Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。

マイクロソフトのサイバーセキュリティって?  記事『IoTとデジタル・フォレンジック』第6回

マイクロソフトのサイバーセキュリティ、いったいどんなものなんでしょう?独自の開発プロセスにSDLというライフサイクルにセキュリティを組み込むという手法を編み出します。日本マイクロソフトの高橋正和氏が語りました。 気になるニュース・まとめを検索 Justy Finder  http://goo.gl/QN9oiH マイナンバー対策はこれで安心。 ナンバーくん http://goo.gl/U85pQG  標的型攻撃対策は Defense Platform(DeP)http://goo.gl/EML64H
0
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

1 迫るサイバー攻撃の脅威の現状と脅威の方向性とは何なのか。日本マイクロソフトでチーフセキュリティアドバイザーを務める高橋正和氏が講演を行った。 #サイバー攻撃 #IoT #マイクロソフト #セキュリティ #サイバー犯罪 #情報漏えい #情報セキュリティ #ICT #M2M

2016-01-20 16:37:39
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

2 冒頭、高橋氏はサイバー攻撃の現状を確認した。すでに企業の9割は脅威が侵入済みであるという。一方でサイバー攻撃が侵入から発見されるまで約242日というデータがある。侵入されてから240日程度まではログがあるということだ。#サイバー攻撃 #IoT #マイクロソフト #セキュリティ

2016-01-20 16:38:50
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

3 また、被害額は推定総額360兆円。このうち、データ侵害に対する平均的なコストは4.2億円。クレジット会社への賠償金は80億円だ。まさに「サイバーセキュリティが、サーバールームから役員室に変わってきた」という表現が現実味を帯びている。#サイバー攻撃 #IoT #マイクロソフト

2016-01-20 16:39:15
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

4 実際、CEO・CIOが株主からの圧力で退任に追い込まれたという話をよく耳にする。こういう現状で新しい技術を採用する際に問題となるのがセキュリティに関する信頼だ。APAC CIOによると、予算(81%)の次に、セキュリティが79%で、ボトルネックとなっている。#IoT

2016-01-20 16:40:05
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

5 近年、サイバー攻撃は激しさを増している。米国の国防総省でさえも、ホワイトハウスにハッカーが侵入し機密情報にアクセスしたと昨年4月に報じられている。そのハッカーはホワイトハウスの侵入のために国防省のシステムを利用したとされる。#サイバー攻撃 #IoT #セキュリティ #ハッカー

2016-01-20 16:42:01
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

6 企業はICTに関する新しい技術を採用する場合、予算をどれくらい使えばいいか、IT予算の何割を組み込めばいいのか考える必要がある。状況に応じて、投資をしていかななければならない。#サイバー攻撃 #IoT #マイクロソフト #セキュリティ #サイバー犯罪 #情報漏えい #ICT

2016-01-20 16:42:55
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

7 それと同じでセキュリティの場合も不正アクセス・愉快犯のような話から金銭目的のテロリズムによるものまで様々なケースが存在する。高橋氏は日本年金機構の事例を挙げネットワーク、PCなどに到達させる攻撃を減少させる「攻撃の検知・防御」が視点として必要だったのではと指摘する。 #IoT

2016-01-20 16:43:37
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

8 ファイルを盗まれても情報が漏れない暗号を使って保護を行う視点、PCサーバ、ネットワークを一括して管理できる仕組みの構築という視点も大切だ。さらに管理者・利用者の教育も欠かせない。#サイバー攻撃 #IoT #マイクロソフト #セキュリティ #サイバー犯罪 #情報漏えい #ICT

2016-01-20 16:44:26
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

9 同社のマルウェアの事例。同社のIT環境をみると、100か国で15万人のユーザ、60万台のPCおよびサーバが使用されている。2014年の7月~12月まで80万件の検出で1年あたり2.6回の検知がある。感染は143件あり、年間に直すと約2000台に1台は感染していることになる。

