Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
MKT International,Inc.1
サーバーサイドにおけるOSSセ
キュリティ市場動向について
MKTインターナショナル
⾚井誠
N代表取締役 赤井誠
2011年4月28日設立
B
• 事業企画
• マーケティング
• コンサルティン
• 人材育成
• 翻訳業務等
京都大学工学部卒。
神戸大学経営学修了。
テキサス大学MBA
交換留学。
学
p
日本ヒューレット・パッ
カ...
MKT International,Inc.3
3ウェブを軸にしたマーケティング活動支援
サイトA (日経BP)
サイトB(ITMedia)
検索エンジン
キーワード
XXXXXX
リスティング広告やSEOへの
最適化が必要
電子メール等
コー...
MKT International,Inc.4
4本日の目的
• 初心者の方でもわかるように、セキュリティ動向について概要を説明
• 特に、オープンソース関係のセキュリティへの取り組みを、Linux
Foundationなどを事例にして紹介
MKT International,Inc.5
マルウェア
マルウェアの増加傾向は変わっていない。
セキュリティソフトウェア企業では、ア
ンチウィルス対策ソフトウェアでは、マ
ルウェアを防ぎきれないという認識に
なっている
シマンテックは、20...
MKT International,Inc.6
今年の事例
• サイバー攻撃による停電がウクライナで発⽣、電⼒網に迫る危
機 (2016/01)
• マルウェア BlackEnegy を利⽤したもの。電⼒会社以外にも標的にさ
れたとされる
• ...
MKT International,Inc.7
国内におけるセキュリティ動向全般
• 「セキュリティ経営ガイドライン」(経済産業省)
• 経済産業省が2015年末に公開。セキュリティは単なるITの問題ではな
く「経営課題」であると位置付けられ、...
MKT International,Inc.8
8ランサムウェア作成のハードルが下がる
• 2015年第4四半期に新たに確認されたランサムウェアは、前四半期に比べ
26%増加
• 「オープンソース」としてランサムウェアのコードが公開
• 「Ra...
MKT International,Inc.9
セキュリティ予測について
• ほぼすべてのセキュリティベンダー
が、2016年における脅威として、
IoTを上げる。
• 「新たな攻撃ターゲットはIoTと制
御システム、攻撃⽬的にも変化の兆
し ...
MKT International,Inc.10
•パッチの適⽤ができない http://japan.zdnet.com/article/35080722/2/
「セキュリティ専⾨家が指摘しているように、IoT機器にはパッチ
を適⽤できない場合...
MKT International,Inc.11
オープンソースとセキュリティといえば
• オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」
に致命的な脆弱性(Heartbleed)が発覚するなど,昨今,
セキュリティに関して,...
MKT International,Inc.12
Linux Foundation イベントより
• Zemlin「セキュリティ問題はオープンソースだけでの話ではな
い」と前置きしつつ,対応していなければならないことだと述
べるともに,オープン...
MKT International,Inc.13
そして、
• いくつかの重要なオープンソースソフトウェアでさえ,プロ
ジェクトを継続させる資⾦や⼈材の確保に課題があり,それが
⼤きな障害となっているからだといいます。そして,OpenSSL
の...
MKT International,Inc.14
Core Infrastructure Initiative (CII)
• Amazon Web Services,Cisco,Dell,Facebook,Google,
HP,IBM,Int...
MKT International,Inc.15
CIIの活動は,
• CIIの活動は,主に次の3つになります。
• 1つめ、、ベストプラクティスの共有です。例えば,公開されたgit
リポジトリーやバグトラッカーがあり,素早いバグレポート対応を...
MKT International,Inc.16
バッジ
• CIIでは、基準を作って、その基準を満たしたものにバッジを提
供する
MKT International,Inc.17
Census
• 評価した内容をOpen Source Security Census(オープンソー
スセキュリティ調査)として,開⽰
• 公開されたgitリポジトリーやバグトラッカーがあり,素...
MKT International,Inc.18
Census ページ
MKT International,Inc.19
Eject
MKT International,Inc.20
MKT International,Inc.21
教育
• 問題の⼀つは、開発者がセキュリティのベストプラクティスを
知らないということがある。
• CIIでは、カンファアレンスなどを通じて、セキュリティのベス
トプラクティスを提供していく
•...
MKT International,Inc.22
ツール
以下のようなツールを提供
• Auditing (for example, the OpenSSL audit project)
• Test Suites
• Reproducible...
MKT International,Inc.23
まとめ
• ランサムウェアをはじめとしてマルウェアの増加
• オープンソースの脆弱性とそれに対する取り組み
Upcoming SlideShare
Loading in …5
×

サーバーサイドにおけるOSSセキュリティ市場動向について

270 views

Published on

急増するランサムウェアなどの動向、経済産業省、IPAなどのガイドラインの紹介、さらに、オープンソースにおけるセキュリティに対するLinux Foundationなどの取り組みを紹介します。

