セキュリティはPDCAよりOODA? いえ、OPDAです!!



PDCA(Plan Do Check Action)は非常に有名なメソッドですね。

PDCAは特に情報システムで構築して運用フェーズに入って改善して・・・みたいな感じで、もともとITインフラ運用が長かった自分もお気に入りのメソッドです。

なので、セキュリティもPDCAで強化できると考えていたのですが、PDCAはなかなか難しいと感じることがあります。

IT運用の場合、例えば障害が発生すると、その対応を通じて再発防止策を打つことで、類似の障害は起きなくなります。ITシステム自体はコンポーネントが有限なのでPDCAサイクルを通じた品質強化を行っていくと、非常に高いレベルのサービスレベルの実現が可能となります。

一方、サイバーセキュリティは基本的に再現性がなく、あるインシデントを受けて改善策を打っても、次に来るインシデントには前回打った施策が役に立たないなんてことがたくさんあります。

IT運用の場合、必ず管理システムのコンポーネントのどこかが壊れるわけで、極端な話、その範囲は有限なのですが、サイバーセキュリティは毎回新しい攻撃が発生するため、範囲は無限になります。

前置きが長くなりましたが、OODAループというものがあります。
OODAループとは、「Observe - Orient - Decide - Act」の4つの頭文字から名付けられ、アメリカ空軍の大佐が提唱した意思決定のメソッドの1つです。もともとはアメリカ海軍で戦闘時の判断を最適にするための理論として生まれたものだそうです。



情報収集してそこから分析して対策を打つ流れにSOC(Security Operation Center)に近いものを感じます。

一方で、個人的に整理がつかなかったのが、OrientとDecide。
「方向付け」と「意思決定」の位置づけというか、関係というかが、分かったようで分からない感じ。

あ、OPDA(Observe - Plan - Decide - Act)ってすると個人的にすっきりするかも。

情報収集して、(分析&)対策検討し、意思決定を経て対策を打つ。

セキュリティ強化のメソッドにもPlanは必要です!!

【参考】
OODA vs. PDCA 継続的なセキュリティ強化にはどちらが有効?

いくらクラウドがセキュリティに強いからって、利用者側の管理が駄目なら情報漏洩します。



IPAから「ウェブサイト開設等における運営形態の選定方法に関する手引き」がリリースされています。

クラウド活用が順調に広まってきていますが、IaaS、PaaS、SaaS等いろいろな種類のクラウドサービスがあり、各サービスで提供者と利用者の役割分担や責任分界点が変わってきます。

この資料ではオンプレも含めたクラウドサービスは下記の通り。
ちなみに一番上が最も利用者の役割分担と責任分担と自由度が小さい形態。
逆に下に行くほど利用者の役割分担と責任分担と自由度が大きい形態。

・モール(楽天市場とかAmazonとか)
・ASP、SaaS(Salesforce、Gsuite、Office365とか)
・PaaS、レンタルサーバ(AwS、Azure、Zenlogicとか)
・IaaS
・ハウジング
・オンプレミス

んで、なかなかよくまとめられていると感じたのが下記の図


クラウド移行後も利用者の責任となる部分がきれいに整理されています。
個人的には業務セキュリティ対策の中にアカウント管理も入れておいてほしかったかな。

クラウドが日本よりも進んでいる海外ではクラウド環境ゆえのインシデントが起きています。

まずSaaS。Office365やGsuiteに移行したのはいいが、利用者側の特権アカウントの管理がずさんで、乗っ取られてしまい、全ユーザーのメール情報が漏洩してしまう事件が起きています。特権アカウントの管理は結構ずさんになりがちですが、定期的なパスワード変更や二要素認証などを導入して管理強化を図る必要があります。

次にPaaS。これまでオンプレであった場合、インターネットとの間にF/Wを設置するので、サーバ担当がオペミスしてもF/Wで何とかなっていましたが、PaaSになるとF/Wもサーバもマウス操作で簡単に変更できてしまいます。そのため、例えばAwSのS3で設定ミスって内部情報をインターネットに向けて公開してましたって事件が起きています。
直近ではホンダのインド法人Honda Cars Indiaで、AwSのS3の設定ミスって5万人分の個人情報をインターネットに向けて公開しちゃってた事件があります。

