情報セキュリティ勉強会(SC4Y)のご紹介と技術を学び続ける価値について考える

Transcript

1. 情報セキュリティ勉強会(SC4Y)のご紹介と 技術を学び続ける価値について考える 公立千歳科学技術大学 砂原 悟 ストーリー 情報セキュリティ LOCAL Developer Day

   Online ’21 Session2

2. ravicot ravicot ad.jp歴 7年[ネットワーク] ac.jp歴 6年[高等教育機関](Now) ハッカーに憧れる無邪気なエンジニア ネットワークの設計/運用 サーバ設計/運用 情報セキュリティインシデント対応

   など whoami

3. 謝辞 情報セキュリティというご縁に感謝 2021年 1995～2005年 2060年 2030年 2040年 2050年 専門・高校・高専・大学(院) 同じ時代を生きる皆様とお会いできた

4. なんで今日ここにいるの 北海道の地域コミュニティで取り組んでいる 情報セキュリティ勉強会(SC4Y)を振り返らんか？ SC4Y：Security College for Youth の略 北海道地域情報セキュリティ連絡会(HAISL)が主催する人材育成事業 Hokkaido

   Area Information Security Liaison (北海道で情報セキュリティに対する熱量を持った大人たちの挑戦) ※個人的な見解です

5. 今日私はどんな話をするつもり 専門・高校・高専・大学(院) 2021年 1995～2005年 2060年 2030年 2040年 2050年 時間軸からストーリーを組み立てる

6. 今日私はどんな話をするつもり 2021年 1995～2005年 2060年 2030年 2040年 2050年 専門・高校・高専・大学(院) 2020～2021年 SC4Y

   時間軸からストーリーを組み立てる

7. 今日私はどんな話をするつもり 2021年 1995～2005年 2060年 2030年 2040年 2050年 専門・高校・高専・大学(院) 20２０～2021年 SC4Y

   (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 時間軸からストーリーを組み立てる

8. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 困難の尺度？

9. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

   を用いてみることにしてみた 超越者 困難の尺度？

10. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ 生理的要求 睡眠欲、食欲、呼吸 など

11. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ 安全要求 食糧の安定確保 安心できる寝床 安定した収入 など

12. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ 社会的要求 家族愛・ギルド 仲間を求める など

13. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ 自尊要求 承認要求・褒められたい 頑張ったから評価してほしい など

14. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ 自己実現要求 なりたい自分になる 成長したい

15. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ なりたい自分になる 物語における自己実現の困難さ

16. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 困難な状況を何とかやっていくそれぞれのストーリー 困難って何だ？ 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 ここではマズローの要求階層説

    を用いてみることにしてみた 超越者 困難の尺度？ なりたい自分になる 物語における自己実現の困難さ なりたい自分のために情報セキュリティは どのような関係がありますか？

17. なりたい自分になる 忍者 諜報 謀略 破壊工作 BC ６００ 年 スタキュレー暗号 スパルタ人が作戦

    中の通信に使った とされる BC １９００ 年 どの時代に生まれたとしても情報セキュリティやってみたい？ ヒエログリフ 最古の暗号？ BC １００ 年 シーザー暗号 文字列をシフト AD １５５０年 AD ２０２０年 私たち 暗号アルゴリズム RSA RC4 AES 限られた人が利用する 数多くのインターネット ユーザが利用する

18. なりたい自分になる 忍者 諜報 謀略 破壊工作 BC ６００ 年 スタキュレー暗号 スパルタ人が作戦

    中の通信に使った とされる BC １９００ 年 どの時代に生まれたとしても情報セキュリティやってみたい？ ヒエログリフ 最古の暗号？ BC １００ 年 シーザー暗号 文字列をシフト AD １５５０年 AD ２０２０年 限られた人が利用する 数多くのインターネット ユーザが利用する SC4Y インターネット の登場

19. なりたい自分になる 1959年 どの時代に生まれたとしても情報セキュリティやってみたい？ インターネット歴史年表 https://www.nic.ad.jp/timeline/ ARPA発足 ７７年 RSA暗号発表 ８８年 モリスワーム事件

    CERT/CC発足 1985年 NTT設立 ８７年 国際電子メール サービス開始(東大) ８９年 世界初の 商用ISP誕生 ９２年 日本初の 商用ISP設立 ９４年 Amazon創業 ９５年 windows95発売 ９７年 Google検索誕生 2000年 2000年問題 ９９年 住民基本台帳 漏洩事件(京都) ９５年 ウイルス対策基準 公示 (通産省) 中央省庁 Web改ざん事件 2000年 I Love You ウイルス流行 2001年 サイバー犯罪 条約採択 2001年 日本 世界 windowsXP発売 ファイアーウォール標準搭載

20. なりたい自分になる どの時代に生まれたとしても情報セキュリティやってみたい？ インターネット歴史年表 https://www.nic.ad.jp/timeline/ Facebook誕生 04年 200３年 ０４年 JPCERT/CC 法人化

    ０５年 APWG初会合 (フィッシング対策) 0６年 １０年 イラン核施設にて サイバー攻撃が発生 11年 0９年 日本シーサート 協議会設立 07年 大手ゲームメーカーにて 大規模な情報漏洩発生 日本 世界 IPA発足 迷惑メールの 対応研究会 (総務省) mixi運営開始 200３年 フィッシング対 策協議会設立 Gumblar流行 1０年 岡崎市中央 図書館事件 参衆議院及び国内の 防衛関連企業に対する サイバー攻撃が発生 1２年 日本がサイバー 犯罪条約に批准 (条約の効力発生) サイバー攻撃解析 協議会発足 1３年 マイナンバー制度 関連法案成立 ロシア証券取引所 ウイルス感染で 一時取引中止 1４年 Shell Shock (bash脆弱性)

21. 国内法の成立と施行について 公布年度 施行年度 法律名の通称 1987 1987 電子計算機使用詐欺罪 1987 1987 電子計算機損壊等業務妨害罪

    1998 1998 電子帳簿保存法 1999 1999 児童ポルノ禁止法 1999 2000 不正アクセス禁止法 １９９９ ２０００ 通信傍受法 2000 2001 IT基本法 2000 2001 電子署名法 ２００１ ２００１ 不正競争防止法(第3次改正) 2001 2002 プロバイダ責任制限法 2002 2002 迷惑メール防止法 2003 2005 個人情報保護法 2004 2005 e-文書法 2008 2009 青少年インターネット環境整備法 所持どころか有償配信できる可能性あり 盗用された他人のパスワードを利用してもOK？ (わいせつ物頒布等罪が適用される可能性はある) (電子計算機損壊等業務妨害罪が適用される可能性はある) サイバースクワッティング(ドメイン転売)で儲けれた？ (その後も改正が続いて現在は9次改正) 迷惑メールが送信し放題だった？ 個人情報の売買が可能だった？ 携帯電話事業者に フィルタリング機能提供を義務付け

22. 個人情報の売買が可能だった？

23. 個人情報の保護 おとーさんの時代って 個人情報が売買されてたってマジ？ https://www.mext.go.jp/b_menu/shingi/chousa/shotou/056/shiryo/attach/1249674.htm お父さん (1980年生まれ) 娘さん (2010年生まれ) あー、名簿屋のことかな… 昔は役所で住民基本台帳の確認がしやすかったので

    民間企業の商品案内とか塾の募集に活用されてたらしいよ

24. 総務省 住民基本台帳事務処理要領の一部改正について https://www.gender.go.jp/policy/no_violence/evaw/kanrentsuchi/pdf/05/s_04_130.pdf 住民基本台帳の一部の写しの閲覧は、何人でも市 町村長に対してこれを請求することができるが、市 町村長は、住民基本台帳の一部の写しの閲覧によ り知り得た事項を不当な目的に使用される恐れが あることその他の該当請求を拒むに足りる相当な理 由があると認めるときには、その請求を拒むことが できる

