★☆★JNSAメールマガジン 第125号 2017.11.24 ☆★☆

こんにちは
JNSAメールマガジン 第125号 をお届けします。

11月22日にタイのバンコクで「Cyber SEA Game 2017」が開催され、JNSAでは2015年に引き続き今回も開催支援を行い現地でのサポートを行ってきました。
「Cyber SEA Game 2017」はアセアン地域の代表を決める若者向けのCTF大会で、今回は10カ国から合計10チームが出場しCTFの戦いを繰り広げました。
優勝はインドネシアチームで、彼らは来年2月のSECCON決勝大会への招待枠を獲得、2位はシンガポール、3位はベトナムとなり、前回の優勝チームベトナムは今回東京行きの切符を手にすることはできませんでした。

現在、SECCON 2017唯一の公式予選であるSECCONオンライン予選のエントリーを受付中です。学生・社会人問わずどなたでも御参加できますので、ぜひ多くの方のエントリーをお待ちしています!

★SECCONオンライン予選登録、参加受付中!
 競技時間:2017年12月9日(土)15:00〜10日(日)15:00 日本時間
 ↓詳細および登録はこちらから↓
 https://2017.seccon.jp/

さて今回は、10月に開催された「越後湯沢情報セキュリティワークショップ2017」への参加レポートをJNSA幹事でアルテア・セキュリティ・コンサルティング代表の二木真明様に、ご寄稿いただきました。

【連載リレーコラム】
越後湯沢情報セキュリティワークショップ2017参加レポート

JNSA幹事/アルテア・セキュリティ・コンサルティング代表 二木 真明

2017年10月6日から7日に新潟県の越後湯沢で開催された情報セキュリティワークショップに参加してきました。ここ数年、参加者が急増し、昨年からはビデオ中継される別会場が用意されるなど非常に盛況なイベントです。
今回のテーマは「守るセキュリティからつなげるセキュリティへ」、流行に乗ってIoTセキュリティを意識したテーマにも見えますが、セキュリティ対策において、様々な人たちが繋がって情報を共有しながら対処しようという意味も込められているようです。
金曜日の午後から1日半の間、様々な講演や、夜のイベントが行われました。そのなかでいくつか興味深かったものを紹介したいと思います。

冒頭のJPCERT/CC真鍋さんの講演は、まさにこのテーマのおさらいといった感じでした。IoT問題からはじまって、昨今の攻撃オペレーションの傾向などをおさらいした上で、こうしたインシデントへの対応における情報共有とコーディメーションの形などについて、非常にわかりやすい形で説明されていました。脅威が多様化し、さらに先鋭化するなかで、情報を共有しながら全体を俯瞰していくことの重要性を改めて再認識した講演でした。

次の富士通坂井さんのバイナリかるたの話では、目grepの重要性(笑)を改めて認識し、休憩の後の警察庁、高尾さんのお話しでは、昨今のサイバー犯罪の様々な手口を興味深く聴きました。
ビジネスオンラインバンキングの不正送金で、Pay-easyと呼ばれるオンライン支払いシステムが悪用されているという話は初めて聞きました。Pay-easyは私も税金の納付などによく使いますが、一般の企業も代金の受け取りなどに利用できます。仮想通貨交換事業者がこれを利用して代金収納をしているケースが有り、Pay-easyのシステムが送金者の情報を十分に把握できないことなどを悪用して、不正アクセスした口座から仮想通貨事業者を経由して海外に送金するといった手口が実際に使われているとのことでした。様々な新しい技術が生まれてくる現在、犯罪者もいち早くこうした技術の悪用を考えるのだということを我々は常に頭において、最新の知識を入れておく必要があると感じた次第です。

夜の車座会議は、湯沢の名物イベントです。数名の「座長」が、それぞれの得意分野でお話しをしながら、参加者で、あれこれ議論したり情報共有したりするものですが、アルコールが入ることも有り、オフレコ話がいっぱい飛び出すのも楽しいところでしょう。中身は詳しく書きませんので、皆さんも是非来年参加してみてはいかがでしょう。

