防衛省がサイバーセキュリティ防衛技官募集~公的機関のサイバーセキュリティ担当業務ってどうなんだろう?~

画像
防衛省がサイバーセキュリティ関連業務に従事する防衛技官(係長級)を募集している。

ーー

同省が募集するのは、自衛隊指揮通信システム隊にてサイバーセキュリティ技術に関する知見を活用し、サイバー攻撃等の脅威から情報システム等の防護やサイバーセキュリティに関する人材育成、隊員の能力向上等に係る業務を行う防衛技官(係長級)。

同省では、民間企業、官公庁等にて正社員・正職員として従事した職務経験が2020年10月1日現在で通算13年以上となる、1962年4月2日から1989年4月1日までに生まれた、IPAが示すITスキル標準のレベル3以上またはこれに相当する民間資格を保有する者で、職務経験を通じて体得したサイバーセキュリティに関する知識及び技能を有する者を募集している。

概要は以下の通り。

・スケジュール

募集期間:10月7日から12月10日

第1次試験合格発表:12月18日

最終合格発表:2021年2月1日

・選考方法

第1次試験:書類選考、小論文試験

・採用予定数

若干名

・応募方法

防衛省統合幕僚監部Webサイトから書類をダウンロードし必要事項を記載し郵送。

サイバーセキュリティ防衛技官募集、実務経験13年以上の31歳から58歳(防衛省)

ーー

ということなのだが、業界周辺の見る目は厳しい。

例えば、
とか、

とか、
とか。

防衛省ではないが、公務員つながりで、以前元国税調査官の方から公務員の実態の話を聞いたことがある。

民間企業は現在労働環境の改善が進んでいて残業時間規制とか休日労働規制とかが進んでいるが、公務員はこの辺が全く進んでおらず、民間企業をしのぐブラックな職場環境らしい。

あと、公務員といえば、定期的な人事異動があるが、サイバーセキュリティ担当って典型的なジョブ型になるため、この定期人事異動がキャリアパス形成の観点で結構大きなリスクとなる。

あとは給料が安い。
業界的にこの給与水準だと、奴隷募集と思われても正直仕方がない。
民間企業の係長相当職と同じレベルを求めるのであれば、6-700万位の給与水準にしないと、正直厳しいのかと思う。

一方で、日経新聞の記事にも取り上げられていたように、わが国日本は完全にサイバー防衛後進国となっている。

サイバー部隊の構成員数を比較しても、アメリカ6,000人規模、中国100,000人規模、ロシア1,000人規模、北朝鮮6,800人規模に対して、日本は220人程度である。

対北朝鮮に対しては、経済規模では500倍の差があるにもかかわらず、サイバー部隊構成員数では30分の1しかないという、忌々しき事態に陥っている。

職場環境は悪い、キャリアパスは視界不良、給料は安い、けど国家防衛という非常に大きなやりがいは得られる。

う~ん。ちょっと考えてみるかな。。。
Labels:

【PPAP撲滅運動大喜利】ハーンは鎌倉幕府に「****」と手紙を送ったが何度も無視され日本に攻め込んだ(転載)



大喜利『パスワード付ZIPファイルは無意味だから止めて』と何度も手紙を送ったが無視されたので攻め込んだ「神風(日本企業特有の空気)」:


新型コロナウイルス感染症(COVID-19/武漢ウイルス)は私たちの生活を大きく変えました。いや、現在進行形で変えている最中かもしれません。これを面倒なことだと思うか、それとも降ってわいた有史以来のチャンス(?)と思うかはその人次第。ならば、これを機に一気に生活を変えるとまではいかなくても「変えることを考えるきっかけの検討」程度でも始められれば、それは非常に大きな一歩なのではないでしょうか。

とはいえ「何を変えるのか」を考える段になると、一体何をどう変えればいいのか戸惑う人もいるでしょう。この際、今まで当たり前だったプロセスをどう効率化できるかを考えてみましょう。つまり、そこから「何を捨てるか」「実はムダだったものは何か」を考えるのです。今回はセキュリティ記者として個人的に「この際捨てるべし!」と考えるものを紹介します。

みんな知ってる「PPAP」を何とかしよう

ここでいうPPAPとは、ピコ太郎さんがミームとして全世界に広げた“ペンパイナッポーアッポーペン”ではありません。PPAPとは、日本情報経済社会推進協会(JIPDEC)の大泰司章氏が取り上げたプロトコルで、皆さんが職場で身近に感じていて、「アレ、本当に効果あるの?」と思っているITしぐさです。

職場から今すぐなくしたい「PPAP」とはすなわち、

  • P:パスワード付きZIP暗号化ファイルを送ります
  • P:パスワードを送ります
  • A:暗号化
  • P:プロトコル
というもの。さて皆さん、心当たりはありましたか。普段職場でメールをやりとりしていると、「PPAP」方式で添付ファイルが送られてくるケースがいまだにあると思います。

一見、このやり方は非常に手軽に実現できる“セキュリティしぐさ”のようでしょう。しかし、実はセキュリティ面でリスクをはらむだけでなく、非効率な部分もあるのです。

例えば、添付ファイルにパスワードがかかっていると、職場で運用されているマルウェアフィルターをすり抜けてしまいます。また、攻撃者がターゲットにした企業のメールを盗聴していた場合、添付ファイルの付いた1通目、パスワードを記した2通目の両方が見られている可能性が高く、そもそも秘匿効果は薄いとされています。

