セキュリティの資格


先日、とあるセミナーでセキュリティ人材の話を聞いてきた。

セキュリティ人材の採用で、資格を持つ人材や経験のある人材を探すことは向こう10年くらい困難な状況が続くらしい。

そんなわけで、セキュリティ業務はアウトソースを考える必要があるというのがオチであったのだが、セキュリティ資格について少しだけ触れられていたので、グローバルなセキュリティ資格を紹介したい。

※ちなみに順不同です。

■CISM:Certified Information Security Manager
・概要:ISACAの資格で、マネージメントレベルの情報セキュリティの国際資格
・保有者:約27,000名

■GSEC:GIAC Security Essentials Certification
・概要:SANSの資格で、テクニカル(Security Essentials、セキュリティ監査、侵入検知、インシデント・ハンドリング、ファイアウォール、フォレンジック、 Windows OS、Unix/Linux OSなど、入門レベルから高度な専門性を要求されるすべての分野)な情報セキュリティの国際資格
・保有者:約4,300名

■CISA:Certified Information Systems Auditor
・概要:ISACAの資格で情報システムの監査、セキュリティ、コントロールに関する国際資格。
・保有者:約115,000名

■GPEN:GIAC Certified Penetration Tester
・概要:SANSの資格で、脆弱性診断の技術資格。
・保有者:約1,300名

■ComTIA Security+
・概要:ComTIAの資格で、ITセキュリティ的なインシデントに対応するためのセキュリティ技術に関しての知識を問われる国際資格。
・保有者:(不明)

■GCIH:GIAC Certified Incident Handler
・概要:SANSの資格で、インシデントハンドリングに関する国際資格。
・保有者:約33,000名

■CEH:Certified Ethical Hacker
・概要:EC-Councilの資格で、ホワイトハッカーの認定資格。
・保有者:(不明)

■CISSP:Certified Information Systems Security Professional
・概要:ISC2のセキュリティに関する国際資格。
・保有者:約128,000名

[まとめ]
大別するとISACAの資格、SANSの資格、ComTIAの資格、ISC2の資格がグローバル資格(少なくとも米国では通用する資格)として有名というところか。

個人的に良く見聞きするのはISACAとISC2かな。

ISACAは自分もメンバーというのがあるが、日本国内においてコミュニティがかなり整備されている。ISACAは国内に4つ支部があり、国内各支部で毎月勉強会を実施しており、CPE(継続教育ポイント:資格の維持に必要)獲得の機会がある。

ISC2も毎月は無いが不定期での勉強会や後援セミナーが結構多い印象。

いずれも受験料が非常に高額なので、なかなか受験するのには勇気がいる。

自分がCISAを志した際はスクールに通い、高額な受験料が無駄にならないように万全を期しました。

一方でSANSとComTIAはほとんど見聞きしない。

SANSはテクニカルな領域で最高峰のイメージで、尊敬の意味を込めて自分には縁のない感じ。

ComTIAは国内でもかなりマイナーなイメージ。この資格をアピールしている人をこれまで見たこともなく、正直価値が良く分からない・・・。

【関連資料】
セキュリティ人材の展望2018(非公開)

セキュリティ白書2018で気になったトピックス:年金データ無断再委託)

IPAより『情報セキュリティ白書2018』がリリースされました。

2018年も半分が終わりましたが、コインチェックへの不正アクセスによる仮想通貨流出や年金関連で個人情報を勝手に中国の業者に委託していた事件など、今年もいろいろ起きています。

そういえば、国から預かった個人情報を勝手に海外に横流しした国賊的事件が気になったので、改めて整理してみたい。

ちなみに皆さんは国民年金ってどう考えているのだろう?もともと社会保険庁がずさんな管理を行っていたことが発覚し、日本年金機構に生まれ変わったものの、2015年に標的型メール攻撃によるマルウエア感染で情報流出したり、委託先の業者が勝手に中国の業者に再委託したり、なんとも呪われた組織体のイメージが強い。。。

----
■株式会社SAY企画 ※2018年6月5日解散
[企業情報]
業種:情報・通信業(コンピュータによる情報処理事業、インターネットを利用した各種情報提供サービス業)
資本金:5000万円
従業員数:80人
企業URL http://www.say-p.co.jp/
(魚拓) https://web.archive.org/web/20180319234516/http://www.say-p.co.jp/

[インシデント発覚]
2018年2月

[インシデント概要]
日本年金機構との契約に反して無断で扶養親族等申告書の入力業務を中国の業者に委託。

[被害/影響]
528万人分の個人情報(漢字氏名、フリガナ)

[想定損害額]
10,560,000,000円

[原因]
・社長が阿保だから?
 -入力量が多く、関連会社という甘い認識で作業を分担した。契約違反だとは思わなかった。
 -(中国の業者は)自分が役員を務める中国・大連にある会社で、再委託に当たらないと思った。
 -発注した作業は氏名の読みと漢字をデータから抜き出すだけで、個人情報を扱っているという認識はなかった。

