クラウドサービスのリスク

2019年8月23日にAmazon Web Services（AWS）で大規模障害が発生しました。

個人的には「ついにやっちまったか」という感じ。

クラウドサービスのメリットは、ITシステムを自社で運用する必要がなくなるのがメリット。

一方でリスクとしては下記がある。

1.預けたデータが第三者に漏洩しないか

2.障害発生時は、自力での障害復旧ができない（神に祈るしかない）

1.はスノーデン氏の功績により、少なくとも当局には漏洩することが判明している。

よって、当局に漏れるだけであれば構わないと腹をくくれるのであれば、問題ない。

逆にそれを受け入れられないのであれば、ITシステムはオンプレミスにして自社運用をしていく必要がある。

2.は正直クラウドサービスが今後普及していけるかのカギになると思っていた。

今回のAWSの障害で見事に実証されたが、クラウドサービスで障害が発生してしまうと、管理者は何もできず、ただ指をくわえて復旧を待つだけとなる。

上司から状況報告や復旧目途を求められても「わかりません」という、マヌケな回答しかできなくなってしまうのである。

個人的には、クラウドサービスが高い可用性を維持し続ける限り、クラウド移行は進むと考えていた。

しかし、今回の様に、クラウドサービス側で派手に障害を起こされてしまうと、利用者側はその前提でITシステムの運用を考え直さなければならない。

クラウドサービスもたまに派手な障害が起きることを踏まえた、選択肢は下記と考える。

選択1.クラウドサービスでもたまに障害が起きるものとして受け入れる。

選択2.障害発生時に状況把握ができない点や、自力による復旧活動ができない点をリスクとしてとらえ、オンプレミスの運用に戻す

選択3.障害発生時のデメリットはあるものの、クラウドサービスならではのメリットもある。デメリットを削減しつつメリットを享受するため、ハイブリッドクラウド（半分クラウド、半分オンプレミス）構成にする。

どれを選択するかは、業種業態やシステムに求める可用性によって異なると思う。

重要インフラ事業領域（「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野）については、選択肢2か、選択肢3を選ぶべきだと思う。

ちなみに、選択肢4として、別々のクラウドサービスを併用するハイブリッドクラウド（例えば、AWSとAzureにそれぞれ構築して冗長化する）も考えてみたが、IaaSってそれなりに管理が複雑であり、IaaSそのものは利用を1つに絞って使うべきというのが僕の意見。

ちなみにクラウド活用が進んでいる米国では、IaaSの管理設定の不備による情報漏洩が相次いでいる。

事件1.Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存

事件2.ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

事件3.WWE、300万件の個人情報がアクセス可能な状態で公開

事件4.米陸軍の極秘情報がAWSで公開状態だったことが発覚

WAFがあればパッチ適用はいらない！？

WAF(Web Application Firewall)の導入を検討する際、WAFの必要性を説いていく過程で、いくつかの壁に当たる。

その前にWAFとはという話から。

WAFとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。

WAFを使用することで、以下の効果が期待できる。

1.脆弱性を悪用した攻撃からウェブアプリケーションを防御する。

2.脆弱性を悪用した攻撃を検出する。

3.複数のウェブアプリケーションへの攻撃をまとめて防御する。

　※出典：ウィキペディア

んで、WAFの必要性を説いていく中で、特に経営層レベルから疑問を投げかけられるのが下記のようなケース

■ケース1.「F/Wを入れているのになぜWAFが必要なのだ？」

FireWallに加えて、Web Application Firewallを入れる場合、（というかほとんどがそのケースだと思う）この説明を(お母さんでも理解できるように)分かりやすく説明しなければならない。

これは、車の検問で例えるのであれば、下記のような違いになると思うのだが、いかがだろう？

F/W：車のナンバープレートや運転手の顔、車の形状、行き先で良し悪しを判断

WAF：外見だけではなく、中身（乗員/乗客、荷物とか）も見て判断

■ケース2.「WAFを入れればパッチ適用は不要になるのではないのか？」

これ、自分の中で最近まで困っていたケース。

当然べき論としてはWAFは暫定対応であり、システムの脆弱性なのだから、恒久対策としてはシステム側で対応(=パッチ適用)をするのが基本である。

しかし、「WAFで止まっているんだからいーじゃん」と言われると、正直反論が難しい。実際に実務的にはWAFでの対策が事実上の恒久対応になっているところもあるようだ。

そんな中で反論できるネタを用意してみた。

[反論]WAFの設定ミスで攻撃を許容してしまうリスク

脆弱性が出た当初は意識してWAFで止められていたとしても、何かのタイミングでWAFの防御設定が外れ、攻撃を受けて、情報漏洩してしまったケースが存在する

詳細はこちら

WAFも所詮は人が運用するものなので、当然オペミスのリスクが出てくる。

なので、脆弱性が出た当初はWAFで暫定的にしのぐものの、恒久的にはシステムにパッチ適用を行い、根本解決を行わなければならないのだ。

WAFそのものが設定ミスや、何かの拍子で防御設定が外れ、結果的にWAFをスルーする（攻撃を受けてしまう）ケースは、想像できなかった。

発想力が豊かな人間になりたい今日この頃。

スマート家電は買わない

今日はINTERNET Watchの記事から。

ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要。

例えば、スマートスピーカーの場合、攻撃を受けた結果、再生履歴、利用しているストリーミングサービス、そのサービスに登録しているメールアドレスなどを、インターネットを通して盗み取られてしまう可能性があります。

デバイスがネットワークに繋がることにより、リモートで操作が出来たり、インターネットのサービスを使えるようになるので、とても便利です。

一方で、デバイスがネットワークに繋がるということは、悪意の第三者とも繋がることになるというデメリットも認識しなければならない。

この認識を持つと、

「家電をスマホで遠隔操作できます」

とかのうたい文句を聞いても、

な～んにも響かない。嬉しくない。むしろイラつく。

だって、

「家電を(自分の)スマホで遠隔操作できる」

ってことは、

「家電を(悪い人から)インターネット(経由)で遠隔操作される」

というのと同義ですからね。

ちなみに、コーヒーメーカーが不正アクセスを受ける事例が既にあったりします。

自分はスマート家電は買わないです。

シンプル イズ ベスト

ということで。

情報セキュリティ白書2019

IPAから情報セキュリティ白書がリリースされていたので、読んでみた。

ボリュームが多いので、とりあえず今回はDDoS周りを・・・。

来年は2020年東京オリンピック/パラリンピックの年だ。

オリンピック開催国には漏れなくDDoS攻撃がセットでついてくるので、ちょっと情報のキャッチアップを・・・・。

■2018年度のDDoS事例

DDoS攻撃ってオリンピックが特に多くなるイメージだけど、実際には毎年どこかの企業が攻撃に晒されている。

2016年には日産自動車がかなり大きい規模のDDoS攻撃を受けていた。

2018年度の被害事例は大きく2つ

・株式会社スクウェア・エニックスが運営するオンラインゲーム「FINAL FANTASY XIV」

・合同会社 DMM.com が運営するゲーム「艦隊これくしょん」

■攻撃手口

DDoS攻撃は、主にボットネット、IoT ボットを用いる手口や、リフレクター攻撃と呼ばれるサーバの設定不備を悪用して、攻撃通信を増幅させる手口等が挙げられる。

また、上記の攻撃手法を併用されることも多い。

更に、攻撃効果や状況に応じて、有効な手口に絞った攻撃に切り替える手法もあり、これはマルチベクトル型攻撃と言われ、現在の主流となっている。

マルチベクトル型攻撃のイメージ(白書より拝借)

■対策

白書に記載の対策は下記の通りだが、正直決定打になるようなものは見当たらない感じ。

・アクセスログや通信ログ等を確認し、攻撃が特定のIPアドレスから行われていると判断できる場合は、当該 IPアドレスからのアクセスを遮断する。
　⇒DDoS攻撃なので、特定のIPアドレスから行われているケースは少ない(DDoSだけに、200IP位から分散攻撃されます)

