エクスジェンネットワークス株式会社様とのコラボで出版した、執筆書籍「IT管理者のための情報セキュリティガイド」がインプレスR&Dの Next Publishing から出版されました。Kindole, Kobo,i-Booksなど電子書籍版の他、Amazon オンデマンド印刷サービスを使用して、印刷本としての購入も可能です。
以下、まえがきを転載しておきますので、興味があれば是非、ご覧ください。
はじめに
商用化から20 年以上が経過し、いまやインターネットは生活やビジネスに不可欠な基盤となっています。その一方で、インターネットを舞台とした犯罪や事件、事故は毎日のように発生し、私たちのビジネスや生活を脅かしています。そのような中、セキュリティの知識や経験を有する「専門家」の不足が叫ばれ、育成のための施策も徐々に拡大しつつあります。
しかしながら、セキュリティ専門家の育成、とりわけ現場を理解し、適切な対策をアドバイスできる経験をもった人材の育成は簡単ではありません。また、こうした人材にはセキュリティの知識だけでなく、コンピュータやネットワークに関する基本的な知識や経験が不可欠です。このような専門家の不足を補う最善の方法は、現場を知り抜いたIT エンジニアや管理者の皆さんに、自らの仕事の一部としてセキュリティに関する役割を担っていただくことではないかと、私は思っています。
そもそもIT分野におけるセキュリティは、たとえばネットワークやサーバの管理・運用と密接に結びついています。これらとセキュリティを分けて考える理由はありません。むしろ、実際の管理・運用にセキュリティ要素を組み込むことは、極めて自然なことのように見えます。多くのITエンジニアや管理者が、今の仕事にセキュリティという塩味を少しきかせるだけで、不足しているといわれている「専門家」の大部分はカバーできるだろうと筆者は考えているのです。
現場のITエンジニアがセキュリティを学ぶ場合、まずは自分の守備範囲のセキュリティから学ぶとよいでしょう。たとえば最近のネットワークエンジニアには、ファイアウォールやUTMなどのセキュリティ機器を扱う機会もあるはずです。設計段階でネットワークセグメントの構成を少し変えるだけで、リスクを大きく減らせる場合も少なくありません。それは、むしろ自分の専門領域のスキルアップとして捉えることができます。また、IT管理者やマネージャはセキュリティ全般について広くエッセンスを知っておく必要がありますが、必ずしも各分野を深める必要はありません。各分野のエンジニアがセキュリティ要素を自分の仕事に取り込めていれば、管理者はそれらを俯瞰して調整する役割に徹することができるからです。
本書は、IT管理者が意識すべき情報セキュリティ上のポイントを網羅的に解説するものです。特に第1 章では、中規模から小規模組織におけるIT管理者が、最低限留意すべき情報セキュリティ上の項目を中心に据えて解説しています。IT管理者は、さらに、セキュリティの基本であるリスク管理について学ぶことで、これを従来のITリスクの一部として捉えることもできるでしょう。
一方で、IT エンジニアは自分の役割に応じ、必要な箇所を読むことができます。個々の分野についての技術的な基本事項や実際のオペレーションを押さえているエンジニアであれば、この内容から実装に結びつけることは難しくないでしょう。このため本書では、読者は基本的なサーバ用オペレーティングシステムや、ネットワークに関する知識を有していることを前提としています。また、個々の製品やサービスなどの実装に依存する内容については、一部を除き踏み込んでいませんので、それぞれのマニュアルなどを参照してください。
本書が、ITの現場におられる皆さんのスキルアップやキャリアアップに繋がることを願ってやみません。
2016 年9 月
二木真明
2016年10月4日火曜日
ID&ITマネジメントコンファレンス2016で講演しました
今年もID&ITマネジメントコンファレンス2016で講演しました。
昨年に引き続き、IoTにおけるIDマネジメント、認証、アクセス制御などの課題についてお話ししています。以下にノート付き資料(PDF)がありますのでご覧ください。
IoTとIdentityを考える
昨年に引き続き、IoTにおけるIDマネジメント、認証、アクセス制御などの課題についてお話ししています。以下にノート付き資料(PDF)がありますのでご覧ください。
IoTとIdentityを考える
2016年6月30日木曜日
執筆協力本「IoTセキュリティ ~インシデントから開発の実際まで~」 日経BP社
執筆協力した書籍が出版されました。
日経BP社刊 「IoTセキュリティ」
~インシデントから開発の実際まで~
第3部3-3 IoTシステムのリスク評価を考える を私が執筆しています。
