ITmedia Security Week 2021 講演資料
•
0 likes•61 views
ITmedia Security Week 2021 講演資料 標的がテレワーク、そのとき攻撃者は ある日のこと、私のもとに一通の怪しいメールが届いた。技術者である私の興味を引くに十分なその挑戦的な文面は標的型攻撃を疑わせた。コロナ禍で急増したテレワークと組織の混乱。これに便乗し、さまざまな攻撃キャンペーンが展開されている。入り口はメールや脆弱なシステム機器など多岐にわたる。本セッションでは、悪質なサイバー攻撃のあらましに加え、テレワークで働く社員一人ひとりのリスクを低減するために見直したいポイントを整理する。
Recommended
More Related Content
More from Ruo Ando
More from Ruo Ando (20)
ITmedia Security Week 2021 講演資料
- 1. 標的がテレワーク、 そのとき攻撃者は ITmedia Security Week 2021秋 8/31 15:10~15:50 国立情報学研究所 サイバーセキュリティ研究開発センター 安藤類央
- 3. 標的がテレワーク、そのとき攻撃者は ❏ 不安な時代のテレワーク ❏ 攻撃者は楽器を変えても曲は変えない(リスクは有限) ❏ セキュリティとは最弱点問題(対策は有限) ❏ トレードオフのないセキュリティはない(自分を知る) ❏ 不安を管理する
- 4. ルール + 技術 + 人 テレワークによって、人は自由に なったが。。 そこで、情報資産を守るためには、「ルール」・「人」・「技術」の三位一体のバランスがとれた対策を 実施し、全体のレベルを落とさないようにすることがポイントとなります。 テレワークセキュリティガイドライン第4版 総務省 トレードオフのないセキュリティはなく、 トレードオフは主観的である。 ルールはトレードオフの妥協点 技術がセキュリティのバランスを崩す (最弱点が変化する)
- 6. テレワークによって何が変わったか? ❏ 自由になった 総務省の定義「企業にとっての競争力強化だけでなく、新しいビジネスの創出 や労働形態の改革、事業継続の向上をもたらすとともに、多様化する個々人の ライフスタイルに応じた柔軟かつバランスのとれた働き方の実現に寄与する」 ❏ 孤独になった 人々はますます接続が増える地球上で、ますます孤独な暮らしを送ることにな る。私たちの時代の社会的混乱や政治的混乱の多くは、人間の関係のこの低迷 状態に元をたどれる。 「21 Lessons: 21世紀の人類のための21の思考」ユヴァル・ノア・ハラリ ❏ 不安になった 人は不安になると、目の前の問題を一番重要な問題であると捉えがちになる。
- 7. コロナ – 不安の時代 ❏ テレワークでは、基本1人なので、近くの人に訊 けない。相談できないため不安になる。 ❏ 攻撃者は、テレワークのこのような状態につけこむ。 → いかなる人でも、不安に感情を支配されると判断を 間違うことがある。
- 11. リスクを並列、均等に考えない 「テレワーク実施者の方へ」 内閣サイバーセキュリティセンター 1 複雑なパスワードや多要素認証を使いましょう 2 端末や機器を最新にアップデートしましょう 3 業務を装ったりするメールや不信やメールに要注意 4 実は丸見え?!通信は暗号化して安心 5 端末の盗難、紛失に要注意 6 そこは社内じゃありません。 7 何かあったときの連絡手順を確認 https://www.nisc.go.jp/security-site/telework/index.html すべてのリスクを並列に、均等に考えるとよくない。 恐怖心のあまり、なにもできなくなってしまうことも。
- 13. 組み合わせは有限 - 3つに絞る • 防御方法の種類は、基本的に変わらない。3種類。 • 関門: 人や物、データの流れを狭いところに局限する。 • 区画化:資産を細かく分割し、各々に防御策を講じる • 多層防御:壁を二重にしたり、堀と壁は、二重の壁より効果的。
