1/31に行われた ITメディア主催のセミナーに参加してきました。
テーマは、
「防御」だけではない 攻撃者の視点から考える、これからのエンドポイントセキュリティ
 
Hackademy Project で有名な岡田良太郎氏と、シマンテックの執行役員 坂尻浩孝氏による講演が行なわれ、休憩を挟んで両氏のパネルディスカッションとなりました。

 IMG_3157


岡田氏の基調講演は非常に啓発的で、認識を新たにするとともに、セキュリティの対策について根本から改める必要を感じました。
 
もちろん根本から改めるには、自分一人でできるものではありませんが、根本のどこに目を向ければよいかについては視点が定まりました。

以下、岡田氏の印象的な話を引用します。
(記憶に頼っているので細かい言い回しは違うかもしれません)

オーストリアのホテルのキーシステムが乗っ取られた。
身代金を払って解錠できたが、その後何度も乗っ取られた。
日本でこういうことが起こったらどうなるか?皆さんだったら取引しますか?ランサム払いますか?
日本では反社会勢力と取引することは信用失墜、取引停止、契約解除につながりますよ。


日本では環境構築とその運用に費用を投入するが、セキュリティはほとんど考慮されない。
問題が起こってから運用で対応しようとするのでかえってコスト高になっている。


現在の攻撃パターンは
スナイパー(標的型) + 絨毯爆撃(相手構わず)


脅威とリスクの違いをハッキリ認識してください!
脅威とは?:問題の原因、要因、手段のこと
リスクとは?:確率のこと。確率を下げるのがセキュリティ


リスクを減らしたければ対象となるIT資産を完全に把握すべき


攻撃の75%以上がアプリケーション層に対するもの。
しかし企業は90%以上を環境(ハードウェアとインフラ構築)にコストをかけている。
これでは守れるはずがない!


コンプライアンスのマジックに騙されるな
タイタニック号の教訓。1500人が死んだ大きな要因。
脱出用のタグボートが20艘だけ、全員分なかった。
1TBをバックアップしようとして500GBのHDDを持ってくるようなもの。
しかしコンプライアンスでは16艘あれば良しとされていた。
コンプライアンスを上回る装備だったが、多くが犠牲になった。
ちなみに設計者は40艘のタグボートを載せれる設計をしていた!
エンジニアの矜持を感じる。
コンプライアンスを満たしているから大丈夫ではなく、本当に脅威に立ち向かえるか。
設計の大切さ。起こってからでは遅い。

シマンテックの講演後、休憩に入りました。
FullSizeRender
 公演中の撮影・録音は禁止でしたが、休憩中なのでパチリ。

休憩後、パネルディスカッションへ。
このセッションで聞いた役に立つ点をピックアップします。

・ セキュリティについての情報収集はどうしたらよいか?
専門家の寄稿記事がいい。
報道は偏りがある。
セキュリティベンダのブログも大いに参考に
JPCERTの「早期警戒情報」は受け取るように!


・ インシデントが起きたらどうするか?
このテーマにちなんで岡田氏が述べたこと。
インシデントが起きたらヤバイという雰囲気を払拭しましょう
担当部門にインシデントの連絡がしにくいと被害が拡大する
セキュリティチームは敵ではない」を徹底する
絶対怒らない、Welcome、知らせてくれてありがとう、の精神。


「セキュリティは儲からない」は古すぎる!
会社を「国」だと考えたら、領土に侵入されていいですか?
領空や領土を侵犯されていいんですか?→ビジネスを邪魔されていいんですか?
セキュリティはビジネスを邪魔されないで思いっきり稼ぐための投資

・ 2017年のセキュリティ予測
ランサムウェアが引き続き猛威をふるう。

ここで岡田氏が最後のほうで述べたことは重かったです。

「これがやられると会社が終わる」というSingle point of failure をとにかく強化せよ!

アプリケーションのセキュア設計、セキュア開発を
これが根本に目を向けたセキュリティ対策だと思いました。