第12回 まっちゃ445勉強会
第11回 まっちゃ445勉強会に続き、第12回目も参加させて頂きましたので感想(まとめ)を。
http://matcha445.techtalk.jp/saturday-workshop/12th-workshop
セッションによっては内容の公開が不可のものありましたので、公開可だと判断したものについてのみ書いていきたいと思います。
※公開不可の内容についての記述ありましたらご指摘頂けますと幸いです。
「LT1:ISMSの内部監査はどうあるべきか」 miryuさん
- ISMSの話は記事を読んだりはしていたものの、実際に業務に携っておられる方の話を聞いたことはなかったのでとても勉強になりました。PDCAのCの話ですね。
- 「検査」と「監査」の違い。
- 検査・・・策定されたスタンダード(マニュアル)通りに現場を矯正することを目的とする。
- 監査・・・スタンダードがそもそもどうなの?っていうことを確認し改善することを目的とする。
- 上記の通り「監査」は改善が目的であるので、「監査」に「合格」「不合格」はないという話は自分が想像していた内部監査のイメージと違ったのでとても勉強になりました。
- 内部監査
- 「規格が情報セキュリティ要求事項に適合しているかどうか」、「期待したとおりに実施されているかどうか」以外にも、「方針に合致したマニュアルが作られているかどうか」とマニュアルを疑うことも重要とされていました。(現場無視のマニュアルは改善していく必要がある)
- 確かにこれを出来るのは業務を知っている内部の人間だと思いますので、そこに内部監査の重要性があるというのはとても納得できました。
- ですので、内部監査を行う事務局は現場の視点をしっかり持ち、「経営層」と戦う覚悟が必要とされていました。(空気作りとトップダウンが必要)
- 今回話を聞いて、一番の感想は内部監査大変だなぁということでした。社員からは検査をされているように思われ、経営層からは煙たがられる。誰にとっても悪いことを言っていないのに。。ですが、ただ評価するだけでなく、改善案も考えていくプロセスはとても面白そうに感じました。
「LT2:うぶんつ みーつ あいぽん」 yumanoさん
- 最初は公開可能なのかわからず感想を書いていなかったのですが、yumanoさんから直々に公開可と教えて頂いたので感想を書きたいと思います。
- Ubuntu10.4でiphoneをマウントするとパスワードなしでデータが見れる!?というちょっとビックリな内容についてでした。
- 実際は下記のようです。
- 接続して見ることが出来るのは今のところ写真くらいだそうです。
- 自分はUbuntuは使っているものの、iphoneは持っていないので試すことが出来ませんが、パスワードと鍵が結びついていないのはすごく意外でした。今後写真以外も見えるようになると、、、。
- 当初アナウンスされていた内容からは変更されたそうですが、とても面白いセッションでした。
- iphoneを始めとするモバイルデバイスのファイルシステムや暗号化も面白そうだなと思いつつ、またiphone(touch)欲しいなぁと思いました。(新型待ち。。)
- 資料はこちら
「LT3:ブラウザー勉強会の報告と予告」 hebikuzureさん
- ブラウザー勉強会の報告と今後についてということで、今後の予定として話されていた「企業におけるFirefox/Thunderbirdの一括導入。管理、カスタマイズ」については個人的にすごく興味を持ちました。
- ホント、未だにI.E6とか勘弁して欲しいです。。。
『「願い」〜ペネトレーションテスターからセキュリティ担当者へ〜』
NTTデータ・セキュリティ株式会社 セキュリティ診断本部 NW診断部 課長代理
辻 伸弘 氏(TwitterID:ntsuji)
- ペネトレーションテストは、報告を受ける側の経験はあるものの、実際どのように業務を行われているかは知らないので、このセッションはとても楽しみでした。(ツールを使ったセキュリティ診断はしたことあるのですが)
- ペネトレーションのテストに対する誤解。
- 外部(インターネット)から攻撃するものだけではない!(プリンタや制御装置に対してもやる)
- 内部からのテストもやりますということで、確かにペネトレーションテストというと「外部からの進入テスト」をイメージしてしまう自分がいました。。
- 外部(インターネット)から攻撃するものだけではない!(プリンタや制御装置に対してもやる)
- どうやってやるか。
- それってツールで全部出来る?
- 機械はFalse Positive(嘘)とFalse Negative(沈黙)があるので、それを見破る力が必要。
- 嘘をつくことに対しては、嘘の内容を実際に人手で確認することが出来るし、工数は増えますが問題としては低いのかなと思いました。(スポーツでも積極的なミスは怒られないですし)
- 逆に沈黙に関しては、どう対応しているのかとても興味を持ちました。ツールの癖を理解し、自らの経験を基に探していくのかなと思ったり。
- 自分がツールを使って検査を行うときも「脆弱性はありませんでした!」とは決して言わず、「脆弱性は検出されませんでした」と言ったりと、「沈黙」があるのではないかというリスクはいつも感じています。
- セキュリティは99%完璧に出来ていても1%の穴があればダメということを考えると、ツールがどんなに進化しても人による確認作業やそのためのスキルが必要だということを改めて感じました。
- また、対策の対象をシステムだけでなく人も含めて考えることが重要ということもその通りだと思いました。パスワードはそのわかりやすい例だと思いました。
- 機械はFalse Positive(嘘)とFalse Negative(沈黙)があるので、それを見破る力が必要。
- 報告、対策
- 全体を通して
- ひとつひとつ丁寧に説明をしてくださり、さらに実際に検査をされている中での経験談なんかもありとても面白いセッションでした。対象のシステム以外にも、組織や人とも向かい合うことが求められることに面白さや難しさを感じました。
お菓子
- 前回も美味しかったですが、今回も美味しかったです!ありがとうございます。
ペネトレーション テスターより愛を込めて Part2
NTTデータ・セキュリティ株式会社 セキュリティ診断本部 NW診断部 課長代理
辻 伸弘 氏(TwitterID:ntsuji)
- 先ほどのセッションに続いてのライトニングセッションでしたが、ここでは具体的によく検知される脆弱性についての話をして頂きました。
- SSL v2.0が有効になっていることや、「Apache Expect ヘッダのクロスサイトスクリプティング」などもありますが、ぶっちぎりの1位として「推測可能なパスワード」が挙げられていました。これなんかはシステム的な対応もありますが、人が重要な役割を担っているためその対策も簡単にはいかないなと思いました。(導入時から一度も変更されていないパスワードなんかの場合は特に。。)
- Joeパスワード(ID == Password)は問題外ですが、パスワードの運用のルールって本当に難しいなぁと思います。仕事以外でもTwitterやGmailやDropboxなどたくさんのサービスを利用していると、パスワードの管理が大変になってきますし。今だとID/Password管理ツールを使用されている方が多いのでしょうか?
Google Chromium OS Forensics
Oroさん
- Google Chromium OSに対するフォレンジクスの難しさについてのお話だったかと記憶しています。
- Google Chromiumは名前は知っていたものの、OSとしてどういう仕組みを持っているのかを知らなかったので、前提として説明されていたGoogle Chromium OSについての説明がとても勉強になりました。
- フォレンジクスは言葉としては知っているものの、実際に業務としてどのように行われているのかということを知らないので、その辺りの話についても聞いてみたいなと思いました。(皆さんご存知なのかもしれませんが。。)
WASF
- 質疑応答の際に、WASF2010についての話もありました。別の勉強会に行っていたので、参加出来ませんでしたが、話を聞いているととても面白そうで、行きたかったなぁと思いました。残念。。
関係者の皆様、発表者の皆様、ありがとうございました。今回もとても勉強になりました。