Published in: Devices & Hardware
  • Hello there! Get Your Professional Job-Winning Resume Here! http://bit.ly/topresum
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

サーバーサイドにおけるOSSセキュリティ市場動向について

  1. 1. MKT International,Inc.1 サーバーサイドにおけるOSSセ キュリティ市場動向について MKTインターナショナル ⾚井誠
  2. 2. N代表取締役 赤井誠 2011年4月28日設立 B • 事業企画 • マーケティング • コンサルティン • 人材育成 • 翻訳業務等 京都大学工学部卒。 神戸大学経営学修了。 テキサス大学MBA 交換留学。 学 p 日本ヒューレット・パッ カード株式会社 ソフトウェアR&D マーケティング (Oracle,VMware,MS,Linux,HPC, クラウド) 国内Linuxベンダー1位 全HPでLinux OSの世界一の販売 MKTインターナショナル株式会社 WowShop B
  3. 3. MKT International,Inc.3 3ウェブを軸にしたマーケティング活動支援 サイトA (日経BP) サイトB(ITMedia) 検索エンジン キーワード XXXXXX リスティング広告やSEOへの 最適化が必要 電子メール等 コーポレートサイト CMSを活用し、レスポン シブ、セキュア、SEO対 策、運用の容易さを実現 WEBサイトを 顧客接点の起点 SI 情報シス テム部 事業部 経営 層 企業情報 トレンド 経営課題 ソリュー ション 経営課題 ソリュー ション マネ ジメ ント 製品概要 仕切り 事例 製品概要 事例 価格 製品概要 事例 活用法 エン ジニ ア 製品概要 サポート 動作環境 製品概要 デリバリ サポート 動作環境 N/A ターゲットに合わせたコンテンツ(例) トレンドに合わせたコンテンツ作成 Big Data Cloud Mobility Social Internet of Things
  4. 4. MKT International,Inc.4 4本日の目的 • 初心者の方でもわかるように、セキュリティ動向について概要を説明 • 特に、オープンソース関係のセキュリティへの取り組みを、Linux Foundationなどを事例にして紹介
  5. 5. MKT International,Inc.5 マルウェア マルウェアの増加傾向は変わっていない。 セキュリティソフトウェア企業では、ア ンチウィルス対策ソフトウェアでは、マ ルウェアを防ぎきれないという認識に なっている シマンテックは、2014年時点で、 55%程度しか防げていないという。 http://www.techweekeurope.co.uk/ workspace/anti-virus-dead-or- dying-symantec-144954 そのため、今は、例えば、マカ フィーでは、「防御」「検知」「回 復」からなる「脅威対策のライフサ イクル」を効率的に回し、その中で 検知したら、できる限り早く押さえ 込み、回復を図るように情報を循環 させることで継続的にセキュリティ を改善していく、というあり⽅を提 案している。
  6. 6. MKT International,Inc.6 今年の事例 • サイバー攻撃による停電がウクライナで発⽣、電⼒網に迫る危 機 (2016/01) • マルウェア BlackEnegy を利⽤したもの。電⼒会社以外にも標的にさ れたとされる • 参考:「電⼒」に迫るサイバーテロの危機 • Targetの情報流出はPOS端末のマルウェアが原因、⽶当局も注 意呼び掛け (2016/01) • 医療分野をターゲットにするランサムウェア (2016/02) • JTBの事例 (2016/06)
  7. 7. MKT International,Inc.7 国内におけるセキュリティ動向全般 • 「セキュリティ経営ガイドライン」(経済産業省) • 経済産業省が2015年末に公開。セキュリティは単なるITの問題ではな く「経営課題」であると位置付けられ、経営者がリーダーシップを とってサイバーセキュリティの強化に取り組むよう求めている。現在、 セキュリティ会社では、このガイドラインに基づいて、プロモーショ ンを実施しているところが多い。 • 「ランサムウェア」 • 2015年末から急増するランサムウェアに対して、⼀般紙やTVなどで取 り上げられるようになり、注⽬度が⾼まっている。
  8. 8. MKT International,Inc.8 8ランサムウェア作成のハードルが下がる • 2015年第4四半期に新たに確認されたランサムウェアは、前四半期に比べ 26%増加 • 「オープンソース」としてランサムウェアのコードが公開 • 「Ransomware as a Service」の登場 • 簡単で捕まるリスクが低い割に金銭的な見返りが大きい手段として、犯罪者 らに注目されているのです。 • McAfee Labsの研究者が、2015年10月に行われたCryptoWall 3ランサム ウェアのキャンペーンを分析したところ、たった1つのキャンペーンで被っ た身代金の被害額は、約3億2500万米ドルに上る http://blogs.mcafee.jp/mcafeeblog/2016/04/mcafee-labs2016-0c8e.htmlより
  9. 9. MKT International,Inc.9 セキュリティ予測について • ほぼすべてのセキュリティベンダー が、2016年における脅威として、 IoTを上げる。 • 「新たな攻撃ターゲットはIoTと制 御システム、攻撃⽬的にも変化の兆 し 2016年はこんな脅威が!セキュ リティベンダー10社予測まとめ(前 編)」 • IPAでは特に、以下の4分野を取り上 げて、. IoTシステムにおける脅威分 析と対策検討の実施している。 • デジタルテレビ • ヘルスケア機器とクラウドサービス • スマートハウス • コネクテッドカー