ではなぜ、「PPAP」はなくならないのでしょうか。恐らく、多くの組織では運用ポリシーで推奨されているからではないでしょうか。また、企業のセキュリティを評価する指標に採用されている場合もあるようです。誰が始めたかは分かりませんが「それをやれと言われたから、皆が疑問を差し挟まずに従ってしまう」――PPAPがはびこるのは理由はその程度のはずです。中には、添付ファイルをメールに付けて送信すると自動で暗号化し、パスワードを別送する“PPAP自動化”の仕組みを採用している企業もあるはずです。

PPAPだけではありません。職場にいつの間にか浸透し、誰も疑問に思わないけれど、実は無意味に近い施策――。これこそ、今のタイミングでしか捨てられないものなのではないでしょうか。

では、PPAPを本気でなくしたい場合はどうすべきでしょうか。今のタイミングでメールやファイル保護のシステムを新たに内製する方法は、さすがに現実的ではありません。最も効率的なやり方は、クラウドサービスを使う方法でしょう。電子決裁システムとしてグループウェアを利用できるでしょうし、PPAPに関してはオンラインストレージをフル活用することが解決策になり得るはずです。

そもそも、職場にPPAPが導入された理由の一つは、メールの誤送信対策のはずです。つまり、パスワード付きのファイルを本来送ってはいけない相手に誤って送ってしまっても、2通目のパスワードを誤送信しなければ情報漏えいとはならない……はずです(弱いパスワードであればそうはならないでしょうが)。

クラウドストレージを使った誤送信対策は簡単です。まず、これまでメールに添付していたファイルをクラウドストレージにアップロードします。その上で共有権限を設定し、リンクをメールで適切な相手に送信するのです。万が一間違った送信先にメールを送ったとしても、共有権限をオフにすることで閲覧できなくなります。もっと手軽に送信したい、クラウドストレージ契約するにも時間がかかるというならば、以前の連載記事で紹介した「Firefox Send」を活用するのもいいでしょう。少なくとも、PPAPよりは細かいコントロールが可能になると思います。
Labels: ,

【転載】「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか?~”リスク=機会×影響度”で、”機会”に視点を当てた対策を考える~


この記事面白い 「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか? - GIGAZINE gigazine.net/news/20200915-…: この記事面白い

「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか? - GIGAZINE

gigazine.net/news/20200915-…

----

「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか?


システムやアルゴリズムの構造を秘匿することでセキュリティを高める「隠ぺいによるセキュリティ(Security by Obscurity)」は、現代では本質的な安全性を確保できていないとされています。しかし、セキュリティの専門家であるUtku Şen氏は「隠ぺいによるセキュリティは過小評価されている」と指摘しています。

Security by Obscurity is Underrated – Utku Sen - Blog – computer security, programming
https://utkusen.com/blog/security-by-obscurity-is-underrated.html

脆弱性のあるシステムを攻撃者から隠すことでセキュリティを高めようとする「隠ぺいによるセキュリティ」は、ひとたびシステムの構造が外部に漏れると攻撃を防ぐ手だてがないことから、現代では効果のないセキュリティ対策とされています。数多く存在するオープンソースのソフトウェアがセキュリティを担保できているのは、隠ぺいによるセキュリティに頼っていないからと考えられているわけです。

しかし、Şen氏は「隠ぺいによるセキュリティ」は必ずしも悪というわけではないと指摘しています。セキュリティに関するコミュニティ「OWASP」によると、サイバー攻撃のリスクは「リスク=機会×影響度」の式で計算できるとのこと。攻撃がもたらす被害の大きさである「影響度」と、攻撃を受ける可能性を指す「機会」のうち、どちらか一方でも減らすことができればリスクを軽減することができます。式にある2つの要素のうち、機会を減らすためには、セキュリティ機構を層状に構築し、攻撃者が最初のセキュリティを通過しても、他のセキュリティに引っかかるようにする必要があります。

Şen氏は層状のセキュリティ機構のひとつとして、隠ぺいによるセキュリティは有用であると主張。例えば、サーバーへのSSH接続に「デフォルトの22番ポート経由で、『123456』のパスワードを設定しているrootユーザー」を利用している場合、サーバーが総当たり攻撃を受ける可能性は非常に高いですが、使用するポートを22番から64323番に変えて「隠ぺい」することで、攻撃を受ける機会を減らすことが可能であるとのこと。

実際にŞen氏がTwitterで「攻撃対象サーバーのポートが開いているかどうかポートスキャンで調べる際、すべてのポートをスキャンしますか」とアンケートを実施したところ、およそ半数の回答者は「デフォルトのポートしかスキャンしない」と回答しており、ポートを変更するだけで攻撃を受ける機会をおよそ半分に減らせることがわかります。

SSHの例の他にも、コードを難読化したり、ランダムな変数を利用したりしてソフトウェア構造を隠ぺいすることは攻撃に対して有効であるとのこと。また、大統領の移動にはダミーの車が何十台も用意される例のように、サイバーセキュリティのみならず現実の世界においても隠ぺいによるセキュリティは利用されているとŞen氏は指摘しています。




Şen氏は「隠ぺいによるセキュリティは、それだけでは不十分ですが、コスト無しでリスクを減らすことができるセキュリティ層として機能します」と語っています。
Labels: ,
登録: 投稿 (Atom)