第3回九州サイバーセキュリティシンポジウム振り返り

 

第3回九州サイバーセキュリティシンポジウム(3/16~3/17)に参加してきた。

昨年は北九州開催で1日のみだったが、今回は長崎開催で2日間。

2日目は午前中でシンポジウム終わりなので、金曜午後と土、日は長崎観光にして地域経済にも貢献することを試みる。

では講演メモ

①産業分野におけるサイバーセキュリティ政策

いざというときに備えて、平時からインシデント対応ベンダーの確保をしておきましょうという話があったが、自分はあまり考えていなかった。

冷静に考えると、コロナ過の初期にPCR検査や発熱時の相談先でかかりつけ医がいる人はかかりつけ医に相談できたのに対して、かかりつけ医がいない人は右往左往したのと同じ理屈なのかもしれない。

インシデント対応が自組織で完結できれば良いが、そんな組織はほとんどなく、日ごろから特定のセキュリティベンダーとの付き合いは必要であることを学んだ。

最近セキュリティにおけるサプライチェーンリスクの顕在化事例が多くなってきている(個人的にはメタップスペイメントショーケースなどがそうだと思っている)が、特に中小企業に対するセキュリティ対策について独禁法や下請け法的な観点でどこまで求めるべきなのかという相談が経産省に対して多く寄せられているらしい。

サイバーセキュリティ対策の要請自体は直ちに問題になることはないというのが後援での見解で、関連文書が出ていることを教えてもらった。

サプライチェーン全体のサイバーセキュリティの向上のための取引先とのパートナーシップの構築に向けて

また、近年ITマネジメントがロクに出来ない企業がEC-CUBEのようなオープンソースに手を出して大やけど(クレカ流出被害)する事例が続出しているが、OSS管理手法に関する事例集についてのリマインドがあった。(自分もすっかり存在を忘れていた・・・)

SBOMについてはその重要性が取りざたされているが、SBOMを食品の成分表に例えた話はとても分かりやすかった。

最後に、「ECサイト構築・運用セキュリティガイドライン」のリリースの共有があった。

先日、被害事例が絶えないEC-CUBEの自組織への導入を阻止したところ、「じゃー何ならいいんだ」みたいな話になっているので、参考にしようと思う。

②TOTO株式会社におけるセキュリティ対策について

TOTOが北九州に本社がある会社であることをこの時初めて知った。

個人的にはユーザー企業の事例紹介が一番好き。

いくつも参考になる話があったが、何点か感じたことをあげてみる。

・EDRはMDRとセットにしないと、正直役に立たないのではないかと感じた。

・グローバルでのインシデント対応体制の確立
 ⇒緊急時に現地の専門家の支援を受けられるようにする
  ⇒ユーザー企業で社員を現地に向かわせるのはいろいろハードルが高い。

・セキュリティツールは全端末に導入
 ⇒未導入端末は検出して督促し、確実に穴を塞ぐ

・EPPとEDRは相性問題が発生する可能性も考慮する
 ⇒相性問題発生時はどちらかをチューニングする必要がある

・リモートワークの常態化を踏まえるとVPNは無くしたい
 ⇒業務がブラウザベースであればSWGに移行

・ホワイトリスト運用は破綻するリスクが高い

・ログ分析で使えるツール
 ⇒CDIRコレクタ
 ⇒CyberChef

・セキュリティ対策は終わりも完成もない

③地域医療における医療DX ~長崎県@あじさいネットの取り組み~

(略)

④パネルディスカッション

FFRI前田氏、サイボウズ松本氏、EY松下氏、LAC西本社長による地域セキュリティコミュニティに関するパネルディスカッション。

西本社長が司会をするパネルディスカッションは毎回聞いていて面白い。

「公助」という言葉を強く意識させられたパネルディスカッションだった。

特に中小企業や一人情シスの組織なんかは「公助」が命綱に近い存在なのかもしれない。

一つ私が知らなかったのは、Grafsecという組織の存在。

こういうのに参加することで、日本のセキュリティレベルの底上げに貢献できるのではと思った(活動時間をどうねん出するかは悩ましいが・・・・)

食事・ナイトセッション

参加者には長崎名物卓袱(しっぽく)弁当とドリンクが振舞われた。


ご当地ドリンク、クラフトチューハイはアルコール度8%。


酔いが回ってナイトセッションはほとんど記憶がありません・・・

⑤業務執行としての情報セキュリティ再考

二日目の最初のセッション。

視点が重要。セキュリティ担当者は特損の発生を防ぐために日々頑張るが、経営層はDX(セキュリティ含む)で事業に対してプラスの効果を出したい。

机上演習は重要で、実施後の評価とフィードバックが重要(社長の発言内容が一般常識から乖離していないかのチェック。記者会見で「寝てないんだよ!」とかの失言はないか、とか)

インシデント対応を進めていくと、「原因究明派」と「拡大防止派」との派閥争いが起きるらしい(すごくわかる気がする・・・)

個人情報保護委員会のサイトによると、全てのケースが必ずしも公表しなければならないわけではない(公表しない方が良いケースも存在する)

参考:サイバー攻撃被害に係る情報の共有・公表ガイダンスのポイント

⑥なぜ、Zホールディングスはバグバウンティを推進するのか

バグバウンティの最大のデメリットの一つがハッカーの身元保証をどうするかであるが、セキュリティプラットフォーム(HackerOne、Synack)を活用、というか信用することにしているらしい。

2019年~2022年までの実績のデータはとても興味深いものだった(その場限りの情報だと思うので、ここでは控えることにする)。

バグバウンティは開催期間が長くなると参加者が減る傾向にあるが、報奨金を増やすことで参加者も増えるらしい。

⑦船舶を取り巻くサイバーセキュリティの現状について

外航海運は貿易量の99.5%を占める。それを担う隻数は2,000超で、日本の人口が急減しない限り、輸入大国の日本はこの規模の船が必要。

にもかかわらず、海運は重要インフラの14分野に入っていない。

船も今後自動航行等の技術革新が起きるが、それに伴ってサイバーセキュリティの問題が起きる(2017年にはGPSスプーフィングにより、黒海で別の位置に誘導されるインシデントが発生)

⑧サイバー犯罪の現状と対策

(略)

--

2022年は参加者全員にお土産が配られたが、今年は抽選に変わっていてちょっと残念だった。

九州サイバーセキュリティシンポジウムは毎年開催場所が変わるということで、毎年参加できると必然的に九州の様々な地を旅することができる。

これは素晴らしい企画である。是非継続してほしい。

強いて難点を言うとすれば、チケットがやや争奪戦気味になっている点。ふつーに開催1週間前でもチケットが購入できるような環境になると嬉しい。

あと、小耳にはさんだ話、九州域内には数百人規模でカンファレンスを行う様な場所(ハコ)が少ないらしい。

ちなみに今回の会場となった出島メッセ長崎もつい最近できた施設の様である。

主催者の皆様、ご苦労様です。応援しています。

参考:第3回九州サイバーセキュリティシンポジウムアーカイブ