ZOZO、全社にパスワード管理ツール「1Password」導入（転載）～1Passwordの企業への導入事例は珍しいかも～

パスワード管理ツール1Passwordの全社導入から運用まで - ZOZO Technologies TECH BLOG:

 パスワード管理ツールの必要性

パスワード管理の基本は、強固なパスワードを作成し使いまわしせず、なるべく漏洩しないようにすることが挙げられると思います。ありがちなものとしては、以下のような方法があります。

• 付箋や紙に書いて管理
• PCのメモ帳で管理
• Excelで管理
• ブラウザに保存

ですがセキュリティや管理・運用のしやすさを考えると、上記の方法よりも専門ツールであるパスワード管理ツールを利用する方が優れています。

「パスワードなんてブラウザに保存できるからそれで事足りる」と思う方もいらっしゃると思います。しかし会社としてパスワード管理の基盤がないと、チームごとに管理方法が違ったりパスワードの共有に平文が用いられてしまったり様々なリスクが生じます。

パスワード管理ツールは、便利なだけではなくそういった問題を解決できるので、利用者側、管理者側ともに非常に有益なものと言えます。

パスワード管理ツールの選定

パスワード管理ツールは色々あります。

• 1Password
• LastPass
• パスワードマネージャー
• Keeper
• True Key
• Dashlane
• Bitwarden

ざっと調査しただけで、上記が挙げられます。

上記の全てを比較したわけではありませんが、どれも基本的な機能としては大差ありません。例えば下記のような機能があります。

• 複雑なパスワードの自動生成
• ID・パスワードの自動入力
• パスワードの強度や使い回しのチェック
• 多要素認証
• ID・パスワードの共有

強度の高いパスワードを生成でき、利用者は自身のマスタパスワードだけを覚えれば他のパスワードを覚える必要がなく、保存された情報は暗号化され安全に共有できます。もちろんパスワード以外のセンシティブな情報も保存できます。パスワード管理ツールはそのような機能を備えたツールです。

1Passwordの優位性

弊社では主に以下の点で、1Passwordを採用するに至りました。

Secret Keyの仕組みがある

1Passwordにはマスタパスワードに加えてSecret Keyがあり、たとえマスタパスワードが漏洩したとしても、Secret Keyを知らなければアクセスできません。マスタパスワードはデバイス上のデータを保護し、Secret Keyはデバイスからデータを保護してくれるとのことで、この二段構えの構成は安心できます。

グループ単位で管理できる

ビジネスプラン以上ではユーザグループを作成できます。グループにユーザを追加し、グループを保管庫（Vault）に紐付けることで権限付与が可能です。

CLI（コマンドライン）ツールがある

1Passwordにはコマンドラインツールがあります。コマンドラインツールに対応していることは、運用の自動化を考慮する上で重要な要素と捉えています。

例えば以下のようなことができます。

# ユーザ招待
op create user <メールアドレス> <氏名>
# ユーザの停止と再開
op (suspend | reactivate) <user>
# ユーザ削除
op delete user <user>
# 一覧取得
op list (users | groups | vaults | items | documents | templates) [--vault <vault> | --group <group>]

レポーティング（パスワード漏洩チェック）機能がある

1Passwordにはドメイン侵害レポートがあります。自社が管理するドメインを登録しておくと、漏洩に巻き込まれたアドレスを見つけることができます。このレポートを元にしてパスワードの変更をユーザへ促すことができます。

導入にあたっての課題

課題は大きく3つありました。

• プランの検討
• SSO（シングルサインオン）が可能か
• プロビジョニングが可能か
  
  

プランの検討

1Passwordのビジネス向けプランは3つあります。

• Teams
• Business
• Enteprise

結論から言うと弊社はBusinessプランを選択しました。

Teamsプランでは、詳細な権限管理ができないため、全社的に導入するとなると機能不足でした。

Businessプランでは、より詳細な権限管理からログ管理やレポート閲覧まで豊富な機能を備えているため、SaaS製品としての機能が十分であると判断しました。また、Azure Active Directory、Okta、OneLoginと連携できるのもこのプラン以上になっています。弊社としては、グループで管理できることが運用上大きなメリットでした。ユーザ単位で権限管理をするのは運用が煩雑になると思います。

Entepriseプランでは、上記の機能に加えて専用窓口を設けてくれたり、導入にあたりトレーニングを受けられるなどのメリットがあるそうです。ですが弊社ではそこまでのサポートは必要なく、Businessプランで利用できる機能さえあれば十分でした。

SSO（シングルサインオン）が可能か

弊社のシステム選定基準では、基本的にSSOが利用できるシステムを選定しています。しかし、1Passwordの仕様上SSOは不可でした。SSOできないことは利用者目線に立つとある程度の不便さはあります。ですが1Passwordの認証の堅牢性の土台となっているSecret Keyの有用性とのバランスを考慮して、SSO不可であることを許容しました。

プロビジョニングが可能か

プロビジョニングを行うためには1Password SCIM bridgeを構成する必要があります。

• Google Cloud Platform Marketplace
• Docker, Kubernetes or Terraformで構築

SCIM bridgeサーバを構築するために、主要なクラウドサービスにおいて試算を行いました。しかし、現状ではコストメリットが無さそうだったためプロビジョニングの導入は一旦見送りました。会社の規模拡大に合わせ、再度検討したいと思っています。プロビジョニングの代わりに、前述のコマンドラインツールを活用し運用することにしました。

実際の運用

全社導入前に一部の部署で1Passwordを先行利用していたのですが、その時はグループを利用しておらずユーザを保管庫に直接割り当てる運用をしていました。しかしこれでは統一性もなく管理が煩雑だったため、グループベースで管理するように運用を変更しました。ユーザからの利用申請も、kintoneを用いたワークフローで管理し、保管庫とグループの一覧はスプレッドシートにて管理することにしました。

スプレッドシートで管理した理由は2つあります。

1つはグループや保管庫、グループ内メンバーの一覧と、グループがどの保管庫と紐付いているかをユーザが確認できるようにするためです。ワークフロー申請時にどのグループの権限を変更するかなどを記載してもらう際に必要な情報だからです。

もう1つは各保管庫の運用管理者を把握し、ワークフローにおける承認ルートにその保管庫の運用管理者を入れるためです。1Passwordの管理者からでは、各保管庫が実際にどういった使われ方をしているのか分かりません。そのためメンバー追加などの依頼時に各保管庫の運用管理者の承認を確実に得た状態で、管理作業を行っています。

導入効果

パスワード管理の理想的な運用基盤を構築できたことが大きな効果でした。人に依存した運用ルールで安全にパスワードを管理することは限界があります。パスワード管理ツールを用いることで、半強制的にガイドラインに沿った運用へ切り替えることができました。また冒頭で記載した通り、パスワードを平文で保存することはセキュリティリスクになります。そのためパスワードを暗号化できるパスワード管理ツールは、セキュリティの監査に対する解決策の1つとしても有効です。

分かりやすい効果としては以下のようなものがありました。

共有アカウントのパスワードを安全に共有できる

様々なパスワードを覚える必要がなくなり、パスワードジェネレータによって強力なパスワードの生成が容易になりました。例えば自分が共有しているパスワードを変更したとしても、1Password上のパスワードさえ更新されていれば、他の人に新しいパスワードを都度共有し直す必要はありません。利用者は自分のマスタパスワードだけを覚えていればよく、パスワードが変更されたことを知らずともログインできるからです。

また、セキュアにID・パスワードの共有が可能になり、閲覧権限の範囲をコントロールし易くなりました。例えば範囲がチームをまたぐような場合でも、専用のグループを作って該当者を入れてそのグループに保管庫の閲覧権限を割り当ててあげればよいわけです。

多要素認証のワンタイムパスワードの代替

さらに便利だと思ったのは、多要素認証で使用するワンタイムパスワードを1Password上に保存できることです。Authenticator系のアプリと同じように秘密鍵を1Passwordに保存することで、1Password上にワンタイムパスワードが表示されるようになります。

通常、多要素認証ではSMS（ショートメッセージサービス）やAuthenticator系のアプリでワンタイムパスワード（認証コード）を得るため必ずモバイル端末が必要になってしまいます。多要素認証を1Password上に保存すれば端末に縛られない運用が可能になります。

具体的な手順を解説します。

1. まずは設定したいシステムの設定画面で、多要素認証の追加（もしくは変更）を実行し、その手順の中で秘密鍵を取得
   
   Authenticator系のアプリで読み取るためのQRコードが発行される画面などで、秘密鍵を表示できる箇所があると思いますので調べてみてください。※各システムによって異なります
   
