[レポート]セキュリティ業界のキャリア20年 人材の育て方と育てられ方 – @IT Security Live Week

こんにちは、臼田です。

今回は@IT Security Live Weekというイベントのアーカイブがあるのを見かけたので聴講しました。28日まで公開されているようなので、気になる方は今すぐイベントサイトに登録して見てみてください。

この記事は以下の講演のレポートになります。

セキュリティ業界のキャリア20年 人材の育て方と育てられ方

＠ITが誕生した20年前、私はセキュリティ業界に足を踏み入れました。きっかけは管理するサーバに対する不正アクセスを発見したこと。それから20年、セキュリティ業界に育ててもらい、会社員、公務員、経営者と経験しました。セキュリティに関わる人を増やし育成するために取り組むことについてお話しします。

株式会社川口設計 代表取締役 川口 洋 氏

レポート

• 自己紹介
  • 川口洋氏
  • 2年前にサイバーセキュリティの会社を設立
  • 普段はコンサルティングや教育などを行っている
  • 公共機関やコミュニティでも活動している
• 色んな方々に育てていただいた
• 川口を育てた5つの言葉をキーワードに話していく

はじめ

• 大学院のころ研究室のシステム管理をしていた
• 教授からのメールをきっかけにサーバーを調査
  • サーバーの負荷が高かった
  • sn1fferというプロセスがたくさん起動していて負荷が高かったので再起動したとう連絡
• ディレクトリを調べた
  • lsで見れないディレクトリ
  • でもcdで移動できた
  • おかしいなぁと感じた
• 実際の画面
  • いろんなコマンドが置かれていた
  • sn1fferも置かれていた
  • snifferをモジッたもの
  • つまり盗聴プログラム
  • 研究室の大事なサーバーに仕掛けられていた
  • その他にも改ざんプログラム群
  • lsなども改ざんされていて、そのためディレクトリが見れなかった
  • 不正アクセスされていると実感した
  • pass.logというファイルが盗聴ログだったが、焦って消してしまった
    • 本来のインシデントレスポンスであればかなり悪手
    • その頃は知識も経験もなかったため
  • 実際の現場でもそのようなこともあるが、焦ってしまうとついそういう行動をとってしまうもの
• 備えていないことは対応できない
  • Micro Hardningという反復型のトレーニングを提供している
  • 全く同じ環境で何回も演習を繰り返すというコンセプト
  • 1回目は50点くらいしかとれない
  • 初心者でもベテランでもそれくらい
  • はじめての環境ではそんなもの
  • 備えていないと対応できない
• 1つ目の言葉
  • ラック創業者三柴元さんのお言葉

国破れて山河ありでは意味がない。国があってこその商売。だからサイバーセキュリティをやらなければならない。

• 就職活動中の最終面接で言われた
• 非常に共感した

就職後

• 川口洋のキャリア概要
  • ラックに入社してしばらくしてセキュリティ監視センターJSOC
  • いろんなインシデントに触れた
  • 講演する機会が増えるようになって、エバンジェリストの肩書をもらった
  • その頃は日本でエバンジェリストは少なかった
• 2つ目の言葉
• エネルギア・コミュニケーションズ 濱本氏

情報は発信する人に集まる

• 大学院の頃セキュリティのことが全くわからなかった
• 色んな情報を収集してみたがどうしようもなかった
• 社会人の勉強会に参加するようになった
• 勉強会の中でこのような言葉をもらった
• 実際に発信すると情報が集まることは実感している
• その後、@ITでセキュリティアナリストコラムを発信した
• @ITとアイティメディアでコラムやセミナーをやっていった

エバンジェリストとしての活動

• ここ最近は全国を飛び回っている
  • 年間50回の出張
  • 年間100回の講演
  • 地方で行うことが多い
  • 地方ではイベントやコミュニティがあまりない
  • 情報の格差が広がっている
  • 地方都市にこそ伝えていかないといけないと感じている
• セミナーでいつも話していることは？
  • パスワードの話
  • セキュリティの事件はパスワードに関連していることが多い
  • ただパスワードだけでは集客があまり良くないので色々絡める
• DNSレコード改変事件
  • つい最近発生した事件
  • DNS登録事業者の情報を変更してメールを盗聴しようとした
  • DNS登録事業者の不具合を利用して不正ログイン
  • NSレコードを変更した
  • MXレコードを取得する際に攻撃者のDNSサーバーから取得していた
  • 事件の発覚が早かったのは幸いだった
• この事件があんまり騒がれていない
• 他人事ではない
  • 今回の件で自身の環境を確認しましたか？
    • DNS登録情報を確認したか？
    • DNS登録情報を確認する仕組みはあるか？
    • DNS登録事業者の用意しているセキュリティ機能を使っているか？
      • 2要素認証やアラート
    • DNS登録情報を変更する手順を確認したか？
    • DNS登録情報が変更されたら通知が来るか？
  • 事件があったなーではなく、確認していますか？
  • DNSは外部に委託していることなので確認が漏れやすい
  • 今回の件を受けて川口氏はプログラムを書いてSlackに通知が来るようにした
• 日本年金機構に対する攻撃
  • 2015年にあった
  • 不正アクセスにより約125万件の個人情報が流出した
  • 今更語る人は少ない
  • でも今でも学べることは多い
  • ぜひ見直してほしい
  • NISCから厚生労働省に連絡が行った
  • しばらくして警視庁から連絡がきて一般公表
  • 対処できていると思っていたのに、できていなくて報告が遅れるのは非常に立場が弱くなる
  • すぐに公表したほうが良かった
  • 誰かがメールを開いてしまうのは仕方ない
  • 開いてしまったらどうするのか、を備えないといