自社の常識を疑い変化を恐れずセキュリティと向き合う！

Transcript

1. ビジネス+IT Webセミナー 2023 自社の常識を疑い変化を恐れず セキュリティと向き合う！ （株）セキュアスカイ・テクノロジー 取締役CTO はせがわようすけ

2. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 長谷川陽介 (はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP

   Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメ ンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリケー ションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/

3. セキュアスカイ・テクノロジー インターネットを安全にする アドバイザリー 防御サービス 脆弱性診断サービス 教育・支援サービス 今すぐ守る 公開/稼働前から守る 設計/開発前に守る お客様の身近なアドバイザー

   運用フェーズ テスト・改修フェーズ 要件定義・設計・開発 フェーズ セキュリティ対策全般 我々の提供する Webセキュリティ対策 https://www.securesky-tech.com/

4. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ プログラミングは好きですか?

5. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ プログラミングは好きですか? 新橋※のエンジニア25人に聞きました！ はい いいえ まあまあ ※ Shimbashi Study

   Meeting の Slack にて

6. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ プログラミング、できると楽しいですよね <?PHP echo "Hello, World"; ?> public class

   Main { public static void main(String[] args){ System.out.println("Hello, world"); } } fn main() { println!("Hello, world"); } PHP Java Rust package main import "fmt" func main() { fmt.Printf("Hello World") } Go print "Hello, World" Python

7. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ JavaScript ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻ //*´∇｀*/ ['_']; o=(ﾟｰﾟ) =_=3;

   c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (o^_^o)/ (o^_^o);(ﾟДﾟ)={ﾟΘﾟ: '_' ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +'_') [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ '_')[o^_^o -(ﾟΘﾟ)] ,ﾟ Дﾟﾉ:((ﾟｰﾟ==3) +'_')[ﾟｰﾟ] }; (ﾟДﾟ) [ﾟΘﾟ] =((ﾟωﾟﾉ==3) +'_') [c^_^o];(ﾟДﾟ) ['c'] = ((ﾟДﾟ)+'_') [ (ﾟｰﾟ)+(ﾟｰﾟ)-(ﾟΘﾟ) ];(ﾟДﾟ) ['o'] = ((ﾟДﾟ)+'_') [ﾟΘﾟ];(ﾟoﾟ)=(ﾟДﾟ) ['c']+(ﾟДﾟ) ['o']+(ﾟωﾟﾉ +'_')[ﾟ Θﾟ]+ ((ﾟωﾟﾉ==3) +'_') [ﾟｰﾟ] + ((ﾟДﾟ) +'_') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ ((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+((ﾟｰﾟ==3) +'_') [(ﾟｰﾟ) - (ﾟΘﾟ)]+(ﾟДﾟ) ['c']+((ﾟДﾟ)+'_') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ (ﾟДﾟ) ['o']+((ﾟｰﾟ==3) +'_') [ﾟΘﾟ];(ﾟДﾟ) ['_'] =(o^_^o) [ﾟoﾟ] [ﾟoﾟ];(ﾟεﾟ)=((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+ (ﾟДﾟ) .ﾟДﾟﾉ+((ﾟДﾟ)+'_') [(ﾟｰﾟ) + (ﾟｰﾟ)]+((ﾟｰﾟ==3) +'_') [o^_^o -ﾟΘﾟ]+((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+ (ﾟωﾟﾉ +'_') [ﾟΘﾟ]; (ﾟｰﾟ)+=(ﾟΘﾟ); (ﾟДﾟ)[ﾟεﾟ]='¥¥'; (ﾟ Дﾟ).ﾟΘﾟﾉ=(ﾟДﾟ+ ﾟｰﾟ)[o^_^o -(ﾟΘﾟ)];(oﾟｰﾟo)=(ﾟωﾟﾉ +'_')[c^_^o];(ﾟДﾟ) [ﾟoﾟ]='¥"';(ﾟДﾟ) ['_'] ( (ﾟДﾟ) ['_'] (ﾟεﾟ+(ﾟДﾟ)[ﾟoﾟ]+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((o^_^o) +(o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ ((o^_^o) +(o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (c^_^o)+ (ﾟДﾟ)[ﾟ εﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟΘﾟ)+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟ Дﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟ εﾟ]+(ﾟｰﾟ)+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟ εﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟ Θﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟoﾟ]) (ﾟΘﾟ)) ('_'); JavaScript https://utf-8.jp/public/aaencode.html

8. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ ☺️プログラミングができると楽しい☺️ 楽しいだけでなく、ちょっとしたコードを書 くことができれば自分の作業の効率を大き く改善できる

9. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 産業用電子回路の設計 (1997-2007年) 工場、発電所、製鉄所などで使わ れる制御機器の電子回路の設計  電源、センサー周辺、A/D変換、マイ コン周辺など 回路図の検証や部品リストの作成

   などを自前のソフトウェアで自動 化し、自分の作業の効率を上げて いた  ソフトウェア開発では戦えないけど、 武器のひとつとして他の分野で活か せる！

10. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 産業用電子機器の設計 悪環境での24時間365日の安定稼働 が当然のように求められる  温度変化、落雷、違法無線、電源変動など… ハードウェアだけでの対応はコストがか かるのでソフトウェアでできることを調 べる

    ソフトウェア製品は外部からの予期しな い入力に対してどのように挙動を安定 させているのかの調査へ

11. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ セキュリティコミュニティと つながる 安定稼働を脅かすバグ「脆弱性」 への興味  勉強会やメーリングリストなどのコ ミュニティ活動に積極的に参加 自分でも脆弱性を発見

     特定ブラウザーの独自挙動に基づ きWebアプリに発生する脆弱性の 扱いの難解さ  「知っている人だけが知っている」 が、広く公表する危険性もあり悩ま しい  セキュリティのコミュニティに何度も 相談

12. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ コミュニティに還元したい！ 自分がセキュリティのコミュニ ティに育ててもらったので、自分 もコミュニティにきちんと返した い 会社や業務を超えて業界全体、 コミュニティ全体を盛り上げた い

13. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 千葉大学セキュリティ バグハンティングコンテスト 学内で実稼働しているWebサイト の脆弱性を発見し報告書にまと め提出  事前に法律・倫理・技術の講習を受 けライセンスを授与

     優れた報告書は表彰対象となる 2016年から毎年開催  第3回開催までは石井徹哉副学長 (当時)による法律の講義も実施

14. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ セキュリティの専門性の細分化

15. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ セキュリティの専門性の細分化 ITの普及、技術の進化とともにセキュリティに関連する職種も細 分化され、それぞれの専門性が高まっている 戦略マネージメント セキュリティ監査 施設管理・物理セキュリ ティ 内部犯行対策

    リスクアセスメント ポリシー・ガイドライン 策定・管理 サイバーセキュリティ 教育 セキュアアーキテクチャ 設計 脆弱性対応 セキュアシステム 要件定義 インシデント ハンドリング セキュア プログラミング セキュアソフトウェア 方式設計 ペネトレーションテスト 脆弱性診断 セキュリティツールの 導入・運用 監視・検知・対応 インシデントレスポンス フォレンジック マルウェア解析 脅威・脆弱性情報の 収集・分析・活用 セキュリティ理論研究 セキュリティ技術研究 設計・開発・テスト 運用・保守 研究開発 「ITSS+(セキュリティ領域)」より一部抜粋 https://www.ipa.go.jp/jinzai/itss/itssplus.html#section1-6

16. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 専門性の細分化と深化 「セキュリティ」という一言で業務をくく ることができない  セキュリティに関わりたいと思う人の持つ 能力と、業務のマッチングが難しい 会社としても、「セキュリティ人材が必 要」のような言い方では曖昧すぎる

     どのような役割、どのようなスキルを持つ 人材が必要なのかの明確化が求められる

17. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 育成の悩み・採用の悩み 現在は、事業推進のために必要とさ れる知識やスキルと、技術領域・エン ジニアとしてのスキルが不可分な状 態  セキュリティに精通した人材の獲得は難 しい

     育成にも大きく時間がかかる

18. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で 求められるセキュリティ

19. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ  もともとITは業務を効率化するため の補助的な位置づけだった  インターネットが止まっても事業が止まる ことはなかった

     いまは事業そのものがITの上に存在 している  インターネットが止まると事業そのものが 止まる  特定の事業が止まると社会の広範囲に波 及的に影響が及ぶことも珍しくない  業務のあらゆるところでセキュリティ が求められる

20. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 「プラス・セキュリティ」  「サイバーセキュリティ体制構築・人材確保の手引き」（第 2.0版）  経済産業省、情報処理推進機構  https://www.meti.go.jp/policy/netsecurity/tebiki_

    taisei_jinzai.html

21. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ  「プログラミングが少しでもできると業務の効 率化ができる」と同じ構図がセキュリティに求 められる  自分の業務に加えてセキュリティのことが少しわか

    ると仕事の質が上がる  千葉大学バグハンティングコンテスト  園芸学部の学生の入賞(2017年、2019年)  「漁業、農業はITにより効率化が進められているが、 林業はこれからIT化が進む。そのときに備えてセ キュリティのことを知っておきたい」（本人談)

22. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ 分野だけでなくレイヤーも拡大  セキュリティが対象とするレイヤーも拡大  PC単体のウイルス対策 →

    社内ネット ワークの防御 → 社内システム全体の防御 → サプライチェーンも含む防御  より抽象度の高い領域に対してのセキュ リティの取り組みが求められる 「セキュリティ」の求められる対象領域 が情報技術だけで対応できる範囲を超 える  他者との関係性、人を動かす技術、組織間 での連携も必要

23. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ 対象とするレイヤーに応じた技術が求 められる  マルウェア解析 - アセンブラ

     ネットワーク監視 - プロトコル  Webセキュリティ - 言語、DB、クラウド  部署、会社、組織 - 人や組織を動かす技術 人や組織を動かす  行動経済学 / 社会心理学  哲学 / 社会学 / 経済学 その他  セキュリティのために人文系の知識も必要

24. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められるセキュリティ セキュリティ・キャンプでの講義の幅の拡大  将来セキュリティではない道に進む学生にも、その道で使えるセキュリ ティの考え方を学ぶきっかけになって欲しい 心理学の視点から セキュリティを 考えてみよう

    システムを作る「人」、システムへサイバー攻撃をする「人」、サイバー攻撃から守る「人」…サイバーセキュリティの世界に登場する「人」に ついて考えたことはありますか︖本セッションでは、人の心理という側面からサイバーセキュリティを捉えていきます。英語でPsycho （心）-logy（学問・科学）とされているように、心理学では人の考え・感情・行動などを統計的手法を用いて科学的に分析・解明します。科 学的に立証されている心理モデルや理論を用いて、サイバーセキュリティにおける人の行動と心理的背景について説明をしていきます。 人の行動特性を知ることで、「人が使いやすいシステムの開発」や「人が順守しやすいセキュリティ対策」という視点を得ることを目指し ます。 セキュリティ情報を 適切に伝えよう セキュリティの啓蒙・啓発活動はもちろん、脆弱性情報を伝えて警告を発したり、新たな知見を伝えることは、「言葉」を抜きにしてはで きません。情報は発信する人のところに集まり、さらに知見を深めることができますが、セキュリティ関連情報を適切に扱わなければ、 時に他人に害を及ぼしてしまう恐れもあります。 この講義では、皆さんがブログやSNS、あるいはメディアの寄稿記事でセキュリティ情報を公開し、伝えていく際に「何をしてもいいの か」「何をすべきでないのか」、そしてどうすれば多くの人にセキュリティに関心を持ってもらい、より安全な世界を作れるのかを、朝日 新聞社でセキュリティ関連記事を担当する須藤龍也編集委員、Security NEXTの武山知裕編集長とともに考えていきます。なお、も し時間に余裕ができれば、取材時のこぼれ話が紹介できるかもしれません。 本講義の受講に当たって必要なスキル・知識は特にありません。自分のブログやメディアを通じてセキュリティ情報を発信し、正しく伝え ていく際のヒントにしていただきたいと思います。 ハッカーの倫理 前半は、サイバーセキュリティに関連する法律の基礎的な理解をお話しします。後半はパネルディスカッション形式で、園田さんと色々な 事例に基づき、気をつけるべき点をお話しします。 セキュリティ・キャンプ全国大会2022オンライン プログラム：IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html

25. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められるセキュリティ よく言われる「セキュリティ人材の不足」の掘り下げ  いろんな解釈ができる 例1：セキュリティ会社のリソースが足りない 例1： 社内でセキュリティの仕事をする人が足りない 例3:

    今の業務の中にあるセキュリティに関することがよくわからない 意外と3番目ということも多いのでは？  自分たちの仕事のなかでのセキュリティのことを、自分たち自身でほんの 少しずつでも対応できれば、全体としてよりセキュアな世の中になる いまセキュリティと関わっていない人にとっては新しい領域  心理的、時間的な負担は大きい。…が、それでも前に進まざるを得ない  自分たちでできない・わからないことでも、「できない」「わからない」がわ かるようになれば他の人にお願いすることができる

26. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 人材の育成

27. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 人材の育成 一方的に知識を教えるものではない  自分の状況、自分の考え方、自分の立場 を理解してもらう  相手の状況、相手の考え方、相手の立場 を理解する

     相互で理解を共有しあうことがまわりま わってお互いの成長へとつながる そのためには、自分の視野の外側や自 分以外の人に対しても常に興味を持 ち続ける必要がある  自分から主体的に！

28. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ チームで成し遂げる

29. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ チームで成し遂げる  セキュリティの専門性が高まり、セキュ リティの求められる領域がかつてない ほど広い  当然、一人で何でも対応できるものではな い

     一人が難しくてもチームなら達成できる  チームとして目的・目標を達成するよう にする  自分の技術をチームに対してどう活かすこ とができるか  チームメンバーの能力を引き上げるにはど う行動すればいいか  リーダーだけがチームを作るのではない！

30. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 組織どうしもチームになる！ 自分たちだけでなく取引先も含めて セキュリティを高めていく必要性が ある  他社のセキュリティを高めることが自 社のセキュリティにもつながる チームは組織に閉じたものではない

     企業をまたいでもチームとして機能で きる  組織の枠を超えてそれぞれの持つ得意 分野、専門領域を活かすこともできる

31. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ まとめ

32. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ まとめ - 今日伝えたかったこと  あらゆる領域でセキュリティが必 要とされる  細分化・深化により一人で閉じるこ

    とが困難になっている  いまセキュリティに関わっていない 人の知識やスキルも伸ばす必要が ある  チームで成し遂げる  自分のスキルをチームのために活 かす、自分以外の人の能力を引き 出す  組織を超えてチームになる

33. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 質問・お問い合わせ https://www.securesky-tech.com/ [email protected] セキュアスカイ・テクノロジー 検索