【勉強会メモ】総関西サイバーセキュリティLT大会(第9回)
- 日時:2018/06/13(水) 19:00 〜 21:00
- 場所:CTC大阪オフィス
遅刻したため2つ目のセッションからの参加です。
漏洩からみる法律問題
個人情報漏洩
- 外部犯
- 内部犯
- 社員のうっかり
外部犯
- 犯人だれ?⇒犯人が誰かわからない限りLawは動けない
- 法的責任のためには犯人追求が不可欠
- 最終的に刑務所に入れる人は誰かを特定しないといけない
わかりやすい責任追及にいく⇒ 会社
なぜやられた?なぜ防ぐことができなかった??
セキュリティ対策
- 明示的にセキュリティ対策不足による損害賠償請求が認められたことはいまのところなさそう
- 常識的なセキュリティ対策については目次的に備えていることが前提と解されるおそれがある
義務
- 設計段階での構築義務
- 運用段階でのメンテナンス義務
- モニタリング義務
ランニングコストも踏まえたサイト運営をしないと危ない
内部犯
- 犯人の特定は外部犯よりは容易
- 情報窃盗した人がお金を持っていることはあまりない
お金が無かった場合⇒使用者責任( 会社 )
ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。
外形標準説…外から見たら会社が命令を出したように見られることがある
「事業の範囲」とは本来の事業の範囲に限らず、密接な関連性を有するなど客観的・外形的に使用者の支配領域下にあればよい(外形標準説)と解釈されている。
内部のうっかり
従業員の過失⇒何をすべきだったのか?⇒セキュリティポリシーは重要
- 従業員の過失が認定できたとして⇒ 使用者責任
- 従業員の過失が認定できないとき
- 防ごうと思えば防げた?⇒ 会社 の責任
まとめ
会社に請求がくる可能性がある
どのくらい悪い?
何が考慮されている?
- 情報の種類
- 故意の漏洩か過失か
- 漏洩の態様や意図
純粋被害者的立場の会社はどうなるか?
- 会社は損害賠償のリスク
- 継続的な取り組みが法的に求められている
- 損害額は大きい方で未知数
経営陣のセキュリティに対する理解が必須
→ エンジニアとリーガルマネジメントの地位を上げていこう
経営陣は無傷?
→株主からの責任追及
以降はLT
脆弱性に備えよ
玉邑さん
- 課題:脆弱性の対応
- 2017年:14,700件
脆弱性は待ってくれない
- 影響調査
- 遮断対応
→一刻を争う
解決策1:影響調査を自動化
- 構成情報だけでは網羅できない
- 結局全台を優先度付で調査
zabbixのホストインベントリ
- 主要ソフトウェアのバージョン情報をリアルタイムに取得
Zabbix API
- 全サーバのソフトウェア一覧をCSVで取得
人海戦術→ポチッと
解決策2:すぐに気づく
- JVN
- JPCERT CC
- NISC
IFTTTでRSSの更新情報を連携
- RSSの内容をSlackなどに投稿
⇒すぐ調査へ
まとめ
- エンジニアにセキュリティは必須スキル
- 脆弱性に備えて準備しておく(調査の自動化
- セキュリティに対して情報感度を磨く
L3装置のセキュリティ〜まさかのバグ編〜
@MeiNogizaka さん
検証中に発見したセキュリティ機能に関係するバグを紹介
ACCESS CONTROL LIST BUG
⇒なぜかプロトコル番号の下位6bitしか参照しない
⇒パケットの共連れが可能
- 次回以降のNW装置検証で実施しなければいけない項目が増えた
- 検証大事
セキュリティと教育
NakaHiroさん
2020年からプログラミング教育開始
教育現場でのセキュリティ事故の事例
子供向けの書籍
診断員ちゃんは伝えられたい!
川東さん
診断サイトの情報
- 診断のプロでも診断対象サイトの全てを知っているわけではない
- そのWebサイトに存在するユーザーの種類を全部教えてほしい
事前チェックシートで確認
⇒一般会員と有料会員で閲覧できるコンテンツの範囲が違う
- 診断員もお客様も目指すところは同じはず
- お互い歩みより安全なWebサイトにしたい!
ULTIMATE CYBER SECURITY QUIZ
池田総裁
アルティメットサイバーセキュリティクイズ2018
3部制
- 予選
- ○×クイズ
- 200人から8人へ
- 準決勝
- 記述式クイズ
- 8人から3人
- 決勝
- 早押しクイズ
- 3人から1人へ
景品
- 入賞景品あり
- 参加賞あり
記念公演
- スペシャルゲストを予定