・国内からのアクセスを主に想定しているサイトでは、海外の IPアドレスからのアクセスを一時的に遮断することも検討する。
　⇒国内のIPアドレス(乗っ取りとか偽装とか)からDDoS攻撃されるとあまり意味がない。

・攻撃者が攻撃元の IP アドレスや攻撃方法を定期的に変更してくる場合があるため、継続して監視を行い、攻撃方法に合わせた対策を実施する。
　⇒ただの精神論だよ。。。

・組織内で対処できない程大規模な攻撃や執拗な攻撃を受けている場合は、ISPとの連携や警察等への通報を実施する。
　⇒ISPとの連携はアリ。
　　警察への連携は正直不要。いろいろ聞かれるけど、助けてくれない。

・攻撃の頻度や、攻撃対象サイトの重要性によっては、DDoS 対策製品や ISP 事業者が提供するDDoS対策サービスの利用を検討する。
　⇒結局この辺の検討が一番妥当な気がする。
　　金がかかるけど、モノを購入するのではなく、サービスを利用する形態であれば、導入や廃止は比較的簡単なので、オリンピック期間中だけ利用とか、来年度だけ利用とかの検討ができると思う。

【管理人参照用】
情報セキュリティ白書2019

IPO抽選で本当に公平な証券会社は？

数年前からIPO投資にチャレンジしています。

IPOとは、「Initial（最初の）Public（公開の）Offering（売り物）」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。

これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

つまり、値上がりを期待できる株式を証券会社から配分されれば、利益を得られるチャンスということに。

IPOは各ネット証券で取り扱っていますが、制度は各社異なっています。

私が主に使っているのは下記2社。

■マネックス証券：完全抽選方式

■SBI証券：資金比例抽選&チャレンジポイント制度

私はもともとマネックス証券のユーザーだったので、IPOも最初はマネックス証券をメインにしていました。

しかし、やれどもやれども当選しない・・・・・。

一方のSBI証券はポイント制度が存在しており、抽選して外れても1ポイントがもらえ、次回抽選時にそのポイントを使うと当選確率が上がるという仕組みになっていました。

（ちなみに、当選するには300ポイント位必要らしい）

ここでふとした疑問が。

一体どっちの制度のほうが公平なんだろう？

IPOの経験がない人が聞くとマネックス証券のほうが公平の様に聞こえますが、IPO応募を経験すると、SBI証券のほうが平等な感じがしてきます。

理由は、マネックスの完全抽選方式は毎回ゼロリセットなので、外れ続けると心が折れます。

SBI証券は外れても、もらえるポイントが「いつかは当選する」というモチベーションに繋がります。

そんなわけで、IPOはSBI証券がおススメです。

不正プログラム（不審ファイル）の調査で使えるツール(Autoruns)

昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

まず最初はAutoruns

■特徴

・Windowsの起動時に自動的に実行するプログラムの一覧を表示可能

・Sysinternal Toolsに同梱

・autoruns.exe と autorunsc.exeの2つのファイルが存在し、

　autoruns.exeはGUIのツール、

　autorunsc.exeはコマンドラインツール

■主な利用方法

「マルウェアは自動起動設定をどこかに設定しているはず」という仮説をもとに、マルウェアファイルを探索する場合に活用

■画面レイアウト

■簡単なポイント

・ピンク色に色付けられたところをまずはチェックしていく感じ

・Publisherが空欄のファイルは怪しい率アップ

・フィルタ設定（Optionsメニューから設定）が可能

　⇒Hide Microsoft Entries のチェックを外すことで、発行者が「Microsoft Corporation」になっているエントリも表示可能

・気になるレコードで右クリックし、[Jump to Image]をクリックすると、該当ファイルのパスに移動できます。

・tempフォルダ等一時保管用のフォルダにある実行ファイルは怪しい率アップ

■注意点

・Publisherの情報は編集可能であるため、偽造されている可能性も考慮に入れて使う必要がある

■入手

本記事投稿時点での最新版はここからも入手できます。

バックアップはこちら

セキュリティをしっかりやっている企業の見分け方

以前の記事で、売上高に占めるIT投資の比率が1%を切っている企業は、IT投資を怠っており、IT的にはヤバイ旨の記事を書いた。

売上高に占めるIT投資の比率については、IR情報等からある程度調べることができる。

では、セキュリティをしっかりやっている企業はどうやって見分ければよいか。

今日ふと思った方法の一つがNCA（日本シーサート協議会）加盟有無。

名ばかり会員の可能性も無いことは無いが、加盟しているということは、企業内にインシデントレスポンスを対応する人がいるということになるはずで、一つの判断基準になるのではなかろうか。

