雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
Cyber Posture(サイバー・ポスチュア)って・・・
Cyber Posture(サイバー・ポスチュア)って言葉を今日初めて聞きました。
海外では数年前からある考え方で、NISTのドキュメントにも登場してくる言葉らしい。
最近日本では、セキュリティ業界のトップガンである名和先生がよく使っているようで、自分の耳にも入ってきた。
Postureって「姿勢」の意で、Cyber Postureを日本語で表現すると、
サイバーセキュリティ態勢
みたいな感じだろうか。
ヨガでは姿勢が重要とされており、サッカー選手は体幹が重要とされており、同じような考えで、セキュリティも態勢が必要と。
ま、要は部分的にバラバラに対応していてもだめで、それらがしっかり組み合わさっていないといけないという感じだと思う。
セキュリティの観点で言い換えると、従来のセキュリティ対策は、物理的セキュリティ、情報セキュリティ、ビジネス継続性管理、データ保護、社内セキュリティ、社外セキュリティ等、それぞれ分けて考えていたが、今後、これら分割した考え方は時代遅れであり、分割により組織全体を危険にさらす可能性さえあるとのこと。
名和先生が某講演でお話しされていたポイントは5つ
1.サイバーリスクをITの問題ではなく、全社に関わるリスク管理の問題として扱う
2.企業はビジネスの文脈でサイバーリスクに対処する
3.企業はサイバーリスクを様々なレベルで探し出して軽減する必要がある
4.脅威は常に変化しており、その動きに適応することが不可欠
5.サイバーリスクは包括的で協調的なガバナンスを求めている
一部良く分からない部分があるので、勉強せねば。。。
EV SSL証明書の価値って・・・
SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。
つまり、目的は2つあります。
本日は「運営者の実在性を確認」する目的で使う件の話です。
SSLサーバ証明書には下記3種類が存在します。
・DV(Domain Validation):ドメイン名が存在することの証明書
・OV(Organization Validation):組織が存在することの証明書
・EV(Extended Validation):OVよりも厳密な実在性証明を課す証明書
DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。
OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。
EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。
が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。
(結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・)
【EV SSL証明書は効果ない検証の結果】
EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認(具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます)
【EV SSL証明書搭載の偽サイトができる!?】
米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。(つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る)
結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。
もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。
【参考リンク】
東京2020のなりすましメール対策
東京オリンピックのチケット申し込み(追加抽選)、やろうやろうと思って後回しにしていたら、締め切りが過ぎてしまった。。。
東京オリンピックがどんどん遠のいていく・・・・。
案内のメールを改めて見ていて、気が付いたことがあった。
それは、メール本文に申し込みサイトへのリンクが「無い」点である。
これ、ふつーの人から見ればただの不親切にしか見えないかもしれないが、標的型攻撃メール対策の観点ではかなりしっかりしていると考えられる。
万一、東京2020組織委員会を騙るなりすましメールが出回ったとしても、偽物と本物の区別が非常に容易になる。
「オフィシャルのメールにはリンクはありません。リンクのあるメールは偽物です」と言えるので、アナウンスもシンプルでわかりやすいし、一般の人でも偽物と本物の区別がつきやすいと思う。
こういう対応はそれなりに練らないと出来ないだけに、立派だと思った。
顧客の目先の利便性を追ってセキュリティ対策を犠牲にし、結果顧客の信頼を失った7pay(7&i)の関係者に爪の垢を煎じて飲ませてあげたいと感じました。
参考までに下記が届いたメールのサンプル。
特別機内食はオトクか
夏休みのバンコク滞在も終わり、日本に帰ります。
今回は直行便だったので、無事旅程を終えることができましたが、万一香港経由の便を取っていたら、逃亡犯条例反対デモの影響で旅行取りやめになっていたところでした。
今回はJALの便を利用したこともあり、特別機内食にチャレンジしてみました。
特別機内食のメニューはこちらを参照。
結構種類があります。
ベジタリアンミール、低塩分ミール、糖尿病ミール、低カロリーミール、低グルテンミール、低脂肪ミール、シーフードミール、フルーツミール、etc
他のブログを見てみると、これらの特別食のメリットとして、下記があるようです。
・品切れが無い(ま、事前予約制ですしね。)
・出てくるのが早い(一般の機内食よりも先に配られる模様)
「出てくるのが早い」というのは妙に惹かれます。
最近は搭乗前にラウンジで結構お腹いっぱい食べてきてしまうので、機内食にこだわる必要は無く、むしろ少し軽めで良いくらいな感じ。
低カロリーミール、低脂肪ミール、フルーツミール辺りで悩んだ結果、今回は低脂肪ミールを選択。(健康診断で悪玉コレステロールが・・・・というのもあり。。。)
んで、結果はどうだったか。
【良かった点】
・本当に早くミールが提供された
【残念だった点】
・食後のデザート(ハーゲンダッツ)がスキップされた
ハーゲンダッツ食べたかったのになー。
そんなわけで夏休み終わりです。
2019年後半戦頑張りましょう!
日本企業のセキュリティ予算比は?