   
2. 秘密鍵を入手したら1Passwordのアイテム編集に移動
   
   
3. 1Passwordのアイテム編集画面でラベルの欄にある…（三点リーダー）アイコンを選択
   
   
   
   
   
4. ワンタイムパスワードを選択
   
   
   
   
   
5. ワンタイムパスワードの欄に、先程入手した秘密鍵を貼り付けて保存
   
   
   
   

以上の手順でワンタイムパスワードが表示されるようになりました。元の秘密鍵を入手した画面（手順1）に戻り、6で表示されているワンタイムパスワードを入力して認証し作業は完了です。

まとめ・残課題

実際に導入してみて、パスワード管理ツールに慣れていないユーザからはいまいちよく分からないツールだと思われてしまう印象がありました。そのためマニュアルとは別に使い方を解説する動画を制作し、ユーザがより理解しやすいように工夫しました。

パスワード管理ツールは入れて終わるツールではありません。例えばパスワードをブラウザへ保存してるユーザに対して1Passwordへの移行を促す必要があります。また、ドメイン侵害レポートをチェックし、漏洩したパスワードを使用しているユーザにパスワードの変更を呼びかけることも重要です。活用方法や正しいパスワードの管理方法などは都度啓蒙していく必要があると感じています。

telnetは暗号化できる！？

 telnetは認証情報含めて平文で通信されるため、今ではケシカラン行為の代名詞的なものになっている、、、はずだった。

ところが、最近、telnetが暗号化に対応しているらしい。

詳しくは下記の動画（35:00周辺）参照。

当然普通に使っただけでは暗号化されるわけはなく、オプションを使う。

例えば、Ubuntuにはtelnet-sslという実装があるようで、こういったパッケージを使う。

【普通のtelnetのキャプチャ】

【暗号化されたtelnetのキャプチャ】

今でもたまに「telnet使いたいんですけど」っていう問い合わせがまれにある。

今後は下記のような対応を心掛けたい

×：telnetは問答無用でダメです

〇：telnet-ssl等で通信が暗号化されるならOKです。

【参考】

telnetは通信を暗号化できる…らしい

現代のTelnetは暗号化できる

FireEye Red Team のツールに対する不正アクセスに関して～CommandoVMとは～

FireEye Red Team のツールに対する不正アクセスに関して

概要

国家支援を受ける高度な技術を持つ攻撃者が、FireEyeがRed Teamに用いるツールを窃取しました。攻撃者はこれらのツールを所有していると考えており、また攻撃者が盗んだツール自体を使用したり公開したりするかどうかは不明であるため、FireEyeはこのブログをもって数百もの対策を公開し、多くのセキュリティコミュニティがそれらのツールから自らを保護できるようにしました。私たちはFireEye製品にもその対策を反映させ、パートナーである政府機関とこれらの対策を共有し、攻撃者がRed Teamツールを悪用する可能性を大幅に制限しています。

これらの対策のリストは、FireEyeのGitHubリポジトリにて公開されています。

Red Teamのツールとテクニック

Red Teamとは、可能性のある攻撃者による攻撃や情報窃取を模倣して企業のセキュリティ体制を評価する、セキュリティ専門家からなる組織化されたグループです。当社のRed Teamの目的は、攻撃が成功した場合の影響を実証し、防御体制 (Blue Teamなど) が運用環境でそれらに対抗する方法を示すことによって、企業のサイバーセキュリティを向上させることです。当社は、世界中のお客様に対して15年間にわたりRed Teamアセスメントを実施してきました。その間、私たちはお客様のセキュリティ体制改善に役立つスクリプト、ツール、スキャナ、テクニックを開発してきました。残念ながら、今回これらのツールが攻撃者の窃取の対象となりました。

盗まれたツールには、探査の自動化に使用される単純なスクリプトから、CobaltStrikeやMetasploitなどの一般的に利用可能な技術のようなフレームワーク全体に至るまでさまざまです。Red Teamツールの多くはすでにコミュニティにリリースされており、オープンソースの仮想マシンであるCommandoVMで配布されています。

一部のツールは、基本的なセキュリティ検知メカニズムを回避するために修正された公開ツールです。その他のツールやフレームワークは、Red Team用に社内で開発されたものです。

ゼロデイ攻撃や未確認技術は含まれず

窃取の対象となったRed Teamツールには、ゼロデイ攻撃ツールは含まれていませんでした。対象となったツールは、世界中の他のRed Teamも使用している、既知かつ文書化された手法を適用したものです。これらの盗まれたツールが攻撃者の総合的な攻撃能力の進歩に大きく寄与するとは考えていませんが、FireEyeは万が一の自体に備えて、できうることをすべて行っています。

FireEyeは、攻撃者によるこれらのツールの拡散や利用を確認しておりません。また、セキュリティ・パートナーとともに、今後も活動を監視し続けます。

検知技術の提供でコミュニティを支援

組織的にこれらのツールを検知していくための支援として、ツールが実際に使用された場合、それを見分けるために役立つ対策を公開しています。今回のRed Teamツールの窃取の対応として、OpenIOC、Yara、Snort、ClamAVなど、一般に利用可能な技術に対する数百の対策をリリースしています。

FireEye GitHubリポジトリにてその一覧を公開しています。新たな検知技術や、すでにリリースされている検知技術の改善が行われるごとに、公共レポジトリにおけるホスト、ネットワーク、ファイルベースのインジケータなどの対抗策をアップデートし続けます。さらに、GitHubページでRed Teamツールの効果を制限するために対処する必要があるCVEのリストを公開しています。

FireEye製品による顧客保護

FireEyeは、チーム一丸となって、お客様と広範なコミュニティを保護するための対策の構築に取り組んできました。これらの対策を製品に取り入れ、国土安全保障省などのパートナーと共有し、製品に対策を取り入れ、広くコミュニティに対応しています。

利用可能な検知シグネチャの詳細については、GitHubリポジトリを参照してください。

バックアップ（CommandoVM）

実企業におけるサイバーセキュリティというのは、アドホックに臨機応変に構築するのが難しく、決められたプロセスに従って時間をかけてちょっとずつ改善と変化を積み重ねていくしかない（転載）

ポーランドのエキスパートに聞く「社員のスキル向上に投資したら、学ぶだけ学んで転職してしまうではないか」 (1/2) - ITmedia エグゼクティブ:

　この連載では、海外のサイバーセキュリティ分野の友人にインタビューする形で、サイバーセキュリティのエキスパートがどのように育ってきたのか、サイバーセキュリティはなぜ難しい課題なのか、企業がサイバーセキュリティと向き合う上でどういったことが重要なのかなどさまざまな考え方を紹介しています。

海外エキスパートインタビューシリーズ第3回は、ポーランドの友人パウエル・ヤツェヴィッチ（Pawel Jacewicz）の話を紹介します。

　海外のサイバーセキュリティ友達の中でも、ポーランド人は何名かいるのですが、「ポーランドにはサイバーセキュリティの専門家が育ちやすい事情があるのではないか」と個人的には考えています。

　パウエルに会ったのは、ポーランドの首都ワルシャワに訪れた際、国立研究所のリサーチプロジェクトの紹介を彼がしてくれたときのことでした。彼は話をするのが大好きなので、プロジェクトの説明を延々としてくれて、いつまでたっても話が終わらないので、彼の上司に中断されていたのが印象に残っています。それ以来、ポーランドに行ったときや、彼が来日したときには一緒に食事をしています。

では、内容に入ります。（元のやりとりは英語で行われていますが日本語に意訳しています）

筆者　パウエル（以下P）、今日はありがとう。まずは簡単に自己紹介をお願いします。

P　私の名前はパウエル・ヤツェヴィッチです。現在はスタンダードチャータード銀行のグローバル・サイバーセキュリティ・センターで働いています。サイバー脅威のハンティングを主な仕事にしており、銀行のサイバーセキュリティの中でも、サイバー攻撃の予兆などをプロアクティブに発見する仕事を主にしています。他にもいろいろな仕事はしていまして、人材育成や、内部むけのコンサルティング、自分の能力開発、新たなITの学習なども行っています。

筆者　ありがとうございます。これまでに、どのようにITやサイバーセキュリティを学んできたか教えてください。

P　自分は小さい頃から、モノがどのように作られているのか、どのように動くのかといったことに興味を持っていました。このスタンスは自分の職業人生のなかでも非常に重要な意味を持っていると思います。