試しに仮想通貨交換業者の加盟状況をチェックしてみた。

・DMMビットコイン：たぶん加盟(DMM.CSIRT)

・GMOコイン：たぶん加盟(GMO 3S)

・ビットフライヤー：未加盟

・コインチェック：加盟(CC-CSIRT)

・ビットバンク：加盟(bitbank-sirt)

・フォビ仮想通貨取引所：未加盟

・Zaif：未加盟

・Liquid：未加盟

・フィスコ仮想通貨取引所：未加盟

・VCTRADE：未加盟

・BITPoint：未加盟

こういう視点で取引先を選ぶのも良いかもって思った。

新生銀行撤退を考える

10年くらい前から、メインバンクとして新生銀行を使っています。

当時は下記のようなメリットがあって、なかなか使い勝手の良い銀行でした。

メリット1：コンビニATMや都市銀行での出金手数料無料

メリット2：振込手数料優遇（新生ゴールドの場合、5回まで無料）

メリット3：キャッシュカードで海外ATMでも引き出し可能

メリット4：コールセンターが24時間営業

メリット5：インターネットバンキングの同一画面でキャッシング可能

新生ゴールドになると、振込手数料の優遇や定期預金の金利優遇などが受けられるので、新生ゴールドになって長いこと使っていました。

しかし、改悪の波が押し寄せます。

まず、

[改悪1.インターネットバンキングの同一画面でキャッシング不可]

システム改修に伴い、インターフェースが分かれて（別システムになって）しまいました。

別のシステムになってしまったら、別のほかのキャッシングサービスでもよいわけで、新生銀行でキャッシングする必要は無くなり、めでたく解約となりました。

次が、

[改悪2.コールセンター24時間営業終了]

新生銀行は、定期預金の途中解約等は電話で行う必要があります。

しかし、当時の新生銀行コールセンターは24時間営業だったので、この不便さはほぼ感じることはありませんでした。しかし、いつの間にか営業時間が短縮され、電話連絡が超絶な苦痛行為に変わりました。

その次が、

[改悪3.海外ATM出金サービス終了]

新生銀行のキャッシュカードで海外ATMで現地通貨が出金できるというのは非常に魅力的でした。

（その後、クレジットカードの海外キャッシングのほうがレートが良いことが分かり、使わなくなったのですが・・・）

改悪続きで申し訳なく思ったのか、サービス強化として打ち出したものの個人的にはガッカリ度の向上に繋がったものが次、

[改悪4.Tポイントとの連携]

自分、マイレージはJAL派のため、JALに移行可能なポイントしか貯めていないのです。

で、TポイントはJALマイレージに移行することができないため、個人的には全く価値がありません。

ポイントサービスって顧客の囲い込みに利用するものですが、私に関しては全くの逆効果で、むしろ新生銀行を使うモチベーションが下がりました。

それでも新生ゴールド会員なので、振込手数料優遇と、ATM出金手数料無料は残っており、今日まで頑張って使い続けてまいりました。

しかーし。

先日ふとしたことで、ふつーに日々使うだけでポイントがたまり、そのポイントがJALのマイレージに移行できるスバラシイ銀行が見つかりました。

給与振込先の変更とか、申請ゴールド維持のために預けている外貨定期預金の解約とか（円高なので多分損失発生ですわ(TωT)）、メインバンクの移行は結構面倒くさいのだけれども、これ以上無駄なポイントをプレゼントする銀行を使っていても仕方ないかと。

ありがとう新生銀行。
さようなら新生銀行。