NRIセキュアテクノロジーズ社が毎年行っているセキュリティ実態調査の2019年度版がリリースされたので読んでみた。
日本企業の情報セキュリティ対策は一般的に欧米企業と比べると遅れていることは認識していた。
それでもアジア圏の中で見ればそれなりに進んでいるのだろうと思っていたのだが、シンガポールと比較してもだいぶ後れを取っていることが分かり、残念な感じになった。
企業におけるIT予算やセキュリティ予算の考え方は、絶対的な解は無い。
そのため、IT予算の場合はその企業の売上高の何割をIT予算に充てているかで考えることが多い。
んで、セキュリティはそのIT予算の何割をセキュリティ予算に充てているかで考えることが多い。
ちなみにIT予算については、売上高の2%~3%が標準的な水準であると考えている。
一番比率が高いのは金融業界で5%~7%
ちなみ0.5%程度とかいう業界も存在していたと思う。
ちなみに売上高に占めるIT予算化比率が0.5%程度だとどういうことになるかというと・・
・保守/運用体制が確立できない(企画やプロジェクト推進の担当と保守運用担当のメンバーが同じ)
⇒リソース不足とメンバーへの高負荷により離職率増加
・ドキュメントが存在しない(上述の影響でそもそもドキュメント作成のリソースが無い)
・PDCAサイクルが存在しない(PDサイクルのみが存在、またはPすら無く、Do,Do,Doだけとか・・・)
・新規のIT投資がほとんどできていない(既存システムの保守もままならない状態)
ということで、IT予算化比率が0.5%程度の会社はIT投資を怠っている会社となり、更にはセキュリティ対策も怠っている会社と言うこともできる。
前置きが長くなったが、今回はそのIT予算に占めるセキュリティ予算の話。
レポートを見た感じ、IT予算の10%をセキュリティ予算に充てるというのが一つのポイントなのだろうか。
レポートはこんな感じだった。
【IT関連の予算に占めるセキュリティ予算の割合が10%以上の比率の企業割合】
・日本:37.6%
・アメリカ:84.5%
・シンガポール:71.6%
ちなみに日本企業の最多ボリュームゾーンは1%~5%、5%~10%未満でそれぞれ30%ずつだった。
CISOの設置率も日本は50%程度なので、そもそも予算が取れないという問題はあるかも。
来年オリンピックがあるのにセキュリティ後進国化している感が気になる今日この頃。
飛行機の搭乗履歴を管理するツール(my.flightradar24.com)
夏休みでタイのバンコクに来ています。
元気なうちに海外旅行をいっぱいしようのコンセプトのもと、1週間以上休みがあれば海外に行くことを心がけています。
そんな訳で、年数回飛行機に乗っているのですが、そんな生活を何年も続けていると、過去にどんなフライトをしたのか整理したくなってきます。
それで現在使っているのが、my flightrader24(旧FlightDiary)です。
個人的に気に入っているのは、搭乗日と便名入力すると自動的に機体番号も表示してくれるところ。
あとは統計情報を出してくれるところ。
JAL便の利用が多いとか、B767の搭乗が多いとか、羽田⇒伊丹間の利用が多いとか、土曜日のフライトが多いとかが自分の傾向みたいです。
あと、統計を年毎にも表示することが可能なので、年末に今年のフライトを振り返るときなども使えます。
Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行期間
マイル活動で現在研究中のルートの一つがヒースローリワードにポイントをためてエーゲ航空のMiles+Bonusに移行するルート。
ヒースローリワードのポイントがある程度貯まったので、一度ポイントの移行検証をしてみることに。
ヒースローリワードのサイトにはポイント移行のスケジュール的な目安は無く、ネットで検索してみる感じだと2~3日で反映されるとの事。
とりあえず1,000マイル分を移行してみたのですが、数日どころか1週間たってもMiles+Bonusの口座に反映されない。。。
意を決してヒースローリワードにメールで問い合わせてみる。
その結果が↓
ーー
Dear Mr ****,
Thank you for contacting Heathrow Rewards.
I would like to confirm that it can take up to 30 days for points to appear in your account after you have requested the transfer.
I hope that this information helps.
Yours sincerely
ーー
ということで、Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行は30日ほど要しますので、計画的な移行を進めましょう。
ご利用は計画的に(サラ金じゃないけど・・・・)
7pay残念無念
2019年7月1日にリリースし、同年7月2日に不正利用が発覚した7payは2019年9月末をもってサービス終了となりました。
サービス開始して実質2日でサービス終了する決済サービスは史上最速ではなかろうか。
この7pay問題(通称7payガバガバ問題)、結局何が問題だったのだろう?
個人的には諸悪の根源はザルな認証基盤である7idにあると勝手に想像している。
しかし、それは結果論であって、個人的には7payと(ザル認証基盤の)7idを連携させることに誰も異議を唱えなかったのだろうか?ということ。
想像するに7pay側は「2段階認証おじさん」の異名をとった社長始め、ITスキル無しorベンダー丸投げ体質であったことは何となく想像がつく
緊急記者会見で「セキュリティ診断はしっかりやったが指摘は無かった」のにこのような事態が発生したのは、下記の事象によるものと想像する。
・7payそのもののセキュリティ対策はしっかりしており、診断の結果問題なかった
・7idは既に動いているシステムのため、診断しなかった
更に更に想像するに、7idの構築運用ベンダーと、7payの構築運用ベンダーは別で、ITスキルの無い7&i側の思い付きで7idと7payの連携が決まり、リスクを発見or発言できる人がいなかったのではないかという気がしてきている
とっても残念だなと思うのは7&iにはグループ内にネット銀行(セブン銀行)も電子マネー(nanaco)も扱う会社を抱えており、それらの会社は7payに出資もしているのだから、もうちょっと何とかならなかったのかなーというところ。
落ち着いたら「動かないコンピュータ」や「敗軍の将、兵を語る」とかでぜひ取り上げてほしい。また、どこかの講演でだれかネタにしてほしい。
個人的には真の教訓が何なのかを知りたい(ITを知らない経営がITに手を出すとこうなる。とか、セキュリティ対策をザルにするとこうなる。とか。。。)
登録:
投稿 (Atom)