　私がサイバー空間で冒険を始めたのは、1990年代後半に初めてPCを手にして、56kのモデム（筆者注：その昔、電話回線を利用してインターネットに接続するときに利用していたデバイスのことです）でインターネットに接続するようになってからです。インターネットに触れはじめて、書籍や友人達からは得られないほど膨大な知識を得られるようになったことに驚きました。

　時間をかければかけるだけ急速にいろいろなことを学びました。特に力を入れたのは、コンピュータやネットワークがどのような仕組みで動いているのかということですが、そのなかでもLinuxを使い始めてからDebianに恋に落ちました（筆者注：DebianとはLinuxディストリビューションの一つで、どちらかというと玄人に好まれる傾向があるように思います）。

　サイバーセキュリティに関わるようになったのは2009年からで、その年からポーランドのナショナルサートであるCERT.PL（筆者注：日本におけるJPCERT/CCのポーランド版です）働き始め、結局8年間そこで勤めました。サイバーセキュリティの仕事に深く関わることで、ネットワークセキュリティやサイバー攻撃の検知などかなり詳しく学ぶことになります。

　その間、世界中のセキュリティカンファレンスに参加し、サイバーセキュリティ業界で最も輝いている人たちに会うことができました。そういった経験が、自分の今の専門性を維持したり継続的に学び続けたりする姿勢を作り上げてくれました。

　CERT.PLの次は、ポーランド最大手の銀行のインシデントレスポンスチームで働き始めました。そこでは、企業におけるセキュリティ対策はどのようなものか、金融業界がサイバー攻撃の脅威とどのように向き合っているかを学ぶことになります。

　リアルタイムで起きている攻撃がどのようなものかを知りましたし、また実企業におけるサイバーセキュリティというのは、アドホックに臨機応変に構築するのが難しく、決められたプロセスに従って時間をかけてちょっとずつ改善と変化を積み重ねていくしかないということも学びました。

　銀行を辞めた後、いわゆるBig4と呼ばれる大手コンサルティング会社のインシデントレスポンスチームに加わりました。そこでは、大企業も中小企業もそれぞれの悩みをもってサイバーセキュリティの対策に取り組んでいることを知りました。

　大企業は既に構築されたサイバーセキュリティの取り組みを改善する方法を模索していますし、中小企業はごくごくわずかなリソースでサイバーセキュリティという強大な敵にたちむかうにはどうしたらよいのかということに悩んでいました。そこでの経験で、ポーランドにおけるサイバーセキュリティの課題は何かを深く学ぶことができました。

　今のスタンダードチャータード銀行に転職したのは2019年のことです。非常に優秀なサイバーセキュリティチームのメンバーたちと共に働くことができて大いに満足しています。

筆者　サイバーセキュリティをよりよいものにするためには何が重要でしょうか？

P　一昔前のサイバーセキュリティは誰にも注目されず、いわば会社の地下で何をやっているのか誰も知らないような仕事でした。誰にも邪魔されず自分たちの好きなことをやっていられたのです。

　けれども、今は社長をはじめ役員もサイバーセキュリティに意識を向けるようになり、ウイルスとはなにか、サイバー攻撃とはどういうものか、ランサムウェアとは何か、データが漏えいしたらどのような影響があるのか、といったことを日々聞いてくるようになりました。

　今日、サイバーセキュリティは望むとも望まずとも、全ての人の生活に深く浸透しています。サイバーセキュリティの課題を長期的に無視していれば、深刻な問題を引き起こすことは間違いありません。これは国という単位でも、企業や個人という単位でも同じ事です。現代の戦争はサイバー空間で発生しています。これは、われわれサイバーセキュリティの専門家が何年も言い続けていることです。

　これから来るであろう攻撃に備えて、企業はサイバーセキュリティに投資しなければなりません。特に重要なのは、「自社のネットワークやシステムで何が起きているのか」を知ることです。

　何か攻撃が起きていることを見つけた場合、企業は積極的に攻撃に関するデータを他社と共有すべきです。これがいわゆるインテリジェンスといわれているものです。これによって、同じ攻撃が大規模に成功することを防ぐことができますし、被害の範囲を最小化することができます。データの共有は非常に重要なのですが、法律や規制などが原因で難しい場合もあります。法律や規制は刻一刻と変化する脅威に適合し続けることが難しいのです。

　企業では、インシデント対応とモニタリングを所管するブルーチームの運営が一般的になってきました。そこに、脅威ハンティングのチームを加え、サイバー攻撃の予兆を早期に発見するようになり、さらに企業の防御システムを実際に攻撃することによってテストするレッドチームも加わってきています。

　最近ではパープルチームとしてブルーチームとレッドチームのせめぎ合いを調整する取り組みも見られます。このような取り組みはとても効果的ですが、中小企業が自力でやるにはコストがかかりすぎます。

　中小企業でサイバーセキュリティの専門スタッフを抱えられるところはごく限られています。現実的には、そういったところは外部のコンサルタントに依頼して、セキュリティサービスを購入しています。

　しかし私見を述べると、それは長期的な観点で効果的とはいえません。なぜならば、内部のスタッフが能力を身につけて、自社内でできるようになったほうが費用対効果の観点で効果が高いからです。もちろん短期的に問題を解決したい場合は外部のコンサルタントは非常に有効ですが、長期的な視点で捉えたときには違うと考えています。

　私が最初の銀行に勤めていたとき、常に外部のコンサルタントを活用していました。しかし、コンサルタントが何をしているのかを学び、その能力を時間をかけて身に付けることで、内製で実施できるようになり、結果的に外注コストが大幅に下がったという経験があります。

　私が推奨したいのは、業界ごとに固まって、監督官庁が主導する形で企業間の実務的な演習を企画、実施する方法です。そうすることで中小企業でもスタッフの教育を効果的に行うことができるでしょう。

　世の中では机上演習がよく行われています。机上演習は組織の意思決定の訓練にはなりますが、実際に手を動かして作業する人たちの訓練にはなりません。具体的にどんな作業をどのようにするのか、どういった環境や機材が必要なのかということを知る機会が必要です。 

　また、本番では絶対にできない「実験的に試す」といったことができるのも演習の良いところです。もちろん、机上演習は経営層など組織上層部むけの意思決定の訓練にはとても有効ですので、机上演習と実務的な演習を組み合わせて行うことが効果的でしょう。

筆者　サイバーセキュリティの仕事をしてきた中で特に印象に残っている出来事を教えてください。

P　私がポーランドの銀行業界で働くようになってからすぐに、業界全体を巻き込む歴史的なサイバー攻撃が発生したことによって業界全体が大混乱に陥る様子を目の当たりにし、業界横断的な協力関係の構築が不可欠だと実感しました。

　それは2017年の始め頃に発生した攻撃です。ポーランドの金融規制当局のWebサイトが改ざんされ、いわゆる水飲み場攻撃によって、ポーランド国内の多くの銀行の社内ネットワークでのマルウェア感染につながったものです。これは、現在に至るまでポーランドの銀行業界にとって最も深刻なものです。この攻撃が明らかになったのは、とある銀行の社内ネットワークでマルウェアの活動が発見されたことがきっかけでした。

　当初は誰も金融規制当局が関係していることなど考えもしなかったのです。そして何週間も気付かないまま攻撃は進展していきました。私は自分が勤めていた銀行の社内ネットワークを監視していて、不審な兆候を発見しました。

　社内にはネットワークやシステムのセキュリティ監視システムがしっかりと入っていたので、挙動をトレースすることで原因を突き止めることができました。社内ネットワークでマルウェア感染が明らかになり、それが金融規制当局のWebサイトからもたらされたものであることが判明したときは本当に驚きました。

　銀行というのは通常巨大な組織であり、こういった攻撃の分析を1人で行うのは不可能で、チームで仕事をする必要がありますし、社内外に多くのステークホルダーがいる状況です。分析には膨大な時間がかかるため、外部のリソースから協力を得る必要もあります。組織を越えて協力し合うことの大切さ、観測できたデータを共有することの大切さ、それがあって初めてインシデント対応は成功するということを、この事案対処の経験を通じて学びました。

　繰り返しになりますが、助け合うことやチームワークは非常に重要で、他の何にも代えがたい価値があります。ポーランドの金融業界のサイバーセキュリティコミュニティーでは、この攻撃は歴史上最悪なものだったけれども、業界として協力し合うことの必要性を気付かせてくれた最も価値のある事案でもあったと、現在でも話題になります。この事案を繰り返さないようにという思いで、われわれはサイバーセキュリティ能力の向上、サイバーレジリエンスの強化に取り組んでいます。

