非技術者の非技術者による“経営陣”のためのCODEBLUEセッション参加レポート
Ⅰ)エグゼクティブサマリー
■私は堤。クロスワープにおいてWebmonitorという情報漏洩調査システムの営業担当をしている。
■この度、技術者でもないのにCODEBLUEという日本初のセキュリティ国際会議のセッションに参加したブログを書くことになった。
■詳細な技術レポートはすでに他の方がたくさんアップしてくれているので、私は、非技術者の“経営陣”に対するエグゼクティブサマリーの様に、参加したセッションの内容を3行で乱暴に要約していきたいと思う。
Ⅱ)はじめに
はじめまして。私、情報セキュリティ事業部の堤と申します。この度、突然ですが、弊社CTOの圧力により、記事を書かせて頂くことになりました。どうぞよろしくお願い致します。
実は、私、本ブログの他の執筆者とは異なり、MODDに関わってはおらず、Webmonitorという情報漏洩調査サービスの営業担当をしております。
■Webmonitor
http://www.webmonitor.jp/
⇒標的型攻撃や、PCの紛失・盗難によりお客様の機密情報が外部に流出した可能性がある場合に、その情報がどこかで公開されていないか調査します。
もし、皆様の会社で機密情報や個人情報の流出・漏洩が判明した場合、重要な情報が入った情報が入ったPCの盗難・紛失が届けられた場合には、ご連絡頂けますと幸いです。
……繰り返します。もし、情報の流出・漏洩が判明した場合、重要な情報が入ったPCの盗難・紛失が届けられた場合には、是非、ご連絡頂けますと幸いですッ!(大事なことなので2回言いました)
さて、皆様CODEBLUEという言葉をご存知でしょうか?
ヘリを飛ばすドラマを連想した方、正直に挙手をお願いします。(やっぱりガッキーは最高ですよね!)
CODEBLUEとは、トップレベルの専門家による日本初の情報セキュリティ国際会議です。実は、弊社も協賛させていただいております。
協賛・後援スポンサーの紹介 || CONTENTS || 世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」
参加した際の第一印象としては、概ね以下のようなメンバーにて運営されていたような気がします。
■講演者:トップクラスのセキュリティの専門家
■実行委員や当日の運営スタッフ:日本のセキュリティ業界の著名人(⇒勉強会やコミュニティなどを通じて、お互いがお互いを会社を超えて知っている関係。)
■来場者:以下の3パターンに分類(⇒最終日のネットワーキングパーティでの印象から推測。)
・スポンサー企業の社員(⇒勉強してこいと言われた若手の技術者が多い印象。)
・ホワイトハッカー達(⇒私服で参加している人間は大体ハッカーに見えた。)
-運営に携わっていない日本のセキュリティ業界の著名人(⇒運営スタッフと仲良く話していることから推測。)
-ハッキングコンテストやセキュリティ研修の参加者(⇒同日開催されていた。)
・スポンサー以外の会社の情報セキュリティ部門(⇒主任、課長クラスの人間が多く来場していたが、数は少数。)
本日頂きましたお題は2点。
1. この国際会議のセッションに参加した報告ブログを書くこと。
2. 来場者が、聴講したセッションの内容をどのように自社の経営層に伝えたら、社内のセキュリティ意識を高められるか考えること。
実は、ここに大きな問題があります。
私、IT企業で働いているにも関わらず、ITに疎いのです。
【堤の経歴】
1. 20代:人材派遣会社にて新規開拓のテレアポと飛び込み営業に明け暮れる。サーバとクライアントの区別がつかないくらいITには疎い。
2. 30代前半:情報セキュリティ会社に転職するも、やっぱりITには疎い。何年在籍しても疎さから脱しない。自分では、サーバ一つ満足に立ち上げられない。
3. 30代後半:クロスワープに入社するも、やっぱりITには疎い。結局疎い。どの言語においても『Hello world』すら等しく満足に書くことができない。
さあ、そんな私が日本初のセキュリティ国際会議に出て、技術的に皆様を満足・納得させられるブログ記事を書けるのか?……否ッ!断じて否ッ!
