマスメディアに漏れれば格好のネタになる場合も
企業によっては1件でも出たら緊急会議になる場合もある
・ウィルス対策ソフトによるログからどこからウィルスが侵入しようとしたのか?がわかる、どこを対策したらいいのかがわかる■LT
大阪大学特任研究員 かわちゆうすけさん
ADの構築を今やってる NT → AD へ
国立大学で監査したら野良PC山ほど、ウィルス対策が入っていない等
隔離したウィルスを放置している
ポリシーがない
こういうことで困ってる人は多いかなーという話
ITS世界会議東京2013 平井さん
ITS = 技術を使って交通の課題を解決して生活の質をと経済発展の向上
世界の交通をIT技術を使ってより良いものにしていくという団体
海外で20年近く活動している団体
2013年10月に東京ビッグサイトで開催 → 高校生の社会見学の場として無料開放も予定
IPA理事長もITS Japanの副会長に
絶賛スポンサー募集中
重要インフラの制御システムセキュリティ向上などに取り組んでいきたい
JNSAセミナーとIIRの紹介 IIJ/JNSA企画WGさいとうさん
・7/25 15:00-17:00
節電環境における情報セキュリティ対策のためのガイドブック紹介
在宅勤務の話とか・NTTデータの人の話あるよ
JNSAにて近日案内予定
IIJ関西支社6階会議室
・10/24 13-18:00
BYODについて NSF in KANSAI 中小企業だからこそBYODを考えてみる
新梅田研修センター
JNSAにて近日案内予定
・IIRサマリ紹介
不アク法改正の話
DNS Changerの話要注意ね
Flameの話
Anonymousの話 ← 今も継続中なので、とばっちりを食らわないようにしたいですなぁという話