[コメント]
委託業務を日本の給与水準で考えた場合、少なくともどの程度の金額感になるのかは想定がつくはず。

国から預かったデータを中国に流すSAY企画は国賊企業認定だが、安かろう悪かろうを想定できなかったのは日本年金機構も阿呆すぎる。

日本年金機構は、呪われた組織なのではなく、単なる「ザンネン」な組織なのだろうか・・・。
----

ちなみに、自分は年金は信用しない派(自分が年金受給するころには年金制度破綻している考え)です。自分の年金は自給自足すべくリスク取って資産運用やっています。

【参考】
情報セキュリティ白書2018
日本年金機構における業務委託のあり方等に関する調査委員会報告書(概要)

フィッシングサイトのタレコミ先(Google SafeBrowsing)



※ITリテラシー上級者向け

スパムメール、ウイルスメール、フィッシングメールが来ても、基本的な対応は無視です。うっかり返信などすると、そのアドレスはリアルユーザーのものだと分かり、更なる被害拡大のリスクが出てきます。

もしあなたがフィッシングサイトを見つけたものの、黙っていられなくなった場合は、世のため人のために、ぜひ関係機関にタレコミ(情報提供)してあげてください。

自分の最近のお気に入りは下記です。


投稿すると少し世の中の役に立った気がします。


インシデント発生時の概算被害額の算出方法



インシデントが発生した時の企業の損害額はいくらになるのでしょう?

2014年にベネッセがやらかした個人情報流出事件で一人500円の金券がお詫びとして送られたことから、個人情報が漏洩した時の一人当たりのお詫び額としては500円というのが一つの基準です。

しかし、実際に個人情報が流出した企業の損害額は流出件数x500 なんて単純な算出はできないです。

集団訴訟起こされたら裁判対応費用も発生するし、原因調査やら再発防止策やらプレスリリースやらでとにかくお金がかかります。

そんなわけでぱっと損害額を出すのは難しいのですが、日本ネットワークセキュリティ協会(JNSA)さんがこの難問に果敢に挑戦し、一つの解を導き出してくれました。

今後インシデントネタを書く際はこの想定損害額算出プロセスを使って、企業へのダメージを定量的に表現してみたいと思います。

と思っていたら、今度はJNSAの想定損害額算出プロセスのシミュレータを公開されているサイトを発見。

なんともありがたいことです。今後有効活用させていただきます。

【参考URL】
想定損害賠償額シミュレータ
JNSA 情報セキュリティインシデントに関する調査報告書

oneworldのサイト閉鎖!?



マイルをためるのが趣味で、来年のゴールデンウィークはマイルを活用してヨーロッパビジネスクラスの旅を計画しています。専らJALでマイルをためていますが、繁忙期にJALのビジネスクラス特典航空券を確保するのは至難の業なので、JALが加盟するoneworld加盟航空会社を使った旅程を計画しています。

んで、oneworldのサイトにアクセスしたら、下記のエラーが。。


パスワードやクレカ情報が盗まれる可能性があると、穏やかではない警告が。

調べたところ、どうも証明書が切れているようです。


証明書は有効期限があるので、しっかり管理していかないと、こんな事態に陥ります。

しかも、証明書切れてから証明書手配しようとしてもいろいろ手続きがあるので、1週間くらいはかかると思います。

しかもこうなってしまうと、一般企業ならイメージダウンは避けられませんね。

ちなみにマイクロソフト(通称:マイクソ)のInternet Explorerだと、問題を承知で先に進めることができます。
ブラウザシェア世界No1のGoogle Chromeはこういういい加減な状態は一切許す気がないらしく、どう頑張っても先に進めることができません。

ちなみに証明書には3種類あります。

・ドメイン認証型(DV):ドメインの管理権限を元に発行されるSSL証明書。一番安い
・実在証明型(OV):組織情報の審査が行われるため、サイト運営者のなりすまし防止が可能
・実在証明拡張型(EV):OVよりも厳格な審査を受けてから発行。アドレスバーがグリーンになり、組織情報が表示されるようになる。

企業が証明書を導入する場合、多いのはOVですね。推奨はEVなのでしょうが、高額なのと、費用対効果の兼ね合いからあまり導入は進んでいない感じ。

セキュリティ対策の最適解



今日、とあるガートナーのレポートを目にする機会があったのだが、「セキュリティ対策をどこまでやるか」に対する面白いアプローチがあった。

そのアプローチとは、
1.セキュリティ対策ができていない「二流以下の企業」から、必要最低限の対策を検討する
2.セキュリティ対策ができている「一流企業」から、次の一手を検討する

というものであった。
答えがない領域に対して答えを求めていくアプローチとしてとても面白いと思った。

せっかくなので、レポートの中から、セキュリティ対策ができていない「二流以下の企業」向けの推奨セキュリティ対策をまとめていきたい。

ちなみに、「二流以下の企業向けの推奨セキュリティ対策」とは、「40%以上の企業で実施済みのセキュリティ対策」のことである。

・ポリシーやガイドラインの整備

・教育 (標的型メールの教育や訓練等)