クラウドが普及して一見ITの知識は不要になるように見えても、ITの知識とリテラシーを備えた人材はユーザー企業でも確保しておく必要があります。

【関連資料】
ウェブサイト開設等における運営形態の選定方法に関する手引き(IPA)
ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた
Honda leaked personal information from its Honda Connect App
Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server

Windowsプロトコル「SMB」の脆弱性を悪用する攻撃



ESET社からマルウェアレポートが出たのだが、SMBの脆弱性を突いた攻撃が多発しているらしい。これ、MS17-010という2017年3月にリリースされたパッチを適用することで対策ができるのだが、攻撃検知数が増加するということは、いまだにパッチを当てていないPCが多数存在するということだろうか?



これ、そもそもはNSA(アメリカ国家安全保障局)が開発したとされる脆弱性攻撃ツール群が、Shadow Brokersというハッカー集団によって盗まれた事に端を発しています。
盗まれたツール群の中にEternalBlueとDoublePulsarと呼ばれるツールがあり、これらのツールが悪用されて今回の脆弱性やWannaCryと呼ばれるランサムウェアの大流行に繋がっています。



蛇足ですが、マルウェアは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称ですが、NSAの様な当局が作成した脆弱性攻撃ツールはガバメントマルウェアとか言ったりもします。


ちなみに、根本対策はパッチ適用ですが、確かSMB1.0の無効化も効果あったと思います。

【出展】
2018年6月 マルウェアレポート



情報処理安全確保支援士について(その1)



情報処理安全確保支援士についてちょっと気になったのでメモ。

情報処理安全確保支援士ってサイバーセキュリティ分野初の士業ということだけれども、今回はこの「士業」という部分が気になったので書き連ねます。

Wikipedia先生を参考に想像するに、
「士業」の言葉をたどっていくとサムライ(武士)にたどり着く模様。
日本の近代国家創成期に職能資格を取得したのは、基礎教育を受けた武士が多く、そこから「〇〇士」という呼称が広がったのかと。
現代では「-士」だけに限らず、「-師」との名称がある資格も含むことがあるため、「士師業」「師士業」などとも呼ばれている。

ちなみに士業(資格)には2パターンあります。
1.無資格者の実施が禁止されている業務を行うことが許可される業務独占資格
2.その名称を用いて業務を行うことが許される名称独占資格

1.で容易に想像がつく例は医師や弁護士ですな。

情報処理安全確保支援士は2.に分類され、名称独占資格ということになります。

ちなみに個人的には情報処理安全確保支援士がIT業界初の士業と思い込んでいましたが、IT業界には既に技術士という資格が存在しています(自分一応大学からITに関わっていたけど、初めて知った・・・)。ちなみに技術士は文部科学省管轄となりますが、情報処理安全確保支援士は経済産業省管轄となります。

気が向いたら資格の意義とか、類似の資格とか、もう少し整理していきます。

[インシデント]株式会社葵

■株式会社葵
[企業情報]
業種:サービス業(インターネット学習塾の経営、中学生・高校生を対象とする進学塾の運営、eラーニングシステム・アプリの開発)
資本金:1億6900万円
従業員数:39人
企業URL http://corporate.aoi-zemi.com/

[インシデント発生日]
2018年6月27日

[インシデント概要]
同社が利用するスペインTypeform社が運営するアンケートシステムが不正アクセスを受け、「スマホ学習塾 アオイゼミ」で実施したアンケートの一部回答(具体的には2017年5月8日から2018年3月9日にかけて回答されたのべ5461件のデータ)が外部に流出。流出データにはユーザーID、デバイス情報などのほか、141件のレコードに生徒や保護者の氏名、電話番号、メールアドレスなど131人分の情報が含まれていた。

[規模]
141 件

[原因]
Typeform社による不正アクセスの検知(根本原因は不明)

