SecDogo Digest 第3号 2015 年 3 月 12 日 木曜日 ○ ナイトセッション 1 長谷川長一氏、園田道夫氏による「楽しく語ろう、情報セキュリティ人材育成」が開催された。 セッションの目的は、現在重要となっている情報セキュリティ人材育成について会場の皆様と議論 しつつ考えていくということであり、人材育成の取り組みの紹介のあと会場との議論が行われた。 人材育成活動として以下の取り組みが紹介された。 ・NPO 日本ネットワークセキュリティ協会(JNSA)教育部会 遠隔授業 ・セキュリティ競技会「Hardening」 ・シリアスゲームジャム ・LAC サバイバルチャレンジ ・セキュリティキャンプ 経済産業省・IPA の調査から見た求められる人材像は、セキュリティ専門家や、現場で仕事をし つつセキュリティを考えられる人である。現場でのセキュリティを行うには教科書にない問題へ対 応する能力を持つ必要がある。すなわち、独習力、独学力がある人間である。独学力の養成には、 ことのつまり独学せざるを得ない状況が必要である。養成する側としては仲間や競技、発表機会な どのあらゆる動機づけを行っていく。 例えばキャンプで Capture The Flag(CTF)を行う。その結果、モチベーションが向上し、解 けた時のうれしさや、負けた時の悔しさという感情が深く記憶に刻みつけられる。入門としては CTF For GIRLS や学生が教える CTF For Beginners などがある。CTF だけでなくアセンブラ短 歌やスコアサーバーハッカソンなどの応用的なコンテストもある。他に、攻撃検知コンテストとい う機械学習アルゴリズムを持ち寄り、その精度を競うコンテストもある。 SecDogo Digest, 情報セキュリティシンポジウム道後 2015 金銭的評価はクリエイティブな作業をするモチベーションにはなりえない。ゲーム的要素や自由 にやらせる(勝手にできる)ことがモチベーションにつながる。 会場からは、CTF だけでいいのか、セキュリティ監査(盗聴窃盗、シュレッダーにかけた書類 の復元などの可能性)をするとセキュリティに興味を持つのではないか、キャリア形成のための任 期制の弊害、などについて議論があった。 ○ ナイトセッション 2 上原哲太郎氏、高倉万記子氏による「自治体のマイナンバー対応現場が修羅場過ぎる」が開催さ れた(マイナンバーのアイドル「マイナちゃん」はウサギです)。 社会保障・税番号制度導入に向けたロードマップによると、2015 年 5 月に番号を付ける作業を 行い、2015 年 10 月に番号カードを渡す予定である。全体の進捗がどんどん後ろにずれている状況 にあるが、2016 年の運用開始は決まっている。 国が定めた特定個人情報保護法にあわせて、各地域の個人情報の条例を変更しようとしているが、 各地の条例は同じではない。そこで一定のテンプレートを作り、便を図ろうとしたが、それが逆に 混乱を招くことや、いっそのこと条例を外注することを考える地域もある。これに関連して、国の 調査ものが地方自治体に五月雨式に降って来ている。国や地方自治体などと連携を図るためデジタ ル PMO を作ったが、使い勝手が悪い状態にある。 システムには安全管理措置が必要である。特定個人情報保護評価のために PIA(プライバシー影 響評価)を行う。実施手続きは地方の人口によって作業量が異なる。愛媛は小さい自治体が多いが、 例えば松山市は人口が 30 万人以上なので全項目評価が必要になる。しかし自治体は評価を行った ことがないので、どの程度行えばいいのか、証拠をどのように残すのか、合格ラインが分からない。 番号は個人に対して一意に決めるものであるが、2 重付番も有り得ると予想している。たとえば 住基ネットでは国民を一意に特定しているというのは嘘で、海外に出たり入ったりしている場合は、 2 重以上の付番になっている可能性がある。カードは原則住居に送られるが、いまでも 5%は届い ていない。マイナンバーは今年 10 月~12 月の間に配布され、来年 1 月から運用になっているが、 現場は混乱の状況にある。会場では、カードを配布しても 1 割程度は戻ってくる、戻ってきたカー ドの処理は国で決めてほしい、マイナンバーによって誰が得するのか、などの議論が行われた。 SecDogo Digest, 情報セキュリティシンポジウム道後 2015 ○ ナイトセッション 3 相戸浩志氏、米澤一樹氏による「見える!私にも見えるぞ!フィッシング詐欺、不正送金を整理 してみた」が開催された。 現在,フィッシング詐欺や不正送金などインターネットバンキングに関する被害が増加傾向にあ る。97 年に日本初のインターネットバンキングが利用できるようになった。その後 04 年に最初の 日本語のフィッシング詐欺が発生した。それ以降被害は増加しており、13 年にはインターネット バンキングの被害額が盗難キャッシュカードの被害額を超えた(金融庁統計)。また、H26 年中の インターネットバンキングにかかる不正送金事犯の発生状況などについて、発生件数及び被害総額 はそれぞれ 1876 件、約 29 億 1000 万円に到達した(警察庁統計) 。 インターネットバンキングに関する問題の攻撃方法は大きく以下の 4 つに分類される。 1. 偽サイトで認証情報を盗む 2. スパイウェアで認証情報を盗む 3. スパイウェアで送金先口座,金額を改ざん 4. スパイウェアで認証中に勝手に送金(自立型) また、このような手口とは別にローテクな手口も存在している。例えば、ローン審査のふりをし て本人確認書類を郵送しなさいと電話される、といった手口であり、他にも還付金詐欺などは現在 も被害が続いている。万が一被害が生じ、補償してもらうための準備と対策として以下の項目が挙 げられる。 ・早期発見、証拠や状況を覚えておくためにも、月に 1 回は残高を確認する。 ・パスワードを紙に書いて貼ることはやめる。 ・法人なら、管理要件を書いてくれている銀行もある。 ・インターネットバンキングに使うパソコンは、社内 OA とは別に専用の 1 台を買って、そこでネ ット閲覧とかメールを行う。 初期のフィッシング詐欺に比べ、最近では巨額の被害額となっている。被害を防ぐために、銀行 は対策の利便性向上や安全な利用方法の広報が重要である。金融機関、警察や政府の対策、情報連 携は強化されているので、利用者としては最低限の管理をきちんと行うことが重要である。 SecDogo Digest, 情報セキュリティシンポジウム道後 2015
© Copyright 2024 ExpyDoc