筆者　企業の役員はサイバーセキュリティについて、どの程度、どのようなことを理解しておくべきだと思いますか？

P　サイバーセキュリティは投資であるという認識を持つべきです。企業活動は利益を上げることがメインです。そんなことは誰でも分かっています。企業の役員は、サイバーセキュリティチームは企業の目的や目標を達成するために必要不可欠な支援をしてくれていると考えるべきです。

　企業でサイバーセキュリティの仕事をする人たちの知識や能力は、どんなセキュリティ製品でも、サービスでも、監査でも得ることのできない貴重なものです。その企業のネットワークやシステムのことを隅々まで知り尽くしている人は社外にはいません。サイバーセキュリティの仕事をする人たちの能力に投資することは、企業がサイバー攻撃の被害を受ける可能性を低減することへの投資です。

　ある企業の役員が「社員のスキル向上に投資したら、学ぶだけ学んで転職してしまうではないか」と言ったことがありました。それに対して私は「人材のスキルに投資しなければ、何も学ばない人たちがずっと社内にい続ける、ということではないでしょうか？」と答えました。

　企業における一般社員はいわゆる一線の防御を担う役割がありますが、実際には彼らがもっとも狙われやすいポイントでもあります。一般社員がサイバー攻撃の最新の脅威のことを考えてくれなければ、到底企業全体を守り続けることは不可能です。世の中には無料で得られるサイバーセキュリティの情報ソースがたくさんあります。一般社員にも分かりやすいように解説されている記事もあります。そういった情報を共有するなど小さなことから始められる取り組みもあり、その積み重ねが未来の自社を守ることに繋つながるのです。

　従業員の一人がうかつにメールの添付ファイルをクリックしてランサムウェアに感染して、何億円もの身代金を払う事を考えたら抜群のROIだ、というのが私の意見です。

※筆者注：金融業界でよく使われる考え方にThree Lines of Defenseという三線防御でリスクコントロールするというコンセプトがあります。一線で一般社員が業務執行部門としてリスクオーナーとして対処する、二線でサイバーセキュリティを含むリスク管理の専門部署がリスクに対処する、三線は監査の観点でリスクに対処するという考え方です。

筆者　これからサイバーセキュリティを学ぼうと思っている人たちにアドバイスはありますか？

P　伝えたいことが3つありますが、その前にサイバーセキュリティはとてつもなく巨大なフィールドです。サイバーセキュリティの分野では、誰もが自分に向いている仕事を見つけることができるでしょう。

　それを踏まえた上で、1つ目に大事なのは何にでも興味を持つことです。そうすることで自分に適した仕事がどれなのかを発見することができます。

　2つ目に大切なのは壊してしまうことを恐れない。何かを深く知りたいと思ったら、それを分解して元に戻すということは仕組みを学ぶ上でとても大切です。誰かがやった記事を読んだりするだけではなく、自分の手でやらなければ理解することはできません。そのようなスタンスで学び続けることを楽しんで、同じような考え方をしてくれる仲間を見つけることも大切です。自分でやってみることで、他の人の経験からも理解することができます。

　3つ目に大切なのは、夢中になれることをやっている間は、体中の血液の巡りがよくなってずっと起きていられます。それは要するにあなたに向いている仕事だということです。

　今回はポーランドの友人、パウエルの話を紹介しました。公的な立場のセキュリティ専門機関から銀行へ転職し、そのあとコンサルタントへ転職、その後銀行に再び転職という経緯をへた彼ですが、実はいつか日本で働きたいという思いを持っています。

　来日したときに国内企業との面談をアレンジしたこともあるのですが、うまく折り合わず彼の希望は実現していません。今回の彼の話では、私もよく質問を受けるセキュリティの内製化に関して一つの考え方を提示してくれていると思います。

　また、セキュリティが好きでセキュリティの仕事をしている人たちがどういったメンタリティなのかということについてもその一つの姿を提示してくれています。

Threat hunting and campaign tracking 101 workshop at HITCON2020（転載）

にのせき retweeted: Share our slide for the threat hunting and campaign tracking 101 workshop at HITCON2020. www2.slideshare.net/secret/4raFupm… Special thanks for @ashley_shen_920:

にのせき retweeted:

Share our slide for the threat hunting and campaign tracking 101 workshop at HITCON2020.
www2.slideshare.net/secret/4raFupm…
Special thanks for @ashley_shen_920

バックアップ

不動産ブツ上げ業者の営業電話撃退法

最近どこかから個人情報が漏れたらしく、不動産営業の電話が会社にかかってくるようになった。

営業電話撃退法を調べていたらいろいろ勉強になったので、ちょっとメモ。

■一般的な営業電話撃退法

まず、「不在」とかでその場をやり過ごすのはNGらしい。

正しい撃退法法は、

1.定番ワード「恐れ入りますが、どのようなご用件でしょうか？」を言う。

営業電話なので、当然営業の話になる。

2.下記のいずれかを言う。

① 「申し訳ありませんが、一切お断りするようにと言われておりますので･･･」
② 「弊社は、新規のお取引を控えさせて頂いております。」
③ 「必要な場合はこちらからお電話しますので、今後のご連絡は不要です。」

終わり。

営業マンは「かしこまりました、失礼いたします。」で終わるらしい。

なるほど。

■不動産投資営業撃退法

不動産投資営業の場合、宅地建物取引業法が絡んでくる。この法律では、宅地建物取引業者（不動産業者）に対し、契約の締結の勧誘をするに際しての「電話による長時間の勧誘その他の私生活または業務の平穏を害するような方法によりその者を困惑させる」行為を禁止しています。

つまり、これをネタに逆に「電話してくるな」と営業にお灸をすえることができる。

ただ、いきなりお灸をすえるのはかわいそうなので、順を追って進めていくこととなる。

【STEP1.注意】

下記2点を伝えます。

1.全く興味がない

2.もう二度と勧誘電話を掛けてこないでほしい

【STEP2.警告】

下記3点を実施します。

3.会社名、代表者名、担当者名、会社の所在地、電話番号、勧誘があった日時をメモ、(勧誘)内容の確認。

　※偽名名乗っている可能性もあるので、一度折り返しにしたほうが良いかも！

4.宅地建物取引業法違反に当たる勧誘行為であることを指摘する

5.自分に対する勧誘行為を止めないと監督官庁に相談する

【STEP3.タレコミ】

下記2点を実施します。

6.会社名、代表者名、担当者名、会社の所在地、電話番号、勧誘があった日時をメモ、(勧誘)内容の確認。

　※偽名名乗っている可能性もあるので、一度折り返しにしたほうが良いかも！

7.宅地建物取引業者（不動産業者）が東京都知事免許業者であれば東京都（住宅政策本部）へ連絡。

【2021年1月11日追記】

昨年STEP1を終えてしばらく静かになったので安心していたら、2021年1月8日にまた。掛かってきた。

前回は「売却の意思はない」と明確に伝えたので、今回は「次掛けてきたら監督官庁に報告する」と告げた。（STEP2の実施）

次掛かってきたらSTEP3の実施となるが、折り返しにしないといけなかったり、代表番号にしないといけなかったり結構面倒くさい。。。

国別の人気度やカテゴリー別の検索に焦点を当てた、ソーシャルメディアプラットフォームの検索に焦点を当てた新しいOSINTツール / [#OSINT Tool] We're excited to release a new FREE tool to the community that focuses on searching across global social media platforms based on popularity by country, or by category (using @WebBreacher WhatsMyName list) for non-mainstream platforms（転載）

technisette retweeted: [#OSINT Tool] We're excited to release a new FREE tool to the community that focuses on searching across global social media platforms based on popularity by country, or by category (using @WebBreacher WhatsMyName list) for non-mainstream platforms osintcombine.com/world-social-m…:

technisette retweeted:

[#OSINT Tool] We're excited to release a new FREE tool to the community that focuses on searching across global social media platforms based on popularity by country, or by category (using @WebBreacher WhatsMyName list) for non-mainstream platforms

osintcombine.com/world-social-m…

簡単にモザイク処理を無効化できる「Depix」でモザイクをかけた文字列を突き止めてみた（転載）

簡単にモザイク処理を無効化できる「Depix」でモザイクをかけた文字列を突き止めてみた:

シリアルナンバーやパスワードが写った画像の公開時によく利用される「モザイク処理」は、文字を判読不能にするため安全に思えます。しかし、実はモザイク処理には元画像の文字列を突き止めることができる「落とし穴」が存在します。画像の文字列に施されたモザイクを簡単に外せるツール「Depix」は、その落とし穴からモザイク処理によるセキュリティを突破しています。

GitHub - beurtschipper/Depix: Recovers passwords from pixelized screenshots
https://github.com/beurtschipper/Depix

Recovering passwords from pixelized screenshots
https://www.linkedin.com/pulse/recovering-passwords-from-pixelized-screenshots-sipke-mellema

本当にモザイク処理を外すことができるのか、実際にDepixを使って確かめてみます。Depixの動作にはPythonが必要なので、まずはPythonをインストールします。Pythonのダウンロードページにアクセスして「Download Python 3.9.0」をクリック。

「ファイルを保存」をクリックし、インストーラーをダウンロードします。

ダウンロードしたインストーラーをダブルクリックして実行。

「Add python 3.9 to PATH」にチェックを入れて「Install Now」をクリックします。

インストールが完了したら「Close」でウィンドウを閉じます。これでPythonのインストールは完了しました。

続いてGitHubからDepixをダウンロードします。このページ上の「Code」をクリックして「Download ZIP」をクリック。

ダウンロードした圧縮ファイルを解凍ソフトで解凍。これでDepixを使える状態になりました。

今回Depixでモザイクを外す画像は以下。この画像からはどのような文字が書かれているのかまったくわかりません。

コマンドプロンプトを起動し、以下のようにコマンドを実行します。

python Depixを解凍したフォルダのパス\depix.py -p モザイクを外したい画像.png -s Depixを解凍したフォルダのパス\images\searchimages\debruinseq_notepad_Windows10_closeAndSpaced.png -o out.png

実行して3分ほど待つと、以下のような画像が出力されました。「Hello from the other side」と書かれていることがわかります。

Depixを開発したSipke Mellema氏は、モザイクを外す仕組みについて以下のように解説しています。ブロックによる画像のモザイク処理は、まず画像をブロックごとに区切り、そのブロック内の色の平均値でブロックを塗りつぶすことで行われています。元の情報が失われているので、モザイク処理後の画像から元画像を直接復元することはできません。

Depixは以下のような「テキストのスクリーンショット」からモザイク後の画像を生成して、生成した画像をモザイク後の画像と照合しているとのこと。モザイク処理後の画像から元画像を復元しているわけではなく、生成した画像とモザイク後の画像が一致すれば、元画像の文字を突き止めることができるという仕組みです。この発想はモザイク画像から高品質の画像を生み出す技術にも応用されています。

Depixで利用されている考え方はパスワード解析などに使われる「レインボーテーブル」にも使われています。「実装者が破る方法を知らないセキュリティ構造は突破されないという思い込みは、セキュリティによくある落とし穴です」とMellema氏はコメントしています。

ちなみに、Depixでモザイクを外せる画像は非常に限られているようで、試しに以下のような画像にモザイクをかけて入力したところ、まったくモザイクを外すことができませんでした。

バックアップ

start.meで最高のOSINTリソースの管理【専門家の意見】/ Are you looking for an expert opinion about OSINT research, and one of the best tools to help you out? This article will help. Plus, we'd love to hear your opinion! How to Manage your OSINT resources best with start.me [Expert opinion] - start.meblog.start.meIf you want manage the ever expanding collection of online OSINT resources, you need a reliable and powerful tool. These experts know just what you need.（転載）

Are you looking for an expert opinion about OSINT research, and one of the best tools to help you out? This article will help. Plus, we'd love to hear your opinion! How to Manage your OSINT resources best with start.me [Expert opinion] - start.meblog.start.meIf you want manage the ever expanding collection of online OSINT resources, you need a reliable and powerful tool. These experts know just what you need.:

OSINTのリソースは多種多様であり、常に流動的な状態にある。一日おきに新しいツールが登場する一方で、古いものは静かに引退していきます。だからこそ、多くの市民ジャーナリストや研究者、調査員が毎日start.meを使っているのです。これは、OSINTの仕事をより簡単にしてくれます。

OSINTコミュニティでよく知られているTechnisetteとLoránd Bodóに説明を求めた。

start.meはどのようにして発見したのですか？

Lorándです。Twitterで知りました。最初にstart.meのページを持っていたのが誰だったかは覚えていませんが、technisette.comのTechnisetteさんだったと思います。彼女のページを見たとき、私は「すごい！」と思いました。これはすごい！」と思いました。その時、start.meページはまさに私が探していたもので、OSINTのブックマークを簡単に管理できるソリューションでした。

OSINTのブックマークとリンクを簡単に管理できます。これはOSINTにとって非常に重要なことです。

ツールやテクニック、その他のリソースを素早く見つけることができるように、自分のページを作成し、自分の好きなようにデザインすることにしました。

テクニセット 私の同僚があなたを紹介してくれました。彼はその仕組みを教えてくれて、とても使いやすかったので、すぐにコレクションを作ってしまいました。

start.meは、OSINTリソースの管理にどのように役立ちますか？

2つのページがある 1つはOSINTツールのためのページで、もう1つは過激化とテロリズム関連の問題に特化したページです。

これらのリンク集の問題点の一つは、私にとって有用な方法で構成されていないことでした。そこで私は、各情報分野ごとに見出しを作成し、その下に関連するすべてのリソースをサブカテゴリと一緒に配置することにしました。例えば、私のOSINTダッシュボードでは、一番上に主要なインテリジェンス分野が表示されていますが、私が作成したFOSINT（金融オープンソース・インテリジェンス）などもあります。ここには、デューデリジェンス関連のリンクやその他の金融関連のものをリストアップしています。

調査官としては、例えばFacebookのために何かを探している時は、ソフトウェアの欄に行きます。そして、古き良きCtrl-Fを使って、それをチェックします。これは本当に便利です。

これほど簡単に様々なソースをまとめて整理できるものは他にはありませんでした。だからstart.meを使っています。

また、正直なところ、自分のサイト（lorandbodo.com）で公開することも考えていたので、サードパーティのプロバイダを使う必要はありません。でも、単純にコーディングをする時間がないんですよね。

テクニセット。お気に入りのソースが1つのページにまとめられているのは、とても便利です。コンピュータを乗り換えたときに、ブックマークをドラッグする必要がないので、start.me-ページを開くだけで済みます。

お気に入りのウィジェットや機能は？

特に何かを持っていないこと。主に、すべてのものを分類するための別のボックスを持つオプションがあること。

Loránd。私はリンク切れチェッカーが欲しかったので、PROアカウントを持っています。これを使えば、どのリンクが壊れていて削除すべきかを自動的に確認することができます。ソースは頻繁に来ては消えていくので、自動的にすべてのリンクをスキャンしてくれる機能が欲しかったのです。どのリンクも機能しないブックマークページは嫌です。それがPROアカウントを取得することを決めた主な理由の一つです。

また、私はRSSフィードを作成したいと思っていましたが、これは私が特定のトピックやニュースを監視するために驚くほど便利で超便利だと思います。あなたはstart.meで簡単にそれを行うことができます

他にstart.meで開発されたものを見てみたいと思いますか？

私がページの更新をやめた理由は、各ブックマークに添付されているコメントで検索できなかったからです。それがうまくいくと助かります。

Quick start.meの反応。ブックマークの説明文でも検索できるようになりました。このサポート記事を読んでみてください。

大きく気になることの一つにプライバシーがあります。これについては2つの角度から考えています。ダッシュボードを作成するユーザーの視点から：start.meを使用する際に、どのような情報を提供したり、漏洩したりするのか？そして、エンドユーザーの視点からは、私がそのようなダッシュボードにアクセスするときに、start.meはどのような情報を収集するのか？このようなサービスには明確さが必要であり、非常に重要です。

start.meの迅速な対応。私たちは、物事を明確にするために、プライバシーポリシーに平易な英語での紹介を追加しました。

テロと過激化 start.meページに目次を作成しました。 もしこのようなカテゴリをもっと簡単に作成できる機能があれば、それを望む人もいると思います。つまり、ページを作成するだけでなく、ワンクリックでサブカテゴリを作成して、ユーザーが相互にリンクした素晴らしいダッシュボードをコンパイルできるようにすることができます。あなたはアイデアを得る。異なるページに自動的にリンクする方法。

さらにアイデアは？

Technisetteとのメールによるインタビューは、2020年10月9日に行われました。Loránd Bodóとのスカイプインタビューは、2020年10月19日に行われました。その会話の中で、彼はstart.meを改善するためにさらに多くのアイデアに言及した。

