「月例研報告2016」カテゴリーアーカイブ

顕在化しにくくなったサイバー脅威のリスクコントロール(Saaj会報2016.11)

第216回月例研究会:講演録
【 顕在化しにくくなったサイバー脅威のリスクコントロール 】
会員番号 2581 斉藤 茂雄

【講師】株式会社サイバーディフェンス研究所 専務理事 名和 利男 氏
【日時・場所】2016年9月7日(水)18:30~20:30
【テーマ】「顕在化しにくくなったサイバー脅威のリスクコントロール」
【要旨】
サイバー攻撃は高度化・巧妙化し、かつ進展速度を上げてきている。
そのためサイバー脅威は、我々の対応限界を遥かに超えたものとなっている。
その結果、情報システムの現場では、サイバー空間利用における脅威及びリスクを実情に見合った形で見積もることが困難となり、日々発生するインシデント対応に追われている状況が見られる。

本講演では、なぜこのような状況に陥ってしまったのか、そして今後サイバー脅威のリスクコントロールをどのようにしていくべきかについて、サイバー空間における攻撃側と防御側の観点で考察する。

【講演録】
1.激変するサイバー攻撃メカニズム
(1)攻撃側と防御側の関係位置の変化
エベレストのような高い山への登山には高度な訓練が必要だが、サイバー攻撃の攻撃者がこのレベルだとすれば、防御側の大多数は、幼稚園児が砂場に作った標高10cmの砂山で遊んでいるようなレベルであり、残念ながら私達のサイバー攻撃に対する本質的理解及び対処スキルのレベルは極めて低い。

(2)日本へのサイバー攻撃で利用される「日本特有の仕組み」
米欧の組織内ネットワークでは、その文化的な背景から、一人一人のアカウントに対して権限を厳格に定めている特徴がある。
対して日本は、ある社員が休めば、他の社員がその仕事を代わることができるといったように、権限管理に甘いところがある。

米欧でのマルウェア被害は1台のPCで納まることが多いが、日本では1台のPCが被害を受けるとまたたくまに内部ネットワーク全体に広がることがある。

(3)既成概念を覆す斬新な発想に基づく攻撃手法
最近の攻撃者は、マジシャンと同じような既成概念を覆す斬新な発想に基づく攻撃を行うことがある。昨年12月にウクライナの電力供給会社がサイバー攻撃を受け、8万戸(実際は12万戸)の住居やビルが停電したと報道されているが、これなど人間を騙してマルウェア感染させた事例である。

続きを読む ⇒顕在化しにくくなったサイバー脅威のリスクコントロール

実践的なセキュリティと監査の役割

■研究会報告

第214回月例研究会:講演録
【 実践的なセキュリティと監査の役割 】

会員番号 148 木村 裕一

【講師】内閣サイバーセキュリティセンター
基本戦略グループ(分析担当) 企画官 結城 則尚 氏

【日時・場所】2016年6月21日(火)18:30~20:30

【テーマ】 実践的なセキュリティと監査の役割

【要旨】
【講師自己紹介】
現在、内閣サイバーセキュリティセンター基本戦略グループ(分析担当企画官)。
地方公務員としてスタートののち、トラブルシューティング、審査機関の認定委員、原子力関連の検査などセキュリティに関して30年の経験を重ねてきた。

最初の監査は米国で経験し3年間苦労してプロセスアプローチを身に着けた。
プロセスアプローチのほうが要素型より効率が良いと考える。
セキュリティに問題がある職場は環境も良くないが、信頼性を高めることで良くなる。
不安全な職場は何か人間環境がおかしい。健全な職場に安全が宿ると認識している。

【講演概要】
 はじめに セキュリティ対策への取り組みについて
 結城氏は、セキュリティに関する上原哲太郎氏(立命館大学教授)の次のツイッターメッセージにうなずいたことから、話を始めた。

『セキュリティって全分野ひとりで出来るスーパーマンなんていないんだからどうやったってチーム戦。
いい選手集めるのは重要だけどそれ以上にいいコーチや監督がいないと勝てない。
他部門には常に疎まれる立場なのでオーナーがその価値を認めて支えてあげないと簡単にチーム全体の士気が下がる。

 セキュリティは組織全体で取り組む組織力が必要であり、組織を指揮して管理するマネジメントシステムが重要です。
 その組織に最適化されたマネジメントシステムを構築・維持し、適切なセルフアセスメント、内部監査、マネジメントレビューを実施し、改善に結び付けるサイクルを継続的に行っていくことが求められています。