・認証、アクセス権管理

・ネットワーク設計の見直し (セグメンテーションやアウトバウンドの不審な通信への対応
等)

・エンドポイントセキュリティの基本実装 (パターンマッチング型のアンチウイルスソフト導入等)

・サーバやPCへのパッチ適用 (OSだけでなくアプリも)

・セキュアWebゲートウェイ

・セキュアメールゲートウェイ

【参考資料】
サイバーセキュリティの最適解を探る(非公開)

[インシデント]株式会社ソニー・ミュージックマーケティング



■株式会社ソニー・ミュージックマーケティング
[企業情報]
業種:情報・通信業(音楽ソフトの製造・販売・音楽配信)
資本金:4億8000万円
従業員数:150人
企業URL http://www.sme.co.jp/sme/corporate/smm.html
被害URL https://fortunemusic.jp/

[インシデント発生日]
2018年7月12日

[インシデント概要]
7月12日14時から16時にかけて、サイトのリニューアルにともなうメンテナンスの影響により、システム障害が発生。期間中に同サイトへログインし、商品一覧ページから直接マイページへ移動した場合、ログアウトするまでの間、他顧客としてログインした状態になった。

[被害/影響]
 他のお客様にマイページを閲覧された可能性がある方:64名
 他のお客様のマイページを閲覧した可能性がある方:116名

[原因]
サービス提供時間中のシステム変更作業および、変更作業中の障害発生(オペミス?)

[プレスリリース]
【重要】forTUNE musicシステム障害に関するお詫び

[コメント]
システム運用におけるべき論でいえば、サービス提供時間外にメンテナンスウィンドウを定期的に設定し、その時間で作業をするのがベスト。
メンテナンスウィンドウ内であれば、ミスがあってもリカバリできるが、今回のようにサービス提供中にメンテナンス作業を実施して失敗すると、余計な仕事が増える結果となる。
余計な仕事が増えるだけならよいが、下手するとブランドイメージも傷をつけることとなる。

国立研究開発法人 産業技術総合研究所でのセキュリティインシデント~クラウドサービスで認証突破される~


■国立研究開発法人 産業技術総合研究所

[組織情報]
組織形態:国立研究開発法人(国立研究開発法人産業技術総合研究所法により「鉱工業の科学技術に関する研究及び開発等の業務を総合的に行うことにより、産業技術の向上及びその成果の普及を図り、もって経済及び産業の発展並びに鉱物資源及びエネルギーの安定的かつ効率的な供給の確保に資すること」を目的とする。)

予算:969億85百万円(2010年度決算)

従業員数:2,949人

URL http://www.aist.go.jp/

[インシデント発生日]
2018年2月6日

[インシデント概要]
産総研の主たる情報システムである
 ・クラウドサービスを利用するメールシステム(⇒Office365)
 ・独自に構築する内部システム

の双方に順次不正なアクセスが行われ、
 ①職員のログイン ID の窃取
 ②パスワード試行攻撃によるパスワード探知
 ③職員のログイン ID・パスワードを用いた、内部システムへの不正侵入
 ④内部システムのサーバの「踏み台」化
 ⑤メールシステム及び内部システムの複数のサーバに保管したファイルの窃取又は閲覧
といった一連の不正行為が行われた。

[規模]
下記が外部へ漏えい又は閲覧された可能性。
 ・未公表の研究情報 120 件
 ・共同研究契約等に関する情報 約 200 件
 ・個人情報を含む文書 約 4700 件
 ・全職員の氏名・所属
 ・143 アカウント分の電子メール及び添付文書

[原因]
メールシステム(Office365)へのブルートフォース攻撃によるアカウント情報搾取?

※個人的な見解は「クラウドメールサービスのセキュリティ設定不備」

[プレスリリース・参考資料]
20180213弊所に対する不正なアクセスに関する事案について
20180720「産総研の情報システムに対する不正なアクセスに関する報告」について
【参考】導入事例:産業技術総合研究所様(Microsoft Office 365)

[コメント]
メールシステム(Office365)への不正なアクセスを皮切りに内部ネットワークに侵入されたという、少し釈然としない原因。


何が釈然としないかって、悪意のある第三者がメールシステムに対して不正ログインの試みが可能な点。

普通メール環境をクラウドに持っていったら、セキュリティ強化の観点でアクセス元IPの制御はするはず。少なくとも自分が過去に関わってきている会社は全てそうしてる。

それをしていなければこのような事態が起きることは想像に難くない。
(各ユーザーの認証に二段階認証とかを用いていれば別だが)

あと、プレスリリースで自組織の環境を明かすのもNG。

悪意のある第三者に不正アクセスをさせるためのヒントを与えているようなもの。

元ソニー社長の中鉢さんが理事長されている組織なのでぜひ頑張ってほしい。