• start.meとそれがOSINT研究にどのように活用できるかを紹介する一連のウェビナー。
• リストを監視できるように改良されたTwitterウィジェット。現在は、単一のユーザーのみをフォローすることができます。
• 学者向けに、その分野の最新記事をモニターするための新しいウィジェットを追加しました。
• ある国で利用されているトップサイトに関するより多くの統計。(Quick start.me note: この情報はDiscoverセクションですでに利用可能ですが、より便利になるように拡張することができます)

福岡県で武漢ウイルス陽性者リストが流出、アクセス権設定でミス（転載）～想定損害賠償額は6.2億円程度か～

新型コロナ陽性者リストが流出、アクセス権設定でミス - 福岡県: 

福岡県は、同県で確認された新型コロナウイルス感染症の陽性者に関する個人情報が外部に流出したことを明らかにした。

同県の新型コロナウイルス感染症対策本部が扱う新型コロナウイルス感染症陽性者の一覧表が流出したもの。氏名、居住地、年齢、性別、症状など約9500人分の情報が含まれる。一部報道機関の取材を受け、流出が発覚した。

同県対策本部では、医療関係者間において同データをクラウドサービスで共有。ファイルに対して同県対策本部からアクセス権を付与された場合か、特定のURLよりアクセスができる運用を行っていたという。

同県対策本部では、11月30日に医療関係者1人へ患者情報を含むファイルが入ったフォルダのアクセス権を付与したメールを送信したところ、類似したメールアドレスを持つ別人へ誤って送信。

受信者の指摘で問題が発覚し、誤送信先となった受信者についてフォルダへのアクセスを制限したが、フォルダ内のファイルは、アクセス制限が行われておらず、URLより直接アクセスできる状態だった。

問題の判明を受けて、同県ではクラウド上にアップロードしているファイルを削除。各ファイルに対するアクセス状況を調べている。また対象者に対して事情の説明を行い、謝罪するという。

NIST SP 1800-25：マルウェア等の破壊的な事象に対する資産の特定と保護に関するガイダンス / SP 1800-25Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events（転載）

SP 1800-25Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events:

NISTがSP 1800-25を公開していますね。

マルウェア等の破壊的な事象に対する資産の特定と保護に関するガイダンスですね。

● NIST - ITL

・2020.12.08 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・[PDF] SP 1800-25

・Related NIST Publications:

• SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events 
• SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

---

Abstract

Ransomware, destructive malware, insider threats, and even honest user mistakes present ongoing threats to organizations. Organizations’ data, such as database records, system files, configurations, user files, applications, and customer data, are all potential targets of data corruption, modification, and destruction. Formulating a defense against these threats requires two things: a thorough knowledge of the assets within the enterprise, and the protection of these assets against the threat of data corruption and destruction. The NCCoE, in collaboration with members of the business community and vendors of cybersecurity solutions, has built an example solution to address these data integrity challenges.

Multiple systems need to work together to identify and protect an organization’s assets against the threat of corruption, modification, and destruction. This project explores methods to effectively identify assets (devices, data, and applications) that may become targets of data integrity attacks, as well as the vulnerabilities in the organization’s system that facilitate these attacks. It also explores methods to protect these assets against data integrity attacks using backups, secure storage, integrity checking mechanisms, audit logs, vulnerability management, maintenance, and other potential solutions.

NIST SP 1800-26：マルウェア等の破壊的な事象に対する検知と対応に関するガイダンス / SP 1800-26Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events（転載）

SP 1800-26Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events:

NISTがSP 1800-26を公開していますね。

マルウェア等の破壊的な事象に対する検知と対応に関するガイダンスですね。

● NIST - ITL

・[PDF] SP 1800-26

Related NIST Publications:
SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events 
SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

---

Abstract

Ransomware, destructive malware, insider threats, and even honest mistakes present an ongoing threat to organizations that manage data in various forms. Database records and structure, system files, configurations, user files, application code, and customer data are all potential targets of data corruption and destruction.

A timely, accurate, and thorough detection and response to a loss of data integrity can save an organization time, money, and headaches. While human knowledge and expertise is an essential component of these tasks, the right tools and preparation are essential to minimizing downtime and losses due to data integrity events. The NCCoE, in collaboration with members of the business community and vendors of cybersecurity solutions, has built an example solution to address these data integrity challenges. This project details methods and potential tool sets that can detect, mitigate, and contain data integrity events in the components of an enterprise network. It also identifies tools and strategies to aid in a security team’s response to such an event.

IBMの｢TERMINAL｣でサイバー攻撃を疑似体験してみよう（転載）

リモートワークの息抜きに。IBMの｢TERMINAL｣でサイバー攻撃を疑似体験してみよう | ギズモード・ジャパン:

舞台はとある国際空港。些細なWi-Fiルーターのトラブルから始まった障害は次第に重大なシステムエラーを引き起こし、ついには人命にも関わる事態へ…。

日本IBMは先日、サイバー攻撃疑似体験ゲーム｢TERMINAL（日本語字幕版）｣を公開しました。同社のWebメディアMugendai（無限大）にて、その詳細が紹介されています。

簡単操作で誰でもプレイ可。もはやヒトゴトではない、サイバー攻撃を体験

ITアナリスト、チームマネージャー、そして空港責任者の全3部からなるTERMINAL。選択肢をクリックしていくだけで難しい操作などはなく、所要時間も20～30分程度と誰でも気軽にプレイできます。

チームを編成してトラブルに対応、犯人からの理不尽な要求と究極の選択…。

リアルなサイバー攻撃を学べてゲームとしても楽しめる上、ゲーム内のチャットボットに同社が誇るAIのWatsonが採用されるなど、随所にさすが感が光る秀作となっています。

特別なハードも不要で、PCから気軽に遊べるTERMINAL。リモートワークの息抜きがてら挑戦できそうな詳細は、Mugendai（無限大）よりご覧ください。

代理でサイトにアクセスしてくれるサイト【urlscan.io】

「このサイトにアクセスして大丈夫だろうか」って思うことありませんか？

そんな時、代理でアクセスしてスクリーンショットをとってきてくれるサイトがあります。

それが、

urlscan.io

ドイツの会社が運営している web スキャナである。

ちなみに、昔はurlqueryというサイトを活用していたのだが、いつの間にか閉鎖されてしまった。

urlscan.ioの優れた点は下記の通り。

• 検索窓への入力とリンクのクリックだけで操作でき、複雑なコマンドなどがいらない
• URL を指定して特定の web サイトをスキャンするほか、ドメイン、IP アドレスなどについても調べられる
• とにかく豊富な情報量
• リンクをクリックしていけば、簡単に詳しい調査ができる
• 無料で使える、登録も不要で使える
• 商用でも基本的に無料で使える

セキュリティ業界で仕事をしているプロのアナリストから、たまたま受信してしまった怪しいメールのリンク先を調べたい一般の方まで、様々な立場の人にとってその人なりの使い道がある。

【参考資料】

urlscan.io 超入門（バックアップ）

【本】いつも機嫌がいい人の小さな習慣（転載）～タイトルに数字の入っている本は基本読まないのだが、、、、～

いつも機嫌がいい人の小さな習慣:

こんにちは。最近、ご機嫌が上向かないはなくとです

今回は、ハーバード・ジュリアードを首席卒業した私の「いつも機嫌がいい人の小さな習慣」という書籍を紹介したいと思います。人生って自分がどのような感情をどれくらいの割合で過ごしてきたかで決まるんじゃないかと思ってます。死ぬ前に「よい人生であった。。」と笑顔で死にたいものです。

概要（気になったところだけ）

・幸せだから笑顔ではなく、笑顔だから幸せがやってくる

・挨拶は体ごと相手に向ける

・身近な人ほどありがとうと言う

・いつもと違うことをしてみる

・ときどき空を見上げる

・意識してゆっくり、丁寧に動く

・姿勢を正して深呼吸する

・朝起きたときにベッドを整える1日の最初に行う仕事。できたら気分いい

・譲れるときは譲る

・体を動かす

・誰も見ていないところでいいことをする

・自分を褒める

・安いものより欲しいものを買う

・物より経験にお金を使う

・入ってくるお金/出ていくお金にありがとうとつぶやく

・他人のためにお金を使う

・苦手な人にも自分から挨拶する

・相手からいいとこどりをする

・相手のいいところはすぐ口に出す

・相手が断りやすい状況にして頼みごとをする

・身近な人の欠点に慣れる

・小さな親切をちょこちょこする

・正しいことを言うときほど控えめに

・「言葉の力」を味方につける

・どうにもならないことは「これでいいのだ！」

・布団の中ではいいことだけを考える

・計画を立てすぎず「なりゆき」を楽しむ

・根回しに手を抜かない

・人に頼ることを恐れない

・大事なことよりしたいことの予定を優先

・迷ったら「原点」に戻る

・「やらなければいけないこと」を「やりたいこと」に変える

・「時間がない」と言わない

・損得より「気分がいいこと」を基準にする

・やりたいことはすぐにやる

・誰かのために時間を使う

おしまい。

マイクロソフトはWindows 10のAndroidサブシステムに取り組んでいる / Microsoft is working on an Android subsystem for Windows 10（転載）