 こうしたサイクルにおいて、客観的に組織内の課題を指摘する外部監査の活用は、とりわけ重要です。
 
 一方、システム認証をとることに専念して、マネジメントシステムが形骸化している例も多く見受けられます。
 
 監査は組織のパフォーマンスを向上させる重要なものと位置づけ、現場で見られる課題と方策を説明します。

続きを読む ⇒実践的なセキュリティと監査の役割

IoTって何? ~IoTによるイノベーションとその課題~ 

■研究会報告

第213回月例研究会:講演録 
【 IoTって何? ~IoTによるイノベーションとその課題~ 】

会員番号 2589林 昭夫

【講師】独立行政法人 情報処理推進機構 技術本部
ソフトウェア高信頼化センター 調査役        
工学博士 田丸 喜一郎 氏

【日時・場所】2016年5月26日(木)18:30~20:30
【テーマ】「IoTって何? ~IoTによるイノベーションとその課題~」

【要旨】
“IoT”は今や日常的に使われ、誰もが知っている用語ではあるが、立場が違えば解釈も異なるため、人によってこの解釈が随分と異なっている。

この講演では“IoT”の由来と定義、及びそれを活用した事業の展開とともに見えてくる課題、更には顕在化してくるリスクについて分かり易く解説し、 IoTの利用状況・利用環境に関連した不具合を想定したシステム監査の必要性についても触れている。

続きを読む ⇒「IoTって何? ~IoTによるイノベーションとその課題~」

「企業IT動向調査2016(15年度調査)~データで探るユーザー企業のIT動向~」

■研究会報告

第212回月例研究会:講演録
【企業IT動向調査2016(15年度調査)
~データで探るユーザー企業のIT動向~】

会員番号 1697 大西 智

【講師】一般社団法人 日本情報システム・ユーザー協会(略称:JUAS)
常務理事 浜田達夫 氏
【日時・場所】2016年4月25日(月)18:30 – 20:30、
機械振興会館 地下2階ホール(神谷町)
【テーマ】「企業IT動向調査2016(15年度調査)
~データで探るユーザー企業のIT動向~」

【要旨】JUASのホームページ(「企業IT動向調査2016」調査結果トピックスのプレスリリース(2016年4月22日))
http://www.juas.or.jp/servey/it16/index.html 内、関連図表(PDF:983KB) 参照。
なお、2016年5月18日に報告書として「企業IT動向調査報告書2016(2015年度調査)」(発行:日経BP社、価格:¥14,200+税)が発刊される。調査結果の詳細の内容は、こちらの報告書をお読み頂きたい。

講演録:
一般社団法人 日本情報システム・ユーザー協会(以下、JUASという)は、「企業IT動向調査2016」を実施し、その結果を4月21日にJUAS会員向けに報告。当日は、この会員向け報告で使用したスライドにより、この調査の概要と新たに得られた知見を紹介頂いた。(なお、今回の講演はビデオの撮影はしておらず、配布された資料は紙のレジュメのみである。この講演録には、レジュメ以外のスライド内容は、含まない。)

続きを読む ⇒「企業IT動向調査2016(15年度調査)~データで探るユーザー企業のIT動向~」

クラウドサービスのセキュリティ規格ISO/IEC27017

■研究会報告

第211回月例研究会講演録 【 クラウドサービスのセキュリティ規格ISO/IEC27017 】
 会員番号 2564 櫻井 俊裕
講師 : 特定非営利活動法人 日本情報セキュリティ監査協会
 公認情報セキュリティ主席監査人 事務局長 永宮 直史 氏
日時、場所 : 2016年3月2日(水)18:00 – 20:00、
 機械振興会館 地下2階ホール(神谷町)
テーマ : 「クラウドサービスのセキュリティ規格ISO/IEC27017」

要旨:
 2015年12月に発行のISO/IEC27017は、経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を下敷きに、日本の提案により規格化された。
ISO/IEC27002をベースに、クラウドサービス固有の管理策や実施の手引きを記載したISO/IEC27017、その狙いとその特徴を解説する。

続きを読む ⇒【クラウドサービスのセキュリティ規格ISO/IEC27017】

最近のインターネットバンキングに係る不正送金事犯の現状と対策

■月例研報告

第 210 回月例研究会講演録
【最近のインターネットバンキングに係る不正送金事犯の現状と対策】
会員番号 0557 仲 厚吉

講師 :警察庁 生活安全局 情報技術犯罪対策課 指導第一係
課長補佐 小竹一則 氏
日時、場所 : 2016 年 1 月 21 日(木)18:30 – 20:30、
機械振興会館 地下 2 階ホール (神谷町)
テーマ : 「最近のインターネットバンキングに係る不正送金事犯の現状と対策」
要旨:
日本年金機構の個人情報の流出、DDoS 攻撃やランサムウェア感染による企業恐喝の発生など、サイバー空間におけ
る脅威が高まるなか、平成 26 年に過去最悪の被害となったインターネットバンキングに係る不正送金事犯についても、その被害は、平成 27 年上半期で約 15 億円に達するなど、深刻な状況が続いている。
本講演では、これらサイバー空間における脅威の情勢に触れつつ、最近の不正送金事犯の手口について事例を交え
て紹介し、効果的な対策について考察を加えたい。

続きを読む ⇒最近のインターネットバンキングに係る不正送金事犯の現状と対策