ただ、ここで考えてみたんです。
会社の経営層とか予算を持っている偉い人というのは、そんなにしっかりとした詳細な技術ブログを見たいだろうか?
多分、これも答えとしては否だと思うんですよね。
私が対応している情報漏洩調査サービスの報告書では、お客様から要約(エグゼクティブサマリー)を作成することをしばしば要求されます。
何故か?
予算を持っている経営層は、とにかく時間がなく、その要約の部分しか読まないからだそうです。納得ですね。
当然要約ですから、技術的に詳しい部分とかは書けないわけですよ。省かざるをえないわけです。当たり前ですね。
つまり、何が言いたいかというと、この文章を読んで頂いている皆様は、“経営陣”だってことです。
……最早、何を言ってるかよくわからないと思いますが、取り急ぎ、一旦皆様を“経営陣”ということにさせて頂けないでしょうか?
「自分は、何も経営していない?」
バカを言っちゃあいけません。皆様はそれぞれ自分の人生を経営されていらっしゃるではありませんか。
皆様は、立派な“経営陣”なのです。
よろしいですね?
さて、“経営陣”たる皆様はとにかくお忙しいはず。
そこで、私は、今回CODEBLUEで参加しました各セッションの内容を、長いので3行で無理やり要約させて頂くことにしました。合わせて己の感想も記載しておきますが、こちらも3行で無理やり要約しつつ進めさせて頂きたいと思います。
さらに結末では、今回のセッションの内容を皆様の現実の上長たる現実の経営層にどのように伝えれば、経営層のセキュリティ意識を高められるかについて、拙いながら考えてみたいと思います。
(すげぇ、書く前から長文になりそうな予感がビンビンに伝わってくるッ……)
それでは、非技術者の非技術者による“経営陣”のためのCODEBLUEセッション参加レポート、どうかご笑覧下さい。
Ⅲ)各セッションの内容:
[注意点]
① 各セッションのスピーカーのプロフィールはこちらでご確認下さい。
https://codeblue.jp/2017/contents/speakers.html
② なお、明らかに講演内容と異なる記述や的外れな感想があった場合でも、「ああ、コイツは理解力が不足しているんだなぁ……」と生暖かい目で見て頂くと幸いでございます。
③ 私が参加したセッションのみ記載しております。
④ 技術的にしっかりとした参加レポートをアップされている方は、たくさんいらっしゃいます。技術的な話をご希望される場合は、適宜グーグルにて検索して頂くことをお願い申し上げます。
1) 基調講演:サイバースペースにおける国家主権(パトリック・オキーフ氏)
■【要約】
① サイバースペースにおいては様々なものが相互接続され、脆弱性が生まれ、ハッキング被害が起きている。
② さらにサイバースペースにおいては国境という概念が通じなくなり、国家主権が届かない領域が出てきており、国際法を適用させることは難しい。
③ このような中で私達ができることはCorporate(Communication、Awarenes、Education)であり、それを行う場所こそが、ここCODEBLUEの会場なのだ。
■【感想】
① キーワードの定義⇒現在発生している様々な課題⇒抽象的な解決策の方向性だけを示す⇒具体的なことは今ここからCODEBLUEで始めようと言って持ち上げる。
② まさに基調講演のお手本のようなプレゼン。
③ 最初のセッションにおいて一番重要な目的は、全員の意識を高めることだという事を再認識させられる。
2) 国家のセキュリティとサイバーセキュリティをめぐる官民連携:その強みと課題(ステファーノ・メーレ氏)
■【要約】
① インターネットの技術の発展により、重要インフラが相互接続をするようになり、欧州では安全保障上、サイバースペースの効果的な保護が極めて重要と考えられるに至った。
② EU諸国とアメリカについての官民連携とその課題についてお話するが、大まかな流れとしてEUは情報を囲い込むが、アメリカは情報を基本的に民間にどんどん共有しようとする傾向がある。
③ 様々な課題があるが、こうした問題は、技術的な側面だけはなく、政治的や経済的側面から考慮していかないと効果的には機能しないと考えられる。
■【感想】
① 技術的な話がほとんどなかったので、恐らく、技術者にとって最も退屈なセッションだったのではないと推測する。
② しかし、非技術者も技術的な話を退屈と捉えている可能性が高い。
③ この間のギャップを埋める作業が本セッションでいうところの政治的や経済的側面から考慮するということなのだろう。
3) アルファベイ・マーケット - サイバー犯罪主導者を振り返る(クリスティ・クイン氏)
■【要約】
① アルファベイ・マーケットは、かつてダークウェーブ上存在した過去最大かつ、最も洗練されたエコシステムや投資システムや資金洗浄システムを持っていた市場だった。
② アレクサンドル・カズ(Alpha02)によって設立され、高い透明性を維持しながら発展したが、セキュリティオペレーションのミスによってFBIに摘発され、消滅した。
③ 現在、ダークマーケットは混乱しているが、今後も進化していくだろう。
■【感想】
① 最終日のジョージ・ホッツ氏のセッションと並び、最もワクワクしながら聞いたセッション。
② 恐らく数年後には映画化されているのではとすら思う。
③ 恐ろしく精緻なシステムを構築できる犯人の高い能力が、合法的な形で発揮されなかったことが只々残念である。
4) 攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- (朝長 秀誠氏, 六田 佳祐氏)
■【要約】
① インシデントレスポンスの問題点として、侵入後の横展開を検知することが難しいことが挙げられる。
② しかし調査により、横展開には共通のツールが使用されることや、監査ポリシーとsysmonで検知可能な情報を残すことができることがわかった。
③ 詳しくはJPCERTコーディネーションセンターが出したこのレポートを見てほしい。
※インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書
http://www.jpcert.or.jp/research/ir_research.html
■【感想】
① JPCERTコーディネーションセンターのレポートに書かれていることを前提とした上での説明。
② おそらくレポートと重複している部分は簡単に説明していたため、後からの復習は必須。
③ こうした無償でも痕跡を残す手段はないかと調査するのは、利益追求が目的ではない公的機関にこそ求められている役割だと考える。
5) "商用ホワイトボックス暗号方式" に対する "鍵回復攻撃"(アン・サンファン氏)
■【要約】
① 商用ホワイトボックス暗号方式への攻撃は今まで成功した事例はない。
② しかし、今回試行錯誤を繰り返した結果、商用ホワイトボックス暗号方式の鍵の復元に成功した
③ 既に本脆弱性は修正されているので、今後は次の脆弱性を見つけたい。
■【感想】
① 法的な問題があり詳細な手段が明かせないということで、本当にこれで攻撃が成功したのか、正直よくわからなかった。
② 攻撃が高度になればなるほど、成功の瞬間はデモ映像にしないとインパクトが伝わりにくい。
③ 最も凄さが伝わるシーンが、法的な問題で使えない場合、どうすればその凄さがより観客に伝わるのかは今後も己の課題として考えていく必要がありそうだ。
6) LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? (イ・サンミン氏)
■【要約】
① スマートTVには従来のPCフォレンジックでは得られなかったユーザーの行動をトラッキングするデータがたくさん集まる。
② そこでスマートTVのフォレンジック研究を開始したが、LGに比べてSamsungの研究が集中的に行われている。
③ 今回はLGスマートTVのフォレンジックを行い、開発者用のLGQwebOSにコマンドインジェクションの脆弱性があることを発見し、ルート権限取得と情報の取得に成功した。
■【感想】
