セキュリティ・ミニキャンプ in やまなし 一般講座に参加した (後半)

イベント セキュリティ

 まただいぶ日が経っちゃった。

 

 大学関連でバタバタしてしまった。 

偽装テクノロジを利用して高度な攻撃活動を検知 〜侵入した攻撃者を騙すテクニックとは〜

 ガートナーという米最大手IT調査機関が毎年7月とか10月頃にセキュリティに関する10大トレンドみたいなものを発表しているらしい。今年のも出ているのかな?

 偽装テクノロジ(Deception)、今まではハニーポットくらいしか聞いたことなかったな。攻撃者の識別プロセスを妨害したり除外したりして、攻撃者の活動の遅延や攻撃の検出、自動化ツールの中断などを行うべくデザインされた策略、囮またはトリックを使用したものと定義されるそう。エンドポイントやネットワーク、アプリケーション、データなどスタック内の複数のレイヤで実装される。

 欺瞞情報のカテゴリー、15種ほどあるみたい。

 

 インテリジェントウェイブ(IWI)社所有のセキュリティソリューションから、illusive networks社のDeceptions Everywhereについてのお話。

 イスラエル国防軍のサイバー部隊で8200部隊というものがあって、そこ出身の人たちが設立したサイバーセキュリティ企業がTEAM8というもので、illusive networks社の母体。

 Deceptions Everywhereは高度な技術者による巧妙な標的型攻撃に対抗する。これはマルウェアみたいに不特定多数を対象にばら撒かれるような攻撃とは違う。

 サイバー攻撃が二極化しているというお話もあった。強い技術者がターゲットにピンポイントで攻撃する。人がマニュアルで攻撃する。事前対策は難しそう。攻撃された時にその攻撃を成功させないための技術って大事だなと思った。まずは検出!

 

サイバー攻撃対策のパラダイムシフト セキュリティ運用にAI&サービスを活用すべき理由

 

 NECでは未知のマルウェア検知システムで標的型攻撃メールの68%を検知しているそう。未知の検知ってすごいな。

 NECが提供するセキュリティサービスの中からセキュリティ異常検知サービスについての紹介。これは、AIによる自己学習型システム異常検知技術を検知エンジンとして搭載したEDR (Endpoint Detection and Response) サービスとのこと。

 エンドポイントを常に監視していて、普段とは違う通信などがあったら通知してくれる。各通信をポイント同士を結ぶ線で表して、異常かもしれないところは違う色の線で表示される図を見せてもらった。可視化って大事だなと思った。バックトレースで画面に表示されていく様子の動画も見せてもらった。

 攻撃がどんどん高度になっていき、人がやらなくてはいけない対処の量も増えていってるそう。AIの活用で効率を上げることができる。

 やっぱり事前検知にも限界があるので、すでにシステムにマルウェアが侵入している前提でそれを被害が出る前に検知し対処することが重要。

 

 セキュリティ・キャンプ紹介

  • セキュリティ界隈では低レイヤー技術が求められている
  • 手を動かして深く掘り下げることが大切
  • 実績を作って示すことが大切

 低レイヤー技術ってどんなものだろう?

 

メモ

  • APT:Advanced Persistent Threat
    高度で持続的な攻撃。特定のターゲットに侵入したあと、しばらく潜伏して情報を集める。そしてその情報を使って偽装する。見破るのは難しい。
  • クレデンシャル:IDとかパスワードとか認証に使われる情報のこと。
  • シグネチャー:電子文書の署名のこと。セキュリティソフトにおける既知の不正侵入を検知するためのパターンファイルのこと。
  • ガートナー:8月にハイプサイクルが発表されたとのこと。

    ガートナー、先進テクノロジーのハイプサイクル2018年版を発表、AIの民主化が進む | IT Leadersf:id:krmtmint:20181003130707j:plain

  • エンドポイント:ネットワークに接続された端末の総称。クライアントを指すこともある。
  • サンドボックス:攻撃されても問題ない仮想環境(砂場)を用意してその中で怪しいファイルを実行して分析を行う手法。

 

おまけ

 どうやら留年が決まったみたいです…。考えなければいけないことがたくさんあって本当にどうしようという感じで、まずは落ち着けと自分に言ってみるけれどうまくはいかない。今後学生生活が1年のびて、かつ自由に使える時間が増えることが決まったら、大学の専門とか関係なくじっくり勉強したり開発したりできたらいいなと思います。金銭的な問題が大きくて頭を抱えているところです。

セキュリティ・ミニキャンプ in やまなし 一般講座に参加した (前半)

イベント セキュリティ

 だいぶ日が経っちゃったけど…、9/22ミニキャンプに参加できたのでメモを残す。

 

 山梨県に電車で行ったのは初めて。甲府駅ですでに興奮。

 会場の山梨大学甲府キャンパスは駅から本当にまっすぐ進むだけ。一度も曲がらなかったのでびっくり。

 

産業サイバーセキュリティ強化に向けた経済産業省の取組み

 経済産業省商務情報政策局サイバーセキュリティ課 という存在を知った。"サイバーセキュリティ課"って国の組織にあるんだ。中小企業のセキュリティ強化は大変そうだな。国として各社が出しているセキュリティ製品の情報をまとめて企業に提供するのはいいなと思った。

 今年度中に発表したいと話していたものが気になる。

 

医療機関におけるサイバー脅威の動向と対策

トレンドマイクロは日本の会社

これはちゃんと覚えました。

 この講演以外でも、ランサムウェア"WannaCry"の名前がたくさん出てきた。技術的な問題ではなく、組織がその組織全体できちんとした対策を取ることの難しさを感じた。

 

医療システム

  • 保守から外れるからセキュリティパッチ当てられない、バージョンアップできない
  • クローズ環境だからセキュリティ対策はいらない

 もしシステムを更新してその結果不具合が起きたらどうするんだ、生命に関わるかもしれないという考えも理解できる。

(自分だってiPhoneのソフトウェア・アップデートの通知きてもしばらくそのままだもん)iOS12…

 

メモ

  • パッチ:リリースされた後に不具合や脆弱性を修正するためのプログラム。
  • BYOD:Bring Your Own Deviceの略。Deviceだけでなく、SoftとかApplicationもあるらしい。従業員個人が所有しているデバイスを業務でも利用することで、情報漏えいやウイルス持ち込みのリスクから従来は禁止されているところが多かった。
  • デューデリジェンス:投資前に対象の価値やリスクを詳しく調査して評価すること。近年、M&Aに企業の情報システムの実態も影響するようになっている。

 

おまけ

 本日9月27日に誕生日を迎えました。そこでブログ書いてみようかなと思ったのですが、なかなか思い通りにはいかないものですね。なんとか前半は完成したのでここで一区切りとします。