情報セキュリティあるいは関連するシステムについて、最新動向を踏まえたコラムを記載します。
情報セキュリティ・チェック指南(2024年6月)
情報セキュリティを日常チェックした方がよい指針や内容をまとめてみました。
必ずチェックしたいサイト
米国(CISA)のサイバーセキュリティ・アラート&アドバイザリ
以前はus-cert(United States Computer Emergency Readiness Team)として米国の緊急情報を発信していたが、現在はCISA(Cybersecurity and Infrastructure Security Agency)としてトータル的なセキュリティ情報を発信している。
※日本のサイトより半日ぐらい早い情報が確認できる。
JPCERT/CC
日本での中心的なセキュリティ・サイト。特に注意喚起情報はチェックがマスト。CISAよりワンクッションあるが、内容が精査されている。
セキュリティ情報を発信しているサイトはいっぱいあるが、企業あるいは組織の情報セキュリティ担当者としては、まず上記二つの公的サイトのチェックは必要であろう。自システムで該当している内容があれば、対応・対策を検討するように提言したい。
脆弱性識別子
JVN(Japan Vulnerability Notes)
日本におけるソフトウェアなどの脆弱性情報でJVN(Japan Vulnerability Notes)ナンバーが付されている。発見からベンダ確認経由して提示される情報なので遅延がある。利用している製品ごとの脆弱性情報を確認していた方が対応も早くできる。
脆弱性の指標とされる共通識別子として以下がある。
CVE(Common Vulnerabilities and Exposures)共通識別子・・脆弱性情報には種別に関わらず付される識別子。CVEを検索すれば対象の脆弱性情報を確認できる。年ごとにシリアルナンバーが付されている。
CVE識別番号管理サイト
CVSS(Common Vulnerability Scoring System)共通脆弱性評価システム・・脆弱性の深刻度を数段階で評価している。対応可否の目安となる。緊急あるいは重要評価項目は対応検討が必要である。
CWE (Common Weakness Enumeration)共通脆弱性タイプ一覧・・種類別にした一覧。参考にしたい。
その他
オープンソース
Linuxなどオープンソースを利用してサーバーを構築している場合も多いと思います。
OSS脆弱性ブログ
特にLinux kurnel情報は多く掲載されている。情報としてまとめられているサイト。実際はディストリビューションが異なるので、対象サイトで対応・対策を確認する必要がある。
フィッシング情報
フィッシング対策協議会
緊急情報となっているが、報告されたものを精査した情報である。警察庁などのサイトもあるが、フィッシング対策が主である。「不審なメールは開かない、アクセスしない」が基本で、セキュリティソフトでspam判定されたものは無条件で削除した方がいいだろう。
参考
某セキュリティソフトの担当者は SNS(Xなど) の情報が早いので毎日確認しているとのこと。ただし、 SNSはフェイクやガセも多いので、自分で信頼できる発信情報を確保しておく必要がある。
雑誌系では、日経クロステック がインシデントなどの詳細内容を掲載している。
各対策については、以下を参照してみてください。
サイバーセキュリティ経営ガイドラインと支援ツール
情報セキュリティ対策支援サイト
言うまでもないが、自組織・自社のアクセスログやアラート情報は常に確認し、必要なアップデートやパッチの適用は迅速に怠りなくおこなうようにしなければならない。
IP-VPN(IP Virtual Private Network)動向(2024年5月)
拠点間の接続に、プロバイダなどの通信事業者の閉域IP(Internet Protocol)ネットワーク網を使った通信技術。専用線なしで外部から内部LANへのセキュリティアクセスを可能にしたもの。最近では、在宅ワークで自宅から会社サーバーへの接続で利用されるケースも多い。
情報セキュリティ・インシデントでは、VPN装置の脆弱性をついて侵入されるケースが多い。VPNという技術だけで安心して脆弱性の対応を怠ったためである。
つい最近、筑波大学の学術実験プロジェクトでVPN Gateが話題になっている。以下の3つの利点を提唱しています。
- 政府の検閲用ファイアウォールを回避し、海外の YouTube などの Web サイトを自由に閲覧できます。
- IPアドレスが VPN サーバーのものに書き換わります。インターネットで安全に情報発信をしたり、Web コンテンツを閲覧したりできます。
- 暗号化により公衆無線 LAN を安全に利用できます。
クライアント・ソフトウェアとして、SoftEther VPNが無料提供されている。ただし、セキュリティに関しては指摘されている点もある。概要は以下を参照してみてください。
最近のITについて(2024年3月)
IT(Infomation Technology)は、かなり広範囲の意味を含んでいる。一昔前のコンピューター技術とは異なり、デジタルで扱うすべてのものを対象にしている。
現在はインターネットなしに仕事や生活ができなくなっている。ただ、身近であるがゆえにその内容が拙速に思えてならない。
その内容を否定とか非難しているわけではないが、個人的に現状を分析しようという試みである。コンピューターを使った技術は応用や派生を繰り返している。「プログラミング」というわかりやすい業務もあれば、SE(System Engineer)という広い知識や経験を求める業務もある。
現在の技術の中で実際にITとはどこまで求められて、どこまでを対応するものなのか。
主な技術
TCP/IP・・IPアドレスという数値で接続されるコンピューターを管理する。また、そのコンピューター内にあるアプリケーションごとに管理できるようにIPアドレスに加えてポートアドレスを設けることができる。
NAT・・IPアドレス枯渇問題というのがあった。インターネットが全世界に普及してIPv4が足りなくなるというもので、IPv6へ移行しなければならないと考えられていたが、NAT技術でLAN内のIPアドレスをローカル管理すればすべてのコンピューター(ホストともいう)にグローバルアドレスを付加しなくてもタイムシュアリングでWANへアクセスできるようになる。つまり、NAT(Network Address Translation)はIPアドレス変換技術である。同様にポートアドレスの変換にNAPTがある。
各種サーバー・・クライアントにメールなどのアプリケーションサービスを提供する。
情報セキュリティ・・現状のシステムを複雑化しなければならなくなったのは情報セキュリティが必要になったためである。従来はFWだけで公開WEBサーバーは外におけばよかったのだが、サーバー攻撃はそれを許さなかったため、アプリケーション対してのフィルタリング、データの暗号化、正規に接続されているコンピューター(ホスト)かを認証しなければならなくなった。
実際にどこまでの技術を求められるのか。対応するシステムや業務にも拠るだろうが、少なくともネットワーク・セグメント、IP(ホスト)、サービスを提供する仕組みはおさえておきたい。
主な職種
SE・・システム・エンジニア。システムのことを網羅し、運用・管理するエンジニア、ということになっている。しかし、実際にSEとして為している人は100人にひとりいるかどうかだろう。大多数は作業上のSEである。SEはニーズがあるため、エンジニア会社はたくさんの企業へ派遣する。
SI・・SIerとも。システム・インテグレーター。システム構築する人たちである。別にSEが構築しても問題ないのだが、ノウハウ等があるので分担している。
プログラマー・・プログラミングできる人。プログラミング言語ごとに特化した人が多いが、理想的にはどのプラットフォームでもどの言語でも対応できるのが望ましい。アルゴリズムを理解していれば、あとは言語仕様をみて作ればいい。あくまでも理想的ということである。
他エンジニア・・NWエンジニア、セキュリティ・エンジニアなど特化した知識を要するものがある。
オールマイティを要望されるが、それは難しい。しかし、関連する技術は理解しておく必要がある。
プログラマーはセンスがあれば誰でもなれる可能性があるといわれている。しかし、アーキテクチャーを理解して、モジュールやタスクを意識して作成するのは経験が必要だろう。特に組込みソフトウェアはハードウェアも意識しなくてはいけないので、職人的な意味で人材不足なようだ。
最近のスイッチやルーターなどの設定は、SSHなどを利用してWEB上(ブラウザ)で管理画面からおこなえる。VPNを利用すれば遠隔でも可能である。GUIも充実しているので運用するだけであれば意味を理解できていれば問題なくおこなえる。画一的な操作なので、AIで最適な設定をおこなうことも可能だろう。もしかするとすでに実施されているかもしれない。
また、クラウド(AWS、Azureなど)の活用も盛んになっている。AIがクラウド上にシステム構築して必要なアプリケーションを作成し、最適な設定をするような時代も近いだろう。そのとき、人はログなどを監視する作業者に過ぎなくなるかもしれない。いま重宝されているエンジニアは必要なくなるかもしれない。
2024.02.01
『情報セキュリティ10大脅威 2023』発表。対策・施策。技術傾向など。