① PCに馴染みがない世代でもテレビには目を通すと思われるため、世代によってはPCやスマホよりもはるかにユーザーをトラッキングできる情報がスマートTVには蓄積されている。
② ただ、スマートTVは、元々データを蓄積することを想定していない設計になっていることが多く、揮発性が高いデータが多いという印象を受けた。
③ IoT機器の場合は、フォレンジックがさらに困難になりそうだ。
7) 国産IT資産管理ソフトウェアの(イン)セキュリティ(西村 宗晃氏)
■【要約】
① 2013年7月に発生したある国産ITに資産管理ソフトウェアの脆弱性がサイバー攻撃に悪用されたこときっかけに、社内で採用している競合の資産管理ソフトウェアの検査を実施してみた。
② リバースエンジニアリングを行わず、主に取得した通信を検査するという形だけだったにも関わらず、脆弱性が大量に発見された。
③ 皆様も、自社に導入するセキュリティ製品のセキュリティに感心を持ち、導入時にセキュリティ評価(脆弱性検査)を実施したり、脆弱性に対する取り組みをベンダーにヒアリングしたり、セキュリティ研究者の活動にも注目してみたりしてほしい。
■【感想】
① 私が聞いたセッションの中で、最もまとめやすく、かつ最も観客席から爆笑が聞こえてきたセッション。
② セキュリティ対策のために導入した製品が実は脆弱性まみれでしたという話だが、セキュリティ製品開発担当者としてはあまり笑っていられないのではないだろうか。
③ ただ、露見していない脆弱性の修正は、直ちに収益につながるわけではないため、製品ベンダーは今後も発見された脆弱性のみ修正するという方針は変えないだろう。
8) 基調講演: OSSによる自動車の自動運転化(ジョージ・ホッツ氏)
■【要約】
① 今日のセッションの本当のタイトルは、これだ。『jailbreaking toyota and honda car』
② 私(=ジョージ・ホッツ)にとってのJailbreakの定義は、何かを壊すことではなく、メーカーがまだ実装していないけど、みんながこうなったらいいなと思う機能を新しく付け加えることだ。
③ 私達が欲しくて、今の自動車が持っていない機能は自動運転の機能だ。だから自動運転のAPIを作ってみた→(デモ映像で自動運転化された車が高速道路を走る)。
■【感想】
① 最初に本当のタイトルを掲げる人を喰った導入、Jailbreakという言葉に対する独特の定義、度肝を抜く成功時のデモ映像……
② おそらくジョージ・ホッツ氏は、セキュリティエンジニアが思い描く格好いいハッカーを体現した存在なのだ。
③ 技術に疎い自分でさえも、最後のデモ映像は心拍数が上がった。
Ⅳ) CODEBLUEをきっかけに経営層のセキュリティ意識をどう高めるか。
CODEBLUEをきっかけに、社内のトップである経営層からセキュリティ意識を高めたいと思っていらっしゃる皆様は、以下のような形でアクションをするのがよいのではないかと思われます。
① 『国産IT資産管理ソフトウェアの(イン)セキュリティ』の内容を説明(⇒技術的な話は多くの方がまとめていただいておりますので、ググれば出てくると思います。)
② 「ヤバイですよ!ウチの資産管理ソフトウェアも調べてみましょう!」
⇒恐らく、今回最も多くの業界に関係があるのは、資産管理ソフトウェアだと思いますので、これをトリガーにして、経営層のセキュリティ意識を高めるのが良さそうな気がします。
(⇒なお「おい!そもそも、この資産管理ソフトウェアを入れようって言ったのはお前だろ?!」と逆に詰められる可能性については、ここでは考えないことにします(汗))
その後は、「やはり継続的に情報を取るために来年はCODEBLUEに協賛しましょう!」とか、「セキュリティの勉強会やコミュニティに継続的に参加するための予算を取りましょう!」といった形で、継続的な情報発信のための予算の拡張を狙っていくのが良さそうな気がします。
……というわけで“経営陣”の皆様、この度は、お忙しいところ、拙い長文を最後までお読み頂き、誠にありがとうございました。
こちらからは以上です。
