更新 2016年6月21日作成 2016年6月3日

時代は変われど、セキュリティの本質は不変―記事・20回目を迎えた白浜シンポジウム　第3回

2016年5月19日から3日間行われた「サイバー犯罪に関する白浜シンポジウム」　デロイトリスクサービス代表取締役の丸山満彦氏が登壇し、サイバーセキュリティのこれまでとこれからについて講演を行いました。気になるニュース・まとめを検索　Justy Finder 　http://goo.gl/YfsraX 　標的型攻撃対策は　Defense Platform（DeP）　http://goo.gl/kUO2do

インターネットセキュリティランサムウェアマルウェア和歌山県白浜サイバー犯罪ウイルス IoT サイバー攻撃

HHNewsReports
22162
1
10
0
2

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

時代は変われど、セキュリティの本質は不変 ―記事・20回目を迎えた白浜シンポジウム　第3回 #白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #マルウェア　 #サイバーセキュリティ pic.twitter.com/qEIONwAmbL

2016-06-03 13:54:58

拡大

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

1 2016年5月に行われた「サイバー犯罪に関する白浜シンポジウム」。デロイトトーマツリスクコンサルティング社長の丸山満彦氏（写真）が「私から見たサイバーセキュリティのこれまでとこれから」という題で講演を行った。発言趣旨は以下の通り。#サイバー犯罪　 #セキュリティ　 #マルウェア

2016-06-21 09:57:28

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

2 （丸山氏が）社会人になったころの1992年、監査法人トーマツをはじめ、会計法人はパソコンをつかって監査の書類をつくるようになってきた時代だ。 #白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ #IoT pic.twitter.com/Nxn47cWzZt

2016-06-03 13:58:10

拡大

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

3 1992年当時は汎用機の時代だったが、セキュリティの問題は当然にあったという。当時のOSでいうと、大規模VM（Virtual machine）、ミドルウェアはCICS、DatabaseはIMS（Information Management System）が当時は使われていた。

2016-06-03 13:58:49

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

4 また当時使われていたセキュリティの汎用ツールは1976年にリリースされたRACF（Resource Access Control Facility）。そしてACF2（Access Control Facility）だ。ホワイトリスト型のセキュリティツールだった。#セキュリティ

2016-06-03 13:59:30

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

5 この頃、仕事でつかっていたPCはNEC PC-9801 NS/L。A4のノートブックで当時でも軽いものだった。一方米国の監査で使っていたノートブックはToshiba T5200。OSはMS-DOS/V 5.0の時代だった。#監査　 #サイバー攻撃　 #サイバー犯罪　＃セキュリティ

2016-06-03 14:00:42

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

6 さて、セキュリティを振り返ると、1981年頃のセキュリティに関する書籍には何が書いてあるのだろうか。　#白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #マルウェア　 #サイバーセキュリティ　＃IoT　#ウイルス　＃サーバー

2016-06-03 14:02:43

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

7 ここで『コンピュータ・セキュリティ犯罪対策と災害対策』を紹介したい。ドン・パーカー氏が著し、日本情報処理開発協会が監訳を行っている。この本は1982年発行だが、原著は1981年に出版されている。 #サイバー犯罪　 #セキュリティ pic.twitter.com/I216QSzsZC

2016-06-03 14:03:43

拡大

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

8 このとき「米国のコンピュータ犯罪の権威であるドン・パーカー氏の書籍。セキュリティハンドブックのよき参考書にしてほしい」と推薦の言葉を書いているのは、当時通産省の機械情報産業局課長の広瀬勝貞氏。現大分県知事だ。#米国　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　＃マルウェア

2016-06-03 14:05:12

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

9 ドン・パーカー氏の前書きを読むと、コンピュータ・セキュリティは人間の心理と社会環境に大きく関係するもので、技術的な問題ではないということがわかる。問題を解決する糸口は、人間自身の行動や態度にあるとされている。　 #米国　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #IoT

2016-06-03 14:05:46

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

10 「序」を読むと、意図的な脅威に対しては、料理の本に見られるような、「こうしなさい」「こうしてはいけません」というチェックリスト方式のアプローチではセキュリティは不十分であることがわかる。 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #IoT　＃PC　＃脅威

2016-06-03 14:06:51

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

閑話休題【広告】サイバー攻撃対策といえば、ホワイトリストで確実にウイルスを防ぐDeP（Defense Platform）が有効です。ぜひ無償版をお試しください！→DePスマホサイト　goo.gl/kUO2do pic.twitter.com/NEJr1xvgaH

2016-06-03 14:07:34

拡大

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

11 本編の第1章を読むと、当時のコンピュータ技術者は比較的安全な環境下にあると考えられていた。当時のセキュリティ対策として、EDP（Electronic Data Processing　）セキュリティの専門家やEDP監査の専門家を育成が必要だった。#サイバー攻撃　 #サイバー犯罪

2016-06-03 14:08:17

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

12 コンピュータは安全な場所で使われるものだと考えられていた。しかし犯罪者が、犯罪にコンピュータを使うことを考え始めた。犯罪者は価値のあるデータに注目しだしたのだ。 #白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #マルウェア　 #サイバーセキュリティ

2016-06-03 14:08:49

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

13 一方、1960年前半には、経営者たちもコンピュータ・プログラムを大切な企業の資産として保護し、コスト評価を行う必要があると認め始めている。 #白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #マルウェア pic.twitter.com/xeoeqhzDt4

2016-06-03 14:09:56

拡大

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

14 コンピュータの物理的な価値ではなくて、そこで扱う情報の価値というものが、非常に重要視されるようになる。それを守るためにはコストをかける必要があると指摘している。 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #マルウェア　＃ウイルス　＃サイバーセキュリティ　＃コンピュータ

2016-06-03 14:10:43

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

15 またこの本の第4章を読むと、セキュリティの標準的な定義は「危険、恐怖、不安などからの解放」としている。またセキュリティは回避、抑制、防止、検出、回復、訂正の6つの機能からなっている。安全対策も自動的なものと人手によるものと2種類がある。#サイバー攻撃　 #サイバー犯罪

2016-06-03 14:11:54

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

16 また偶発的な事故と意図的な行為の特徴について本でも言及している。偶発的な事故は発生する頻度が高く、統計的な分析が可能な場合もある。しかし、意図的な行為はめったにおこらないため発生確率が低く、統計分析が難しい点が挙げられている。　#サイバー攻撃　 #サイバー犯罪　 #セキュリティ

2016-06-03 14:12:48

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

17 偶発的な事故は大半が防ぐことができる。しかし、意図的な行為は防ぐのが非常に困難である。損害の発生に関する知見が十分でないことが理由にある。　#白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ　 #マルウェア pic.twitter.com/lnQznr989k

2016-06-03 14:13:49

拡大

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

18 また、エラーやミスなど偶発的な事故では、チェックリストである程度対応できる。しかし意図的な行為については、チェックリスト方式では不十分で有効ではない。安全対策は、攻撃や破壊から守ることが必要だとしている。 #白浜シンポジウム　 #サイバー攻撃　 #サイバー犯罪　 #セキュリティ

2016-06-03 14:14:18

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

19 そして偶発的な事故について、損害の規模には限度がある。発見の確率と損害が終了するまでの時間は、損害規模に比例して大きくなる。これに対して、意図的な行為では、潜在的な加害者の確認は難しい。大きな損害があっても、発見することはできない場合がある。 #サイバー攻撃　 #サイバー犯罪

2016-06-03 14:14:46

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

20 前述したセキュリティ対策の機能をどういう順番で実施するかが重要になる。一般的にインシデントが発生した場合、回復→防止→検出→訂正→抑制の順に対策をとる。その後もなるべく犯罪を発生させないようにするには抑制していく必要がある。 #サイバー犯罪　 #セキュリティ　 #マルウェア

2016-06-03 14:15:19

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

21 この紹介した書籍で触れたことは、「今」言われていることと変わらない。むしろ新しいことに気が付くほどだ。これからは、全てのものがつながるIoT時代。プライバシー情報が、想定もしない人に、想定もしない目的で利用されるかもしれない。 #サイバー犯罪　 #セキュリティ　 #IoT

2016-06-03 14:15:40

「言いたい放題！」セキュリティチャンネル@トラキチ @HHNewsReports

22 セキュリティで重要視されることはさほど今と昔、変わらない。実現するための技術が当時は追いついていないだけで、やろうとすべきことは一緒なのだ。そこを理解することが重要である。 #サイバー犯罪　 #セキュリティ　 #IoT　#ランサムウェア　＃振り込め詐欺　＃セキュリティ

2016-06-03 14:16:17

いま話題のタグ