    住民基本台帳の一部の写しを閲覧する者の職名及び氏名等を明ら かにしたうえで、国又は地方公共団体の職員で該当国又は地方公 共団体の機関が指定するものに閲覧させることを請求することがで きる。 また、 ①統計調査、世論調査、学術研究その他の調査研究のうち、 総務大臣が定める基準に照らして公益性が高いと認められるものの 実施、②公共的団体が行う地域住民の福祉の向上に寄与する活動 のうち、公益性が高いと認められるものの実施及び③ 営利以外の 目的で行う居住関係の確認のうち、訴訟の提起その他特別の事情 による (中略) これらのうち、①については、公益性告示において、次に掲げる基準 が定められており、これに照らして、公益性が高いと認められるか否 かを判断すること (以下略) 住民基本台帳の大量閲覧問題 2006年(平成18年) 住民基本台帳法の一部を改正する法律の概要 何人でも！

25. 個人情報の保護 https://www.mext.go.jp/b_menu/shingi/chousa/shotou/056/shiryo/attach/1249674.htm お父さん (1980年生まれ) 娘さん (2010年生まれ) 個人情報は第三者に教えちゃダメって先生がいってた 大人になったら売買していいの？ えー… (グレーゾーンな質問だな…)

    (倫理的に)売買はダメだと思うよ。 学校でやっていない けれども今は違法であることを知っている 学校でやっている

26. 情報モラル教育 20０８年3月～ 発達の段階に応じた情報モラル教育の必要性や具体的な指導 第5章 情報モラル教育(文部科学省) https://www.mext.go.jp/b_menu/shingi/chousa/shotou/056/shiryo/attach/1249674.htm 日常モラル 情報安全教育 心を磨く領域 知恵を磨く領域

    情報社会の倫理 法の理解と遵守 安全への知恵 情報セキュリティ 公共的なネットワークの構築 情報モラル教育 は１３年前から

27. 公布年度 施行年度 法律名の通称 ロシア 2015 連邦法 242FZ 日本 ２０１７ 個人情報保護(改正)

    中国 2017 網絡安全法(国家安全法第25条) (中国サイバーセキュリティ法) EEA(EU+α) 2018 GDPR イギリス 2018 GDPRを支持 ロシア ２019 連邦法 90FZ ブラジル 2020 (2021に延期?) LGPD カルフォルニア2020 CCPA タイ 2020 (202２に延期?) PDPA インド 審議中 (2021？) PDPB 中国 2020 DSL 中国 2021 PIPL 日本 2022 個人情報保護(改正) 個人情報の保護（ここ数年の世界の動き） プライバシーに関する 法案が各国で成立しているようである 自国のユーザを守るため？ 安全保障上の理由？

28. JETRO 日本貿易振興機構 https://www.jetro.go.jp/biz/areareports/2021/e178293b9f08889a.html ASEAN主要国における個人情報保護規程 越境データ移転やローカリゼーション要求の観点から

29. JETRO 日本貿易振興機構 ASEAN主要国における個人情報保護規程 越境データ移転やローカリゼーション要求の観点から

30. 今年(2021)に報道された日本国内ニュース LINEアプリの個人情報が中国へ流出している？ Zホールディングス社 金融庁 利用者情報等の管理状況 に関して報告徴求命令 個人情報保護委員会 内閣府 資金決済に関する法律の登録事業 LINE

    Pay社 LINE社 内閣 総務省 業務再委託先である LINE China 社の管理 及び「通報」機能の表示の誤りについて行政指導 電気通信事業者 個人情報保護法41条に基づく指導 LINE China社から不正に閲覧されてる？

31. グローバルなデータガバナンスに関する特別委員会 https://www.z-holdings.co.jp/notice/20210804a/ グローバルなデータガバナンスに関する特別委員会を設置されました (現在検証中) 今年(2021)に報道された日本国内ニュース ２０２１年8月4日に第二次報告が公開されましたよー 一体何が問題だったのか？ すぐに答えが出る話ではありません(未解決)

32. グローバルなデータガバナンスに関する特別委員会 https://www.z-holdings.co.jp/notice/20210804a/ 今年(2021)に報道された日本国内ニュース 実際、個人情報は不正に閲覧されたりしたの？ データは国内に移行しよう 申請・説明などに 虚偽がなかった？ 安全保障上の リスク考慮してた？