翌日の最初の講演は国民消費生活センター、福井さんの取り組み紹介。ネット上のトラブル相談の傾向などが紹介されました。様々なトラブルがある中で、詐欺や詐欺まがいの商法が横行している現実も明らかにされています。たとえば、お試し一回無料のサプリを注文したら、定期購入契約をしたことになってしまっていたケースでは、無料の条件に、その後の定期購入契約を結ぶことが、こっそり書かれていたという話です。また、こうした詐欺被害者を「救済」すると称してさらに欺すようなものも増えてきているとのことで、なかなかのドロドロぶりです。しかし、ネット以前の詐欺と手法的にはなんら変わっておらず、道具としてネットが使われるようになっただけだと考えると、合点がいくものが少なくありません。「ネットの安全な利用啓発」は、おそらくそのかなりの部分が「ネット」固有のものではなく、従来からのリアルな詐欺的手法やトラブルを避けるための注意と同じ物なのではないかと感じた次第です。そういう意味では、啓発する側も、もっと「欺される心理」を考えた啓発方法が必要なのかもしれません。

「産業サイバー防御のための人材育成」(越島さん)で興味深かったのは、こうした産業の現場(いわゆるOT:Operetion Technologyの現場)でセキュリティを考えるためにはOTそのものを知らないと難しいという考え方で、現場の技術者(ITではなくOT側の)に対しての教育にフォーカスしているという点でした。
これは、現在のセキュリティ人材育成全般に言えることかもしれません。ITにおいても、様々な技術分野があり、そのセキュリティを考えるためには、その分野の技術や経験が不可欠だろうと思います。セキュリティに特化した専門家は当然必要ですが、実際に現場を守るのは、その現場の技術者ですから、そうした人たちにフォーカスしたセキュリティ教育はIT分野でも重要だろうと思う次第です。ただ、こうした取り組みに現場のキーマン的な技術者を巻き込むことは簡単ではありません。まして、大学の講座のようなところへ、現役ばりばりのキーマンを送り出せる会社は少ないでしょう。こうした人材を対象に教育を考えるのであれば、少し違った形も必要になるのではないかと思った次第です。

JNSAの最後は、NICTナショナルサイバートレーニングセンター長、園田さんの、AIとセキュリティの話でした。AIブームで、これらAI自体のセキュリティと同時に、AI自体が脅威になったり、セキュリティ側でAIが使われたりという傾向も今後強まっていくと思われるので、こうした研究は非常に興味深いものです。
しかし、もしかしたら事態は我々が今考えているよりも、ずっと進んでいるのかもしれません。なにせ、世界トップ5本の指に入るIT企業がそろってAIに巨大な投資をし、世界でも屈指の人材を集めて研究をしているわけですから、AIの利用(その副作用としての悪用)はさらに加速度的に広がっていく可能性が高いでしょう。まだまだこの種の研究で日本は出遅れている感が強く、予算、人材共に不足しているという印象をぬぐえませんでした。このあたりは、是非、政府の大きな課題として考えて欲しいところです。

さて、そんな感じで充実した時間を過ごすことができました。色々と考えさせられることも多く、また、多くの人たちとも交流できるイベントなので、まだ参加したことのない方は、是非、来年参加してみてください。

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★社会活動部会では、「〜セキュリティを取り巻くモヤモヤと明日への一歩〜」
 と題して、3つのテーマでディスカッションを行う車座拡大忘年会を開催
 いたします。
 日程:12月18日(月)18:00−21:00
 会場:スタンダード会議室 虎ノ門スクエア4F
 会費:2,000円 (領収証発行、軽食と飲物付き)
 参加希望の方は、JNSA事務局< office@jnsa.org >まで。

 

【事務局からの連絡、お知らせ】

★JNSA共催イベント「Security Day 2017」参加申込み受付中です。
 日時:2017年12月15日(金)
 場所:KKRホテル熱海 (静岡県熱海市春日町7-39)
 <プログラムはこちらをご覧下さい>
http://securityday.jp/

★JNSA主催シンポジウム「NSF2018」を以下の日程で開催予定です。
プログラム詳細は近日中に公開予定です!
日 程:2018年1月24日(水)
会 場:ベルサール神保町
(千代田区西神田3-2-1住友不動産千代田ファーストビル南館)

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第125号
発信日:2017年11月24日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.