[プレスリリース]
お客様情報の流出に関するお詫びとお知らせ
(参考)Typeform社の声明

[コメント]
SaaSって、セキュリティ面も含めてサービスを担保してもらっているのに、サイバー攻撃を受けて情報漏洩されてしまっては、SaaSの価値がなくなってしまう気がする。
SaaSベンダーのセキュリティ事故が多発するようであれば、企業はクラウドからオンプレに逆流する流れをとるであろう。SaaSベンダーには特に真剣にセキュリティ対策に取り組んでもらいたい。
株式会社葵は今回完全な被害者になると想定されるが、今後の対策としては、このようなセキュリティ事故を起こしたSaaSはやめ、別のもっとセキュリティ対策がしっかりされたSaaSベンダーに乗り換えるべきであろう。

[ニュース]ファーストサーバで長期障害

 



概要は上記リンク参照。

この会社、2012年にもオペミスによるデータ消失事件起こしているんだよね。

今回の障害もメンテナンス開始のアナウンスは直前だったというし、メンテナンス終了は予定を大幅に超過しているというし、前回の事件に引き続き顧客軽視甚だしい感じ。というか、安かろう悪かろうのサービスなので、利用者側はそのリスクを認識したうえで使わなければならない。

安物買いの銭失いとはまさにこのこと。

[インシデント]株式会社フレーバーライフ社


■株式会社フレーバーライフ社
[企業情報]
業種:卸売業・小売業
資本金:1,000万円
従業員数:28人
企業URL http://www.flavorlife.com/

[インシデント発生日]
2018年6月28日

[インシデント概要]
不正アクセスによる個人情報(氏名、性別、生年月日、住所、電話番号、メールアドレス、パスワード、利用履歴、お問い合わせなどお客様から受信したメール)流出。
クレカ情報の流出は無し

[規模]
11,156 件

[原因]
問い合わせ等のお客様からの入力ができるコンテンツからと推測

[プレスリリース]
【重要】弊社提携外部サーバーへの不正侵入及び情報流出に関するお詫び
弊社提携外部サーバーへの不正侵入及び情報流出に関するお詫び
弊社提携外部サーバーへの不正侵入について(第二報)

[コメント]
詳細が分からないが、サイト構築時やその後の定期的な脆弱性診断をやっていなかったのだろう。クレジットカード情報の流出がなかった点は不幸中の幸い。

ランサムウェア被害の韓国企業、身売りと引き換えにサービスを復旧(転載)~結局身代金を払っても完全復旧に至らず~


韓国のホスティングサービス企業のNAYANAが、ランサムウェア攻撃によってサービス停止に追い込まれている。同社は身売りによって資金を調達し、これを身代金として攻撃者へ支払い続けながら、復旧作業を進めている。

同社によると、被害は6月10日に発生した。153台のLinuxサーバがランサムウェア「Erebus」に感染し、データベースや動画像などのさまざまなデータが暗号化され、使用不能になったという。攻撃者は当初、サーバ1台あたり10ビットコイン(約3271万ウォン=約321万円)を支払えば、回復に必要な復号鍵を提供すると持ち掛けてきた。

同社はセキュリティ対策や二重のバックアップを講じていたが、バックアップデータまで暗号化されたため、自前での復旧を断念。被害発生について利用者に謝罪し、韓国インターネット振興院(NIDA)や警察機関にも通報した。

復旧には、総額で約50億ウォン(=約4億9000万円)が必要なものの、交渉によって14日までにサーバ1台にあたり5.4ビットコイン(約1755万ウォン=約172万円)、総額では約18億ウォン(=約1億7657万円)に減額された。しかし同日時点で、同社が準備できる資金は、4億ウォンが限界だったという。

攻撃者側の要求額との差は依然大きく、同社はブログで交渉内容も一般に公開し、最終的に13億ウォンを支払うことで妥結した。足りない費用については、同社の株式を担保に、復旧後に同社を買収する予定の企業から資金を順次調達。入金状況に応じて攻撃者から復号鍵を受け取り、17日までに全てサーバの復旧に必要な復号鍵を入手できる見込みだという。

16日の時点で一部のサーバは復旧に成功したものの、復号に失敗するサーバもあるもようだ。スケジュールは流動的だとしつつ、今後は来週までに90%以上のサーバについてサービスの回復を目指すと説明している。