  10. 10. MKT International,Inc.10 •パッチの適⽤ができない http://japan.zdnet.com/article/35080722/2/ 「セキュリティ専⾨家が指摘しているように、IoT機器にはパッチ を適⽤できない場合も多いという問題もある。」 •短い開発サイクル 「組み込み機器やIoTにおけるLinuxの問題は、ベンダーが6週間と いった短い開発サイクルで新たなエディションをリリースすると ころにある。」
  11. 11. MKT International,Inc.11 オープンソースとセキュリティといえば • オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」 に致命的な脆弱性(Heartbleed)が発覚するなど,昨今, セキュリティに関して,⼤きな話題と注⽬を集めています。
  12. 12. MKT International,Inc.12 Linux Foundation イベントより • Zemlin「セキュリティ問題はオープンソースだけでの話ではな い」と前置きしつつ,対応していなければならないことだと述 べるともに,オープンソースのセキュリティ対策には課題 • そもそもセキュリティソフトウェアを開発すること⾃体が難し いことをあげました。 • 次に,Linusの法則「⽬⽟の数さえ⼗分あれば,どんなバグも 深刻ではない」(“Given enough eyeballs, all bugs are shallow“)が通⽤してないことがあると述べます。それは, 「オープンソースは,⼤きなプロジェクトが多くて,eyeball (⽬⽟)が⾜りない」からだとします。
  13. 13. MKT International,Inc.13 そして、 • いくつかの重要なオープンソースソフトウェアでさえ,プロ ジェクトを継続させる資⾦や⼈材の確保に課題があり,それが ⼤きな障害となっているからだといいます。そして,OpenSSL の件や,プロジェクト費⽤が⾜りないということでニュースに なったGnuPG など • OpenSSLプロジェクトへの寄付は年間2000ドルに満たない
  14. 14. MKT International,Inc.14 Core Infrastructure Initiative (CII) • Amazon Web Services,Cisco,Dell,Facebook,Google, HP,IBM,Intel,Microsoft,NetApp,Rackspace,VMware, 富⼠通,⽇⽴,NECなどの各社が参加 • CIIでは,⽀援が必要なオープンソースプロジェクトを⾒極めて, ⼈材獲得やセキュリティ強化といった必要経費のための資⾦を 提供 • そのアドバイザリーボードには,Alan Cox,Matthew Green, Dan Meredith,Bruce Schneier,Eric Sears,Ted Tʼso という 錚々たるメンバーが就任
  15. 15. MKT International,Inc.15 CIIの活動は, • CIIの活動は,主に次の3つになります。 • 1つめ、、ベストプラクティスの共有です。例えば,公開されたgit リポジトリーやバグトラッカーがあり,素早いバグレポート対応を ⾏い,セキュリティ問題専⽤電⼦メールアドレスを持っていること などをあげます。 • 2つめは,⽀援が必要なプロジェクトを⾒つけることです。 OpenSSL,Bash,GnuPG,NTP,OpenSSHなどです。評価した内 容をOpen Source Security Census(オープンソースセキュリティ 調査)として,開⽰。 • 3つめは,監査,テスト⽤ツールセットなどのツールとリソースの共 有です。
  16. 16. MKT International,Inc.16 バッジ • CIIでは、基準を作って、その基準を満たしたものにバッジを提 供する
  17. 17. MKT International,Inc.17 Census • 評価した内容をOpen Source Security Census(オープンソー スセキュリティ調査)として,開⽰ • 公開されたgitリポジトリーやバグトラッカーがあり,素早いバ グレポート対応を⾏い,セキュリティ問題専⽤電⼦メールアド レスを持っていることなど⾏っている
  18. 18. MKT International,Inc.18 Census ページ
  19. 19. MKT International,Inc.19 Eject
  20. 20. MKT International,Inc.20
  21. 21. MKT International,Inc.21 教育 • 問題の⼀つは、開発者がセキュリティのベストプラクティスを 知らないということがある。 • CIIでは、カンファアレンスなどを通じて、セキュリティのベス トプラクティスを提供していく • また、トレーニングマテリアルも提供予定
  22. 22. MKT International,Inc.22 ツール 以下のようなツールを提供 • Auditing (for example, the OpenSSL audit project) • Test Suites • Reproducible builds • Frama-C false positive free scans • Fuzzing
  23. 23. MKT International,Inc.23 まとめ • ランサムウェアをはじめとしてマルウェアの増加 • オープンソースの脆弱性とそれに対する取り組み

×