Microsoft is working on an Android subsystem for Windows 10:

マイクロソフトは、AndroidアプリケーションをWindows 10上で実行できるようにする、Linux用のWindowsサブシステムに似たサブシステムを作成していると報じられています。

約70％のモバイル市場シェアを持ち、iOSとは異なり、オープンアプリのエコシステムであることから、Androidのサポートを直接Windows 10に持ち込まないのは間違いだろう。

Microsoftはこのことに気付いており、すでにYour PhoneアプリとサポートされているAndroidデバイスを使って、Windows 10でAndroidアプリを起動するための限定的なサポートを開始しています。しかし、Your Phone経由でのAndroidアプリの起動は、Windows 10でアプリを実行するのではなく、携帯電話からのストリーミングによって行われます。

Windows CentralのZac Bowden氏によると、MicrosoftはWindows 10用の新しいサブシステムに取り組んでおり、AndroidアプリをMicrosoftストア経由で配布し、仮想化された環境で実行できるようになるという。

"Microsoftは、アプリ開発者がAndroidアプリをMSIXとしてパッケージ化し、開発者がMicrosoftストアに提出できるようにすることで、コードをほとんど変更せずにWindows 10に持ち込めるようにするソフトウェアソリューションに取り組んでいます。"とWindows Centralが報じています。

この新しい取り組みは「Project Latte」と呼ばれ、Windows Subsystem for Linux（WSL）と同様に、Windows 10内で直接実行される仮想化されたAndroid環境を構築するという。

最大の障害となるのは、Androidアプリに求められるグラフィカル・ユーザー・インターフェースだが、『WSL 2』のリリースに伴い、マイクロソフト社は『WSL-G』、つまり『WSL - Graphics Architecture』と呼ばれるプロジェクトに取り組み始めている。このプロジェクトでは、内蔵のWaylandディスプレイサーバーを利用して、LinuxのGUIアプリをWindows 10のユーザーインターフェイスで直接実行できるようにしている。

MicrosoftのSteve Pronovost氏によるXDC 2020の講演では、Microsoftが作成している新機能「WSL-G」についてさらに詳しく説明している。

WSL-Gコンポーネントか何かを含むWSLをAndroid OSを動かすために移植すれば、Windows 10で仮想化されたAndroidアプリを動かすことができるようになる。

Bowden氏は、この新しいサブシステムがGoogle Playをサポートする可能性は低いと述べているが、それはGoogleがこのサービスを非ネイティブのAndroidやChromeOSデバイスにインストールすることを許可していないからだ。

しかし、Androidアプリのオープンアーキテクチャにより、開発者はAndroidアプリをパッケージ化し、Microsoft Storeを通じて配布することができるようになる。残念ながら、これは、悪意のあるAndroidアプリがGoogleにとって悪夢となっているため、Microsoftは提出されたパッケージのマルウェアのレビューにもチームを割かなければならないことを意味している。

OPSECは大事！？（転載）

pw●社にドライブ経由で怪しいファイルを共有した後、すぐにロックかけたらp者の社内の知らない人からアクセスリクエスト来た。ほら、言わないこっちゃ。 #opsec 大事よ。バレバレだからね: 

　企業や組織に関して何らかのデータが公になった時に、敵がそれを他のデータと的確に組み合わせて巧妙に分析すると、秘匿しておくべき全体像が明らかになる場合がある。そうした事態を防ぐように自組織のデータを保護するプロセスがOPSEC（Operations Security：作戦保全）だ。

　OPSECという言葉を最初に編み出したのは、ベトナム戦争時の米軍だ。当時、米軍の戦略や戦術が敵に読まれていると見られたことから、Purple Dragonという作戦チームが調査した。北ベトナムやベトコンは米国の通信を解読できておらず、また内部でデータを収集できるスパイもいないと見られたことから、米軍自身の不注意で重要な情報が敵にばれているとの結論が導かれた。軍事分野でのOPSECの定義としてPurple Dragonが最初に定めたのは、「我々の優位性や弱点を敵軍に知られずにおく能力」だった。　もともと軍事分野が発祥の概念だが、コンピューター時代には、政府機関や民間企業にとっても極めて重要な考え方となった。OPSECを強化するための策を考えておくことは、あらゆる組織の最高セキュリティ責任者（CSO）にとって欠かせない。

　その後、OPSECの概念は、米軍から米政府機関へ、さらには民間部門へと徐々に広がり、細かな肉付けが施されていった。米国の核兵器を管轄する米エネルギー省では、OPSECについて、「非機密情報や、支配下にある重要情報が、短期的または長期的に秘匿が必要な機密情報を知る手がかりとなり得る場合に、そのような情報を特定するプロセス」を扱うものだと説明し、「OPSECの目的は、任務・作戦・活動についてのセンシティブな非機密情報を識別・統制・秘匿すること、および、その任務・作戦・活動を敵が侵害する能力を無効化または緩和することである」としている。

OPSECの失敗例

　ここまでの定義や説明は、どれも非常に抽象的だ。OPSECには具体的に何が含まれるのだろうか。それを理解するには、OPSECの顕著な失敗例をいくつか見てみるのが一番かもしれない。公になった情報をつなぎ合わせ、当事者が隠しておきたかったであろう全体像をあぶり出すことに成功した事例である。

　まずは、立場上もっと慎重であるべきだった人に関する顕著な事例を見てみよう。2017年3月、Gizmodoのライター、Ashley Feinberg氏は誰でも入手できるいくつかのデータだけを基に、当時の米連邦捜査局（FBI）長官のJames Comey氏がひそかに開設していたInstagramアカウントとTwitterアカウントを突き止めることに成功した。ソーシャルメディア上の証拠をたどって答えを導いた見事なお手本だ。

　Feinberg氏は、Comey氏の息子のBrienさんが米ケニオン大学のバスケットボール選手であることを知り、同大学の運動部のInstagramアカウントでBrienさんに関する動画を見つけた。その投稿に付いたコメントの1つは、Brienさん個人のInstagramアカウントにタグ付けされていた。そこでFeinberg氏は、匿名の使い捨てアカウントを使って、Brienさんのアカウントにフォローリクエストを送った。こうすると、その人に関連するアカウントをフォロー先の候補としてInstagramが提示してくれるからだ。

　この時提示されたアカウントの中に、「reinholdniebuhr」という鍵付きアカウントがあった。このアカウント名の基になっているReinhold Niebuhrというのは、James Comey氏が卒論のテーマにした神学者の名前だった。これがComey氏のアカウントだとFeinberg氏は確信した。

　また、Twitterアカウントに関しては、「niebuhr」に関連する名前を使っているアカウントは数えるほどしかなかった。そのうちの1つが、「@projectexile7」というアカウントだった。このアカウント名は、Comey氏が1990年代に立ち上げに携わった銃犯罪対策プログラムに由来するものと見られた。また、このアカウントをフォローしていたのは、Comey氏の友人で、安全保障関連ブログの開設者であるBenjamin Wittes氏1人だけだった。こうしてFeinberg氏はアカウントを突き止めた。その後、2017年10月になって、同氏の読みが正しかったことが確認された。

　この事例が見事に示しているとおり、セキュリティ意識が高いはずの人でも、本人が気づかないうちに、ソーシャルメディアにさまざまな手がかりを残していることがある。また、軍事的な意味でこれ以上に深刻な痕跡がFacebookなどのソーシャルメディアに残っている場合もある。

　例えばロシア政府は、ウクライナ東部の紛争に関して、親ロシア派の武装勢力はウクライナ国内の勢力であり、ロシア軍が関与しているわけではないと公式には説明している。だが、ロシア軍の兵士がソーシャルメディアにたびたび上げた投稿の中には、Instagramの写真にうっかり付いていた位置情報から、ウクライナ領内にいたことを明白に示しているものがあった。

　似た例としては、広く利用されているフィットネスアプリ「Strava」がある。フィットネストラッカーのデータを基に、世界各地でユーザーがジョギングなどのアクティビティを行った場所が細かく分かる機能をStravaがリリースしたところ、秘密の米軍基地の場所が明らかになってしまった。このアプリは米軍兵士にも愛用者が大勢いるからだ。

　企業レベルでOPSECに不備があった場合、国家安全保障上のリスクにはならないかもしれないが、当事者にとってはやはり大惨事となりかねない。OPSECに関して見られる過ちとして、米Digital Guardianのブログ記事の中で起業家のShy Bredewold氏が挙げているのは、慣れや不注意から企業の内部情報が漏れる事例だ。「熱心すぎる社員が投稿に加えたタグによって、公にしていないトレーニング施設の存在が明らかになる。あるいは、奥さんにした話が、うちの夫は来月の新機軸のプロダクトのリリースに向けて重圧を感じている、といった話として投稿される」

　また、ずさんな扱いのパスワードが攻撃で狙われる恐れもある。Webサイトのパスワードはたびたび流出事件が発生し、多数のユーザー名とパスワードの組み合わせが公となっている。ハッカーにとっては、こうしたIDの持ち主の勤務先を調べて、再利用しているパスワードを攻撃に使えないか探るのにうってつけだ。

OPSECのプロセス

　OPSECの手順については、米軍が定めた5段階のプロセスがあり、企業や組織がデータやインフラを精査して防御計画を定めるうえでも参考になる。米SecurityTrailsのブログに平易な解説があるが、ここでも簡単にまとめておこう。

1. クリティカルな情報の特定：敵の手に渡ったら組織に損害が及ぶことになるデータを特定する。顧客情報、財務情報、知的財産など、さまざまなデータが考えられる。

2. 脅威の特定：どのような敵に狙われるかを考える。サイバー犯罪集団からライバル企業まで、さまざまな可能性が考えられる。敵の種類によって標的のデータが異なる場合があることに留意する。

3. 脆弱性の分析：企業や組織のセキュリティ対策で核となるステップの1つだ。綿密なセキュリティ監査を実施して、インフラの弱点を明らかにする。

4. リスクの評価：脅威のレベルを特定する。すなわち、ステップ3で明らかになった脆弱性により、ステップ1で特定した重要なデータが、ステップ2で特定した敵にどのように漏れるのかを明確にする。公になった脆弱性を利用されたらどの程度の損害が生じ得るのかや、そうした攻撃を実際に受ける可能性がどの程度あるのかを割り出す必要がある。

5. 対応計画の策定：ここまでで探った情報に基づき、脆弱性を解消してデータを万全に防御するための計画を策定する。

OPSECの対策

変更管理プロセスを導入する　OPSEC計画の中で講じられるセキュリティ対策にも、やや抽象的な面はあるが、HackerCombatの記事では、次のようなベストプラクティスを挙げている。

• ネットワークデバイスへのアクセスを必要最小限のみに限定する
• 社員に与えるアクセス権は極力減らし、最小権限の原則を徹底する
• タスクを自動化して人間の弱点を排除する
• インシデント対応と復旧の計画を定めておく

　SecurityTrailsの記事では、OPSECの計画で注目すべき部分について細かく挙げている。氏名、IPアドレス、言語、メールアドレスなど、個人を特定するセンシティブなデータに細心の注意が必要なのは当然だが、人的側面への対応も欠かせない。特に、社内の人間にOPSECの意識を習慣づける必要がある。データやデバイスの暗号化、データの転送に対するモニタリング、特定のデータへのアクセスの制限など、いくつかの習慣についてトレーニングが必要だ。

　また、本記事の前半で取り上げたような失敗の数々も意識しておく必要がある。ソーシャルメディアに関しては特にそうだ。第2次世界大戦時の米国では、「口は災いのもと」という意味合いのスローガンがOPSECの推進に使われた。現在の企業や組織にも同じことが言えるし、Facebookへの投稿にも同様の考え方が当てはまる。

OPSECプログラムの責任者

　社内でOPSECの責任者を誰が務めればよいかという疑問を持つ人もいるかもしれない。実のところ、その答えはまだ特に定まってはいない。多くの場合、社内で関心と技能が最も高い人物が、最も適任の候補者である。組織図のどこに位置しているかは関係ない。

　OPSECに携わる人を支援する非営利組織Operations Security Professional's Association（OSPA）のサイトでは、OPSECに関与している人々の事例が分かり、多くの人がたどるキャリアパスや職務の内容を知るうえで参考になる。OPSECに全精力を投じている人もいれば、さまざまな職務の1つとしてOPSECを担っている人もいる。自社でOPSECの考え方を取り入れるにはどのような形をとるのが最善か、各自で考える必要がある。

2021年謹賀新年

明けましておめでとうございます。

昔は年始の挨拶といえば年賀状だったが、最近はLINEを活用している。

毎年年末年始の時期にはLINEおみくじのキャンペーンがあり、ここ数年毎年キャンペーンに乗っかっている。

そんなわけで年賀状の生産枚数は毎年下降を続け、今や年間1枚のみとなっている。

というのも、FacebookもLINEもやっていない人が約1名いるのだが、そういう人に限ってとてもお世話になっていた人となるので、毎年書き続けている。

年賀状って面倒くさいと思うかもしれないが、生産枚数1枚だと、意外に面倒くさくない。

毎年最初に作る年賀状が、その年に作成する最後の年賀状になるので、しっかり気持ちも込められるし、疲れないのである。

話がそれたが、今年のLINEおみくじキャンペーンが、事実上最初のおみくじとなったため、結果を晒しておきたい。

ちなみに、おみくじは、大吉・吉・中吉・小吉・末吉・凶 の順に良いとされている。

今回は小吉となったが、今年は後厄なので、まぁ妥当なところだろう。

昨年は散々な年だったので、一陽来復の兆しにはとても期待したい。

勝負どころが1月下旬の午前中とのことで、今年は年明け早々に勝負どころが来ることとなる。

年明け早々に勝負どころが来る点は少し心当たりがある。

ここまでは良いのだが、開運アイテムがK-POPだと！

うーん。

き、聴いてみるか。。。。。

不確実な時代に求められる新しいセキュリティリーダーとは（転載）

不確実な時代に求められる新しいセキュリティリーダーとは――ガートナーが提言:

　ガートナー ジャパン（以下、ガートナー）は2020年11月26日、これからの時代に求められる新しいセキュリティリーダーシップの在り方について発表した。

　新型コロナウイルス感染症（COVID-19）の影響でビジネス環境は大きく変化し、企業は多くの不確実性に直面することになり、セキュリティリスクもこれまで以上に予見しづらい状況になった。

1. 皆がよく知っている言葉に置き換える――“認識のズレ”を作らない

　「トラストを上げる」「トラストを確保する」といったように、これからのセキュリティでは「トラスト」という単語が頻出する。キャッチーな言葉を使うとセキュリティについて最先端の議論をしているように思えるが、人によってその意味するところが異なるため、何を議論しているのかが不明瞭なままになる危うさがある。

　セキュリティリーダーは、このような表層的な議論を続けるのではなく、「ここでいう信頼（トラスト）とは何か」を問いながら、具体的な対象がはっきりと分かるように議論を仕切り直すべきである。

2. できる限り小さく始める――セキュリティに関わる共通認識を醸成する

　リモートワークの拡大や、デジタルトランスフォーメーション（DX）で加速するクラウドやモバイルの活用など、セキュリティリーダーは常にセキュリティとビジネスの間に立たされる。

　例えば、セキュリティが十分ではないのにビジネスを推進しなければならないという場合には、「最初から大規模に利用せず、できる限り小さく始める」ことが鍵となる。社内での議論をこのような方向に導くことができるのは、企業の中でもセキュリティリーダーだけである。

3. これまでとは逆の発想で進める――問題の核心を追求する

　セキュリティ関連の事件が起きたとき、経営陣から「当社は大丈夫なのか」と聞かれることがあるだろう。「はい／いいえ」というシンプルな回答を期待されているという背景はあっても、それだけではセキュリティ状況の報告としては十分とはいえない。

　「大丈夫か」に対する直球の回答ではなく、「セキュリティの本当の問題は何か」を経営陣に報告するための良い機会とできるかどうかが、新しいセキュリティリーダーへの分かれ道になる。