時代は変われど、セキュリティの本質は不変―記事・20回目を迎えた白浜シンポジウム 第3回
- HHNewsReports
- 22162
- 10
- 0
- 2
時代は変われど、セキュリティの本質は不変 ―記事・20回目を迎えた白浜シンポジウム 第3回 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア #サイバーセキュリティ pic.twitter.com/qEIONwAmbL
2016-06-03 13:54:581 2016年5月に行われた「サイバー犯罪に関する白浜シンポジウム」。デロイトトーマツリスクコンサルティング社長の丸山満彦氏(写真)が「私から見たサイバーセキュリティのこれまでとこれから」という題で講演を行った。発言趣旨は以下の通り。#サイバー犯罪 #セキュリティ #マルウェア
2016-06-21 09:57:282 (丸山氏が)社会人になったころの1992年、監査法人トーマツをはじめ、会計法人はパソコンをつかって監査の書類をつくるようになってきた時代だ。 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ #IoT pic.twitter.com/Nxn47cWzZt
2016-06-03 13:58:103 1992年当時は汎用機の時代だったが、セキュリティの問題は当然にあったという。当時のOSでいうと、大規模VM(Virtual machine)、ミドルウェアはCICS、DatabaseはIMS(Information Management System)が当時は使われていた。
2016-06-03 13:58:494 また当時使われていたセキュリティの汎用ツールは1976年にリリースされたRACF(Resource Access Control Facility)。そしてACF2(Access Control Facility)だ。ホワイトリスト型のセキュリティツールだった。#セキュリティ
2016-06-03 13:59:305 この頃、仕事でつかっていたPCはNEC PC-9801 NS/L。A4のノートブックで当時でも軽いものだった。一方米国の監査で使っていたノートブックはToshiba T5200。OSはMS-DOS/V 5.0の時代だった。#監査 #サイバー攻撃 #サイバー犯罪 #セキュリティ
2016-06-03 14:00:426 さて、セキュリティを振り返ると、1981年頃のセキュリティに関する書籍には何が書いてあるのだろうか。 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア #サイバーセキュリティ #IoT #ウイルス #サーバー
2016-06-03 14:02:437 ここで『コンピュータ・セキュリティ 犯罪対策と災害対策』を紹介したい。ドン・パーカー氏が著し、日本情報処理開発協会が監訳を行っている。この本は1982年発行だが、原著は1981年に出版されている。 #サイバー犯罪 #セキュリティ pic.twitter.com/I216QSzsZC
2016-06-03 14:03:438 このとき「米国のコンピュータ犯罪の権威であるドン・パーカー氏の書籍。セキュリティハンドブックのよき参考書にしてほしい」と推薦の言葉を書いているのは、当時通産省の機械情報産業局課長の広瀬勝貞氏。現大分県知事だ。#米国 #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア
2016-06-03 14:05:129 ドン・パーカー氏の前書きを読むと、コンピュータ・セキュリティは人間の心理と社会環境に大きく関係するもので、技術的な問題ではないということがわかる。問題を解決する糸口は、人間自身の行動や態度にあるとされている。 #米国 #サイバー攻撃 #サイバー犯罪 #セキュリティ #IoT
2016-06-03 14:05:4610 「序」を読むと、意図的な脅威に対しては、料理の本に見られるような、「こうしなさい」「こうしてはいけません」というチェックリスト方式のアプローチではセキュリティは不十分であることがわかる。 #サイバー攻撃 #サイバー犯罪 #セキュリティ #IoT #PC #脅威
2016-06-03 14:06:51閑話休題【広告】サイバー攻撃対策といえば、ホワイトリストで確実にウイルスを防ぐDeP(Defense Platform)が有効です。ぜひ無償版をお試しください!→DePスマホサイト goo.gl/kUO2do pic.twitter.com/NEJr1xvgaH
2016-06-03 14:07:3411 本編の第1章を読むと、当時のコンピュータ技術者は比較的安全な環境下にあると考えられていた。当時のセキュリティ対策として、EDP(Electronic Data Processing )セキュリティの専門家やEDP監査の専門家を育成が必要だった。#サイバー攻撃 #サイバー犯罪
2016-06-03 14:08:1712 コンピュータは安全な場所で使われるものだと考えられていた。しかし犯罪者が、犯罪にコンピュータを使うことを考え始めた。犯罪者は価値のあるデータに注目しだしたのだ。 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア #サイバーセキュリティ
2016-06-03 14:08:4913 一方、1960年前半には、経営者たちもコンピュータ・プログラムを大切な企業の資産として保護し、コスト評価を行う必要があると認め始めている。 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア pic.twitter.com/xeoeqhzDt4
2016-06-03 14:09:5614 コンピュータの物理的な価値ではなくて、そこで扱う情報の価値というものが、非常に重要視されるようになる。それを守るためにはコストをかける必要があると指摘している。 #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア #ウイルス #サイバーセキュリティ #コンピュータ
2016-06-03 14:10:4315 またこの本の第4章を読むと、セキュリティの標準的な定義は「危険、恐怖、不安などからの解放」としている。またセキュリティは回避、抑制、防止、検出、回復、訂正の6つの機能からなっている。安全対策も自動的なものと人手によるものと2種類がある。#サイバー攻撃 #サイバー犯罪
2016-06-03 14:11:5416 また偶発的な事故と意図的な行為の特徴について本でも言及している。偶発的な事故は発生する頻度が高く、統計的な分析が可能な場合もある。しかし、意図的な行為はめったにおこらないため発生確率が低く、統計分析が難しい点が挙げられている。 #サイバー攻撃 #サイバー犯罪 #セキュリティ
2016-06-03 14:12:4817 偶発的な事故は大半が防ぐことができる。しかし、意図的な行為は防ぐのが非常に困難である。損害の発生に関する知見が十分でないことが理由にある。 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ #マルウェア pic.twitter.com/lnQznr989k
2016-06-03 14:13:4918 また、エラーやミスなど偶発的な事故では、チェックリストである程度対応できる。しかし意図的な行為については、チェックリスト方式では不十分で有効ではない。安全対策は、攻撃や破壊から守ることが必要だとしている。 #白浜シンポジウム #サイバー攻撃 #サイバー犯罪 #セキュリティ
2016-06-03 14:14:1819 そして偶発的な事故について、損害の規模には限度がある。発見の確率と損害が終了するまでの時間は、損害規模に比例して大きくなる。これに対して、意図的な行為では、潜在的な加害者の確認は難しい。大きな損害があっても、発見することはできない場合がある。 #サイバー攻撃 #サイバー犯罪
2016-06-03 14:14:4620 前述したセキュリティ対策の機能をどういう順番で実施するかが重要になる。一般的にインシデントが発生した場合、回復→防止→検出→訂正→抑制の順に対策をとる。その後もなるべく犯罪を発生させないようにするには抑制していく必要がある。 #サイバー犯罪 #セキュリティ #マルウェア
2016-06-03 14:15:1921 この紹介した書籍で触れたことは、「今」言われていることと変わらない。むしろ新しいことに気が付くほどだ。これからは、全てのものがつながるIoT時代。プライバシー情報が、想定もしない人に、想定もしない目的で利用されるかもしれない。 #サイバー犯罪 #セキュリティ #IoT
2016-06-03 14:15:4022 セキュリティで重要視されることはさほど今と昔、変わらない。実現するための技術が当時は追いついていないだけで、やろうとすべきことは一緒なのだ。そこを理解することが重要である。 #サイバー犯罪 #セキュリティ #IoT #ランサムウェア #振り込め詐欺 #セキュリティ
2016-06-03 14:16:17