33. 本委員会は、LINE アプリの日本ユーザーの個人情報（通報された メッセージの内容を含む。）が、LINE 社の中国子会社であり業務再委 託 先でもある LINE China 社からアクセス可能であったことに関して、 以下の点について

    検証を行った。 LINEのトーク内容や個人情報すべてが丸見えだったの？ 通報機能 利用者が受信したメッセージに対して、フィッシングの疑いがあるなど 不適切であると判断した場合にLINE社に送信する機能 「LINE 利用規約」に基づき必要に応じてメッセージの削除等の送信者のサービス利 用の制限、送信者のアカウントの停止又は削除等の措置を講じている。

34. グローバルなデータガバナンスに関する特別委員会 特別委員会第二次報告書 16～17ページ LINE China社からアクセスした可能性のある情報の調査 2020年3月19日～2021年3月19日までの間に139件 メッセージの内容を直接閲覧できるURLへのアクセスは35件 メッセージの内容を閲覧し得るが、 実際に閲覧するためにはサブ画面等を開く必要があるURLへのアクセスが19 件

    メッセージの内容を閲覧できないURLへのアクセス８５件 いずれも開発及び保守プロセスにおける正規の作業であるということが確認されている。

35. グローバルなデータガバナンスに関する特別委員会 特別委員会第二次報告書 ２０ページ 越境データの問題が予期できたのか？ 総務省、経済産業省、国家安全保障局から中国の国家情報法の リスクに関する具体的な情報発信はなかった 「個人情報の適正な取扱いに関する実態調査（令和元年度）報告書」 にて198 社のうち、67.7%が「中国」に個人情報を移転していると回答 第175

    回個人情報保護委員会資料 一部の金融機関を含む 55 事業者が個人データを中国に 移転していると回答していた もっとも、2017 年 6 月 28 日の国家情報法施行以降あるいはそれ以前であっても、中国拠点にお ける情報の取扱いについて慎重な対応をとる企業が一部に存在する LINE 社は通信の秘密を含むユーザーの個人情報を扱う以上、本件移管決定を行ったことを契機として、 中国法に関するリサーチの対象やリスク評価の範囲を継続的に見直すのが望ましい姿であったといえる。

36. 正直よくわからない 違法じゃないけど問題がある？ ＝ 数年後は違法になる？ サービス開発時(数年前)は問題じゃなかったはず でも時代の要請(変化)に応える必要がありそうだ テクノロジーにルールが追い付いていない？ 後付けのルールにテクノロジーが制約されている？ 何が起きてるの？

37. 情報資産のリスク分析の常識が変わろうとしている？ 機密性 完全性 可用性 プライバシーの「権利」 知的財産権？ 所有権？ 人格権？ ＋

38. さて、では 2021年のSC4Yの取り組みって何なんです？ 2021年 1995～2005年 2060年 2030年 2040年 2050年 SC4Y：Security College

    for Youth の略 北海道地域情報セキュリティ連絡会(HAISL)が主催する人材育成事業 Hokkaido Area Information Security Liaison 2015年 HAISL 2019年 SC4Y せきゅぽろ 2008年 北海道情報セキュリティ勉強会

39. HAISLのストーリー サイバー空間における脅威が増大し、情報セキュリティ対策の重要性が高まる中、産学官が保有する幅 広い情報を共有するとともに、これらの情報を広く発信することにより、北海道地域における情報セキュリ ティ意識の向上等を図ることを目的に、北海道経済産業局・北海道総合通信局・北海道警察の3機関を 事務局として平成26年9月に発足。 開催時期 主催・協力組織/会社名 イベント概要 ２０１5 トレンドマイクロ

    情報交換会 道警サイバー犯罪対策課 スマートフォンの危険性とサイバー犯罪の傾向 さくらインターネット abuse(不正行為や乱用)通報の状況 北海道総合通信局 他 電気通信分野における個人情報保護セミナー Yahoo Yahooサービスと安全・安心の取り組み せきゅぽろ せきゅぽろの設立と活動について 北海道ソフトウェア技術開発機構 IPA中小企業情報セキュリティ講習能力養成セミナーの実施案内 JNSA JNSAセキュリティセミナー in 札幌 北海道クレジットカード犯罪対策 連絡協議会 今知っておきたいクレジットカード犯罪について (HAISL facebookに記載されていたイベントの一部を抜粋)

40. 開催時期 主催・協力組織/会社名 イベント概要 ２０１６ トレンドマイクロ 2015年脅威動向ラウンドアップと必要なセキュリティ対策 小樽商科大学 小樽商科大学における標的型攻撃を踏まえたセキュリティ対策 北海道総合通信局 他

    電気通信分野における個人情報保護セミナー 北海道経済産業局 IoTセキュリティガイドライン 北海道大学 サイバーセキュリティセンター 北海道大学におけるインバウンド通信制御に関する事例報告 総務省 情報セキュリティ対策室 実践的サイバー防御演習CYDERの強化について 北海道ソフトウェア技術開発機構 IPA中小企業情報セキュリティ 講習能力養成セミナー 開催 ＮＥＣソリューションイノベータ サイバー攻撃の状況と対策 2017 北海道警察 情報セキュリティコンクール作品展 北海道警察 Apache Struts2 脆弱性注意喚起 IPA ＩＰＡ中小企業情報セキュリティ講習能力養成セミナー 北海道総合通信網 ランサムウェア･不正アクセス対策セミナー JPCERT/CC フィッシングの現状と対策 LAC 中小企業のサイバーセキュリティ 2018 … … (HAISL facebookに記載されていたイベントの一部を抜粋) メインターゲットは現役社会人？ HAISLのストーリー

41. HAISLのストーリー 2019 Hardening II SU (サッポロファクトリーホール) 攻撃者に叩きのめされて 覚える情報セキュリティ kuromame6

42. HAISLのストーリー 2019 Hardening II SU (サッポロファクトリーホール)

43. SC4Yのストーリー 2019 Micro Hardening for Youth 2019 (安全な環境で) 実際に攻撃されて 覚える情報セキュリティ

    学生・若手がスキルアップできる 環境を整えたい！

44. SC4Yのストーリー 2019 Micro Hardening for Youth 2019 ２０２０ サイバーセキュリティ 脆弱性対応(防災訓練)

    Webシステムにまつわる脆弱性の検査手法 IT・情報系 北海道まったりLT大会 (ナイトセッション) Ghidra ハンズオン ワークショップ ２０２１ Chobi Hardening(ちょびっとハードニング) Web脆弱性対応演習 入門編 Micro Hardening Basic インシデントハンドリング Micro Hardening for Youth 20２１ online LT大会(予定) 世界的な感染症の流行により オンライン化を迫られる ボローニャ大学における1350年代の 講義風景を描いた写本挿絵(wikipedia)

45. https://sc4y.connpass.com/event/223405/ SC4Yのストーリー (2021)

46. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 私たちのストーリー 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 超越者 あなたにとって情報セキュリティとは？

    ↑ LDD2021 sesion1（米内 貴志さん）の資料から抜粋

47. ↑ LDD2021 sesion1（米内 貴志さん）の資料から抜粋 ストーリにおける 価値観の共有

48. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 私たちのストーリー 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 超越者 あなたにとって情報セキュリティとは？

    ウイルスや不正アクセスの被害にあったから？ コンピュータの魔力に魅せられた？ これからのビジネスのために？ これが生業なので仕方なく？ 思い起こせば幼い頃にきっかけがあった？ 開発の仕事を目指すうえで不可欠だと思うから？

49. (ネットを悪用されるかもしれない時代をサバイブするためのストーリー) 私たちのストーリー 生理的要求 安全要求 所属・愛情要求 自尊要求 自己 実現要求 超越者 あなたにとって情報セキュリティとは？

    物語における自己実現の困難に立ち向かう 安全要求？ 社会的要求？ 自尊要求？ 自己実現要求？ 技術を学び続けることは時代をサバイブする手段？ それ以外？ 情報セキュリティ

50. 謝辞 情報セキュリティというご縁に感謝 2021年 1995～2005年 2060年 2030年 2040年 2050年 同じ時代を生きる皆様とお会いできた 2015年

    HAISL 2019年 SC4Y BC ６００ 年 BC １９００ 年 BC １００ 年 AD １５５０年 AD ２０２０年