2016-01-20 16:44:43
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

10 重要なのはハッカー側が何を考えているかということだ。そこで同社では標的型攻撃のワークショップを始めている。企業のリスクマネジメント担当者には、技術型ではなく、総務型の方が多い。そのため実際にワークショップを通じてサイバーセキュリティを皮膚感覚で感じてもらうというものだ。

2016-01-20 16:45:09
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

ここで閑話休題【広告】サイバー攻撃対策といえばホワイトリストで確実にウイルスをDeP(Defense Platform)が有効です。ぜひ無償版をお試しください!→DePスマホサイト goo.gl/EML64H pic.twitter.com/aWHwIqLg20

2016-01-29 10:36:39
拡大
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

11 大きな壁は、担当者は生真面目なビジネスマンが多いため、ハッカー側の気持ちがわからないということ。攻撃者は目的のためには手段を選ばない。失敗した場合のペナルティが低い。攻撃側は失敗したら終わりではなく、成功するまで行うスタンスだ。#サイバー攻撃 #IoT #マイクロソフト

2016-01-20 16:46:05
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

12 そこでマイクロソフトはSDL(Security Development Lifecycle:マイクロソフトが提唱するソフトウェア開発プロセス)という考え方を提唱している。1セキュアバイデザイン、2セキュアバイデフォルト、3コミュニケーションをコンセプトに掲げている。#IoT

2016-01-20 16:46:51
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

13 1は設計時にどうやって、セキュリティを織り込んでいくか。2では工場の出荷時に時に安全な状態にするというものだ。単に対策の提供ではなく、常に実装されるような仕組みが重要。全体として開発のライフサイクルに合わせて、要件定義、設計、検査、出荷などを組み込むというもの。#IoT

2016-01-20 16:47:29
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

14 マイクロソフトではどのようにSDLにたどり着いたのだろうか。1992年頃、OSはシングルユーザであるため、セキュリティ管理に対する要求はほとんどなかったという。しか、Windows NT 3.1が最初のマルチユーザーのOSとなり、脅威に関する取り組みが必要となった。#IoT

2016-01-20 16:48:22
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

15 すなわち、ユーザをほかのユーザから守る、アプリケーションをほかのアプリケーションから守るといった具合だ。その後1998年以降になると、各製品チームが個別に対応していくこととなる。そして1990年代中ごろになると、インターネットが急速に発展する。#サイバー攻撃 #IoT

2016-01-20 16:49:02
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

16 パブリックなネットワークに接続されるように変わったことによって脆弱性の発見と公表が日常的に行われるようになる。そのためマイクロソフトは、MSRC というセキュリティレスポンスセンターをつくり脆弱性の窓口を一本化した。#サイバー攻撃 #IoT #マイクロソフト #セキュリティ

2016-01-20 16:49:53
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

17 またこの時期にWindowsのアップデートも1つの窓口に統一した。(microsoft.com/security)さらに脆弱性発生の原因調査を行い改善するためのまとめ(International Security Task Force)も行う。#セキュリティ #IoT

2016-01-20 16:51:30
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

18 大きな動きはWindows Server 2003のリリースのとき。同社は開発を停止し、Security Pushを実施した。8500人にも及ぶ技術者へのトレーニングを実施。1年2か月、開発と出荷を遅らせている。#サイバー攻撃 #IoT #マイクロソフト #セキュリティ

2016-01-20 16:52:37
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

19 そのため、Windows Server 2003は当時のマイクロソフトの製品のなかでもセキュリティの質が上がった。それがその後の製品のひな型になっていく。しかし、経営陣からすると出荷を1年以上も遅らせることが何度もあっては困る。そのためSDLの導入に踏み切ったという流れだ。

2016-01-20 16:52:53
「言いたい放題!」セキュリティチャンネル@トラキチ @HHNewsReports

20 セキュリティテストや脅威分析、エンジニアの啓発とトレーニング、経営陣のコミットメントは重要だがそれだけでは十分ではない。そのためSDLのようにセキュリティを製品のライフサイクルに組み込んで考えていくことの重要性を高橋氏は説いている。#サイバー攻撃 #IoT #マイクロソフト

2016-01-20 16:53:59

コメント

コメントがまだありません。感想を最初に伝えてみませんか?