これは、CSAジャパン(Cloud Security Alliance 日本支部)のIoT WGで発行した「IoTインシデントの影響評価に関する考察」の解説です。
また、3-2IoTのセキュリティを守る7つの管理策 はCSAジャパンのIoT WG共著となっています。定価3万円と、ちょっとお値段が張りますが、ご覧いただければ幸いです。
日経BP社刊 「IoTセキュリティ」
~インシデントから開発の実際まで~
第3部3-3 IoTシステムのリスク評価を考える を私が執筆しています。
これは、CSAジャパン(Cloud Security Alliance 日本支部)のIoT WGで発行した「IoTインシデントの影響評価に関する考察」の解説です。
また、3-2IoTのセキュリティを守る7つの管理策 はCSAジャパンのIoT WG共著となっています。定価3万円と、ちょっとお値段が張りますが、ご覧いただければ幸いです。
2016年3月13日日曜日
RSA Conference US 2016 と CSA Summit参加記
先日、2月29日から3月4日の日程でサンフランシスコへ行ってきました。目的は、RSA Conference US 2016への参加です。また、そのプレイベントとして開催される CSA Summit 2016 や、その他の CSA (Cloud Security Alliance)関連のイベントにも併せて参加してきました。サンフランシスコは2013年以来3年ぶりの訪問でした。会場はダウンタウンにあるモスコーンコンベンションセンターをほぼすべて使って行われました。展示会を含めた参加者は4万人を超えるという巨大コンファレンスです。セッション内容も多岐にわたり、とうてい一人ですべてをカバーできません。今回、私は現在の自分のテーマでもあるクラウドやIoTに関するセッションを中心に聴くことにしました。
2月29日は、RSAのプレイベントであるCSA Summitに参加してきました。私自身、CSAでの活動も行っているため、関係者との顔合わせや情報交換の場としての意味合いも少なくないイベントです。今年のイベントでの大きなテーマのひとつが、CASB (Cloud Access Security Broker)です。CASBは、おおざっぱに言えば、企業内システム(オンプレミス)と様々なクラウドサービスに関するアクセスとセキュリティを統合管理しようという考え方です。日本ではまだまだ普及していませんが、米国などでは、オンプレミスシステムとクラウドサービスを組み合わせて企業システムを作る(ハイブリッドクラウドの)ための、Cloud Brokerというサービスが普及しつつあります。企業システムの「機能」の一部としてクラウドサービスをAPIベースで統合し、一体化するものですが、CASBはこれをセキュリティに拡張したもので、モバイルも含めたシステムへのアクセスとセキュリティ管理を一元化するものです。既に、こうしたソリューションやクラウドサービスを展開するベンダも複数登場しており、今年あたりは盛り上がってきそうなテーマになりそうです。
CSAでは、クラウドにもからめて、モバイルやIoTに関するリサーチ活動も盛んで、そうした内容に関する講演も行われました。ネットワークを利用するシステムの多くが自動化される結果、やがてインターネットトラフックの大部分が人間が介在しない通信になるという予測も有り、その影響はセキュリティの世界にも及びます。2020年代、我々の最大の脅威も、「悪のAI」になっているかもしれません。
RSAコンファレンス初日である3月1日は、午前中、派手なオープニングに続き、多くのキーノート講演が行われました。毎年恒例の暗号学者によるパネルもあり、皆さんご存じの、Diffie, Hellman 両氏も登壇しました。計算の難しさに依存する現代暗号における目下の脅威が桁違いの演算能力を持った量子コンピュータであることは間違いなく、最近では、量子コンピュータの演算能力に対する既存アルゴリズムの問題や、それに耐えられるような暗号アルゴリズムの研究も始まっているようです。ただ、パネリストの見方はいくぶん楽観的な印象を受けました。
このほか、様々なセッションで話題になっていたのが、アップルとFBIの問題です。この問題は、ある意味で自由主義国アメリカの根幹にかかわる議論でもあり、多くのスピーカーが取り上げていました。おおむね、バックドアを仕掛けることについては否定的な意見が多いようですが、一方で犯罪捜査やテロ対策のための障害となることを防ぐという意味合いでは難しい問題も多く、今後の米国での議論を注視しておく必要がありそうです。
2日目は、ちょっとRSA本体を離れて、CSAのリサーチワーキンググループのミーティングに参加してきました。
こちらでは、現在進行しているCSAの様々なリサーチWGやプロジェクトの現状報告と方向性が発表され、議論が行われました。CSAのリサーチの柱は、なんと言ってもクラウドセキュリティに関するガイダンスやCCM(Cloud Control Matrix)というクラウドセキュリティの要件と様々なセキュリティ標準とのマッピング文書、それを基盤としたSTARレジストリや認証制度の基本となるOCF(Open Certificate Framework)などですが、これらに加え、CASB, IoTなどのリサーチも、こうした部分に取り組むベンダ関係者や様々な国、地域のこうした動きに関わっている人たちが集まって盛り上がりを見せています。私も関係しているIoTワーキンググループでは、特に米国での動きが速く、多くの関連文書をとりまとめて公開しています。こうした文書は、FCCなどの基準策定に影響を与えているばかりでなく、最近では、CSAとFHWA(Federal HighWay Agency)が共同でコネクテッドカーのセキュリティ検討を行うといった動きも始まっています。
今回はRSAコンファレンスでもIoT関連のトラックはどれも人気でした。IoTシステムへのサイバー攻撃が現実化し、海外ではセキュリティの弱い家庭用機器にマルウエアが送り込まれる事例が激増しているほか、ウクライナではサイバー攻撃で発電所が停止するという事態も発生する中で、爆発的に広がるIoTの波にセキュリティが追いついていない現実が浮き彫りになっています。
会場の一角に、Technology Sandboxというコーナーがあるのですが、ここでは、DEFCONばりに、制御システム攻撃のデモや、様々な家庭用IoT機器の展示などが行われていました。
ここでは、ミニセッションが開かれていましたが、FCCによる5G通信のセキュリティの取り組みなども紹介されていました。高度な通信制御を必要とするネットワークの安全性はもとより、IoT利用などを念頭に様々なセキュリティ面での仕様を盛り込む必要があり、早い段階からセキュリティ専門家を入れた検討が重要だとの話がありました。「ここにいる方々のアイデアを是非聞かせて欲しい。どんなアイデアでも私たちにメールしてもらえると助かる」というお役所らしからぬ彼らのスタンスに感銘を受けた次第です。
最終日のセッションで印象に残ったのは、ロシアの犯罪組織によるバンキングマルウエア拡散の手口に関するセッションでした。改ざん可能なサイトの一覧や、そのためのツールキットのパッケージが闇市場で売られ、犯罪組織がそれを買って実際に犯罪に使用するというサプライチェインとエコシステムができあがっていて、しかもシステム自体が非常によくできていると言う話を聞くと危機感が募ります。
セキュリティ業界最大級の展示会もまた、楽しみのひとつです。以前は、セキュリティ機器やソリューションを中心に見ていましたが、最近は、サービス、特に情報提供、インテリジェンス系のサービスに興味があります。今回も多くのベンダがThreat Intelligence サービスに関する展示を行っていました。ただ、こうしたサービスをユーザが利用して何をするのか、というあたりがいまひとつ見えず、特に日本のユーザにとっては選択が難しいだろうなと思った次第です。脅威情報は、最終的に、それがユーザ側での対抗アクションに結びついてこそ意味があるものなので、情報収集もさることながら、それをどう使っていくのかと言う面で、利用者側の成熟度を上げていく必要があるだろうと思った次第です。
さて、およそ一週間、あっという間に過ぎ去ったサンフランシスコでの時間でした。
私自身にとって、こうした情報収集は仕事上の様々な発想のベースとなり、非常に有益なものです。皆さんも機会があれば、是非参加してみてください。久々のサンフランシスコ、ちょっとお天気が悪い日もありましたが、合間に少し街を歩いてみたりもしました。また、来る日を楽しみに、心のカケラを一つ残して、サンフランシスコを後にした次第です。
CSAでは、クラウドにもからめて、モバイルやIoTに関するリサーチ活動も盛んで、そうした内容に関する講演も行われました。ネットワークを利用するシステムの多くが自動化される結果、やがてインターネットトラフックの大部分が人間が介在しない通信になるという予測も有り、その影響はセキュリティの世界にも及びます。2020年代、我々の最大の脅威も、「悪のAI」になっているかもしれません。
RSAコンファレンス初日である3月1日は、午前中、派手なオープニングに続き、多くのキーノート講演が行われました。毎年恒例の暗号学者によるパネルもあり、皆さんご存じの、Diffie, Hellman 両氏も登壇しました。計算の難しさに依存する現代暗号における目下の脅威が桁違いの演算能力を持った量子コンピュータであることは間違いなく、最近では、量子コンピュータの演算能力に対する既存アルゴリズムの問題や、それに耐えられるような暗号アルゴリズムの研究も始まっているようです。ただ、パネリストの見方はいくぶん楽観的な印象を受けました。
