radioc@?

レディオキャットハテナ

【勉強会メモ】総関西サイバーセキュリティLT大会(第10回)

セキュリティ 勉強会

sec-kansai.connpass.com

  • 日時:2018/08/08(水) 19:00 〜 21:00
  • 場所:MOTEX大阪本社

セキュリティ現場の表話、裏話

富士通セキュリティマイスター かやまこうせつ さま

  • LTのメッセージ
    • 縁の下のエンジニアのいいとこ探して応援できる社会へ何かできないか
  • 葛藤
    • セキュリティを全面に押し出したかっこいいところや、危険を煽る内容がクローズアップされすぎていないか

1. ランサムウェア Wanna Cry

  • うっかり払ってしまいそうな身代金
  • 現場「あのコンピューターもつながってたの?」
  • バスの掲示板の裏で動いているPCなどもファイル共有設定されていた

裏:つながる時代を顕在化させたWannaCry

2. 人材育成

  • セキュリティ人材育成の取り組み
  • 現場は人材育成しているつもりはない

裏:人材育成は場づくりから

  • フィールド領域
    • 現場の人
  • エキスパート領域
    • セキュリティアナリスト
  • ハイマスター領域
    • シニアセキュリティ

ハイマスターが下から現場を支えるようにする

3. サイバーレンジ

裏:サイバーレンジは場の一つ

  • サイバーレンジを買うだけでなくそれをどうやって扱うか

人を中心とした設計

  • タレントは自分の範囲でしか仕事をしない
  • ナレッジをどうやって集めるか
    • 貯める場所を用意しないと散在

※メモ

tech.nikkeibp.co.jp

4. 公衆無線LAN

www.itmedia.co.jp

www.sankeibiz.jp

利害関係者を洗い出して議論するのが大事だ。法整備という話も出てくるかもしれない

裏:そんなん言ったかなぁ

  • 利害関係者を集める
  • 緩和するための法整備もしてはどうか

5. 国産プラットフォーム

  • 日本vs海外
    • 減点vs加点
    • 障害対応vsいいね
    • ムエンゴvs谷町衆
    • 粗相無いようにvsチャレンジ

第一部まとめ

縁の下のエンジニアの裏の頑張りを拾い続けます

第2部 セキュリティ競技 Hardening 100 Value x Value に参加してきた

  • 競技の説明
  • 初動・体制・情報共有・チームワーク
  • インシデントレスポンス
  • ビジネス稼働率向上の取り組み
  • ログ分析
  • Hardening、進捗管理
  • マーケットプレイス活用の試み
  • ビジネス活性化の試み
  • 総括

内幕はそんなきれいじゃない

13時半までリモートデスクトップが繋がらなかった

⇒判断に徹する

オチ:RemoteDesktopツールのバージョンが違う

  • 技術者と同じ目線で会話できるマネージメント層
  • 技術わかる、縁の下のエンジニアの裏まで理解してあげられるマネ大事
  • たましいは現場に宿る

締め

  • 現場ではいろんな人がいろんな視点で頑張っている
  • できて当たり前じゃない
  • だからそんなエンジニアを応援したい

トークセッション セキュリティ競技の意義 

Yahoo太田さま・富士通かやまさま・tktkのSeraphさま

以下のテーマについてトーク。詳細は割愛。

CTF

キャプチャー・ザ・フラッグ

CTFの例

※メモ

セキュリティ競技CTFって何?

Hardeneing

  • 本家(年2回主に沖縄)
  • Mini(不定期)
  • Micro(不定期)
  • Yahoo(年1回)

情報危機管理コンテスト

wasforum.jp

CYDER

CYDER | ナショナルサイバートレーニングセンター | NICT-情報通信研究機構

アルティメットサイバーセキュリティクイズ

www.seckansai.com

関西の産官学による情報セキュリティ人材育成の取組(案)

藤田さん

関西で情報セキュリティを取り組んでいる人にもっと光を当てたい

  • 政府方針
  • 戦略マネジメント層の育成・定着
  • サイバーセキュリティ戦略⇒東京の話

地域でこそ、この問題は深刻

  • 地域で情報セキュリティセンスをもった人材の裾野を広げることが重要

具体的取組

  1. リソース足りないならみんなで補完しようというカタチづくり
  2. 学校や企業では教えてくれない、原理・原則講座シリーズ
  3. 情報セキュリティ人材へのスポットライト当て

今秋スタート予定。完全ボトムアップ

IT知識ゼロの組織がマルウェアに感染した話

村上さん(京都産業大学2回生)

  • 委員会の会議の場でPCが壊れた
  • 明らかにランサムにやられてそう

対策

  • ネット切断、電源切断
  • 通常の業務と同じように直属の先輩⇒学校に報告

解決しなかった

  • 幹部→学生部→情報センター→PC対策
  • 学生部で立ち消え
    • 曖昧な報告

CSIRTがマスト

  • インシデント対応は通常の組織構造では対応が送れたり適切に行えない危険
  • 組織にとらわれない動ける人
  • インシデント対応ができる人
  • 上の人や関わったことのない人たちでもビビらず対応しないといけない

裁判のIT化に立ち向かう

伊藤さん(弁護士)

日本の裁判所の文化

  • Fax、印鑑
  • 事件管理システムはClose環境で使いにくい

IT化

  • 3つのe
    • e-提出
    • e-法廷
    • e-事件管理

ハードル

  • 法律マターか最高裁判所マターか
    • Web会議による審議→裁判の公開?
    • 日本は本人訴訟が多い
  • IT化対応できない人は紙?
  • セキュリティが問題になる

便利になった先に何があるか

  • 判決のデータベース化
    • ビックデータ活用
  • 利便性とセキュリティ

セキュリティと利便性のあるシステム作れる方

  • 最高裁が求めています
  • 実装をしている皆様の声が必要

クレジットカードを不正利用された話

MORITAさん

speakerdeck.com

タイムライン

  • 10月にカード会社から電話
  • 8月に言った

被害

  • 10日間
  • 80件

  • 明細3ページ

  • Google Midasという謎の決済情報

    • 1ドルx40連打
  • Facebook→ゲーム
  • レンタル倉庫→滞在先の近く

blackhatの出張

  • セキュリティのエンジニアがセキュリリティの出張でセキュリティの被害に…

決済に必要な要素

  • クレカ番号
  • 有効期限
  • セキュリティコード

店員がバックヤードでカード情報取得

対策

  • セキュリティシール(開封防止シール)
    • セキュリティコードを隠す

まとめ

  • ITセキュリティも大事だがまず物理セキュリテイ
  • 内部犯行も考慮したセキュリティ脅威分析は必須
  • 大手クレカ会社のサービスの信頼性

マッスルタワーに挑んでみた

chocopurinさん

Micro Hardening

ドラゴンボールに例えると

参加動機

  • 技術的な刺激
  • 本家Hardeningはスケジュール合わず

当日

まとめ振り返り

  • 45分の短い時間だがいろんな分野の攻撃がくるのでインターバル時の疲労感
  • 回を重ねるごとに対策ができているのを実感できる
  • 事前資料はよく読む
  • システム運用は知っておく

リンク・転載は法令・公序良俗に反しない範囲で自由です/著作権は全て著作者に帰属します