- 14. 組み合わせは有限 - テレワーク方式 1VPN方式 2リモートデスクトップ方式 3仮想デスクトップ方式 4セキュアコンテナ方式 5セキュアブラウザ方式 6クラウドサービス方式 7スタンドアロン方式 総務省 テレワークセキュリティガイドライン 第3章 テレワーク方式の解説 https://www.soumu.go.jp/main_content/000752925.pdf 結局のところ、1から7のどれを 選ぶか(組み合わせるか) の問題になる。 これについてはマニュアルがある
- 15. ポイント ❏ ひとつの完璧なシステムでOKするのは危険 ❏ 世の中の常として、まず関門に頼りすぎるという傾向 ❏ トレードオフと同様、最弱点も主観的なものである ❏ まずは攻撃者を知る(イメージを構築する)こと ❏ 自分が狙われるとしたらどういう理由か?と考える。
- 16. 怪談:とある地下鉄の女性
- 17. この話の怖いところ • 攻撃者(女性)が凄まじいリスクテイクをしている • 攻撃者の動機が分からない • 自分が狙われる理由がわからない →逆を返せば、安全になる(恐怖がなくなる)
- 19. トレードオフは主観的。 • どこまでセキュリティを確保できるか、どこまでコストを容認 できるかと思うかによる(トレードオフ) • このトレードオフは主観的なものである。(当事者や集団、は たまだ代理人によって異なる) • 何をリスクだと思うかも違えば、容認できるリスクのありかた もそれぞれ。
- 20. 5段階評価法で自分たちを知る 1. 守るべき資産は何か お金。場所。事業。システム。国全体など。 2. その資産はどのようなリスクにさらされているのか 被害の大きさ。攻撃者と攻撃方法。攻撃の理由。 3. セキュリティ対策によってリスクはどれだけ低下するのか 対策の効果。現実的な運用方法と失敗の可能性。 4. セキュリティ対策によって、どのようなリスクがもたらされるか 意図せざる結果、副作用、対策の脆弱性。 5. 対策にはどれほどのコストとどのようなトレードオフが付随するか お金。利便性や快適性、プライバシー、自由。 参考「セキュリティはなぜ破られたか」 ブルースシュナイアー
- 21. 5段階評価法:データレスPC 1. 守るべき資産はなにか?事業所内のPC 2. その資産はどのようなリスクにさらされているか?テレワーク(端末)を 狙う攻撃者 3. セキュリティ対策によって、リスクはどれだけ低下するか?データ保存 と処理はクラウドに預ける。 4. セキュリティ対策によって、どのようなリスクにもたらされるか?クラ ウドのセキュリティ確保をきちんとする必要がある。 5. 対策にはどれほどのコストとトレードオフが付随するか?一般には、優 れた安定性を確保しつつ導入コストをリーズナブルに抑えられる。 データレスPC:「Passage Drive エンドポイント DLP」 (横河レンタ・リース社とサイエンスパーク株式会社の共同開発)
- 22. Q&A: 性善説と性悪説 ❏ アメリカ人「渡る世間に鬼はなし」 ❏ 日本人「人を見たら泥棒と思え」 だまされやすいのは、どちらか?
- 24. 不安を管理する
- 26. 時間
- 27. Q&A:とあるセキュリティ専門家の問い Q. 「文明発祥から5500年。その間、 をなくせるほど技術が進 む日はいつ、来るのでしょうか?」 A. 「永久に来ない。どんな技術もルールも をなくせない。」 Q. 「では、そんな中で、みなさんはどうして安心に暮らせている のでしょうか。」 参考:「セキュリティはなぜ破られたか」 ブルースシュナイアー
- 28. 恐怖とリスクを分ける ❏ 私たちが崩壊から守られている根本的な原因は人の性質にある。 ❏ 防御側の強みは、防御者の方が多いこと。 ❏ 恐怖心とは、心と体の中にあるもので、現実のリスクではない。
- 29. 標的がテレワーク、そのとき攻撃者は ❏ 不安な時代のテレワーク ❏ 攻撃者は楽器を変えても曲は変えない(リスクは有限) ❏ セキュリティとは最弱点問題(対策は有限) ❏ トレードオフのないセキュリティはない(自分を知る) ❏ 不安を管理する