このほか、様々なセッションで話題になっていたのが、アップルとFBIの問題です。この問題は、ある意味で自由主義国アメリカの根幹にかかわる議論でもあり、多くのスピーカーが取り上げていました。おおむね、バックドアを仕掛けることについては否定的な意見が多いようですが、一方で犯罪捜査やテロ対策のための障害となることを防ぐという意味合いでは難しい問題も多く、今後の米国での議論を注視しておく必要がありそうです。
2日目は、ちょっとRSA本体を離れて、CSAのリサーチワーキンググループのミーティングに参加してきました。
こちらでは、現在進行しているCSAの様々なリサーチWGやプロジェクトの現状報告と方向性が発表され、議論が行われました。CSAのリサーチの柱は、なんと言ってもクラウドセキュリティに関するガイダンスやCCM(Cloud Control Matrix)というクラウドセキュリティの要件と様々なセキュリティ標準とのマッピング文書、それを基盤としたSTARレジストリや認証制度の基本となるOCF(Open Certificate Framework)などですが、これらに加え、CASB, IoTなどのリサーチも、こうした部分に取り組むベンダ関係者や様々な国、地域のこうした動きに関わっている人たちが集まって盛り上がりを見せています。私も関係しているIoTワーキンググループでは、特に米国での動きが速く、多くの関連文書をとりまとめて公開しています。こうした文書は、FCCなどの基準策定に影響を与えているばかりでなく、最近では、CSAとFHWA(Federal HighWay Agency)が共同でコネクテッドカーのセキュリティ検討を行うといった動きも始まっています。
今回はRSAコンファレンスでもIoT関連のトラックはどれも人気でした。IoTシステムへのサイバー攻撃が現実化し、海外ではセキュリティの弱い家庭用機器にマルウエアが送り込まれる事例が激増しているほか、ウクライナではサイバー攻撃で発電所が停止するという事態も発生する中で、爆発的に広がるIoTの波にセキュリティが追いついていない現実が浮き彫りになっています。
会場の一角に、Technology Sandboxというコーナーがあるのですが、ここでは、DEFCONばりに、制御システム攻撃のデモや、様々な家庭用IoT機器の展示などが行われていました。
ここでは、ミニセッションが開かれていましたが、FCCによる5G通信のセキュリティの取り組みなども紹介されていました。高度な通信制御を必要とするネットワークの安全性はもとより、IoT利用などを念頭に様々なセキュリティ面での仕様を盛り込む必要があり、早い段階からセキュリティ専門家を入れた検討が重要だとの話がありました。「ここにいる方々のアイデアを是非聞かせて欲しい。どんなアイデアでも私たちにメールしてもらえると助かる」というお役所らしからぬ彼らのスタンスに感銘を受けた次第です。
最終日のセッションで印象に残ったのは、ロシアの犯罪組織によるバンキングマルウエア拡散の手口に関するセッションでした。改ざん可能なサイトの一覧や、そのためのツールキットのパッケージが闇市場で売られ、犯罪組織がそれを買って実際に犯罪に使用するというサプライチェインとエコシステムができあがっていて、しかもシステム自体が非常によくできていると言う話を聞くと危機感が募ります。
セキュリティ業界最大級の展示会もまた、楽しみのひとつです。以前は、セキュリティ機器やソリューションを中心に見ていましたが、最近は、サービス、特に情報提供、インテリジェンス系のサービスに興味があります。今回も多くのベンダがThreat Intelligence サービスに関する展示を行っていました。ただ、こうしたサービスをユーザが利用して何をするのか、というあたりがいまひとつ見えず、特に日本のユーザにとっては選択が難しいだろうなと思った次第です。脅威情報は、最終的に、それがユーザ側での対抗アクションに結びついてこそ意味があるものなので、情報収集もさることながら、それをどう使っていくのかと言う面で、利用者側の成熟度を上げていく必要があるだろうと思った次第です。
さて、およそ一週間、あっという間に過ぎ去ったサンフランシスコでの時間でした。
私自身にとって、こうした情報収集は仕事上の様々な発想のベースとなり、非常に有益なものです。皆さんも機会があれば、是非参加してみてください。久々のサンフランシスコ、ちょっとお天気が悪い日もありましたが、合間に少し街を歩いてみたりもしました。また、来る日を楽しみに、心のカケラを一つ残して、サンフランシスコを後にした次第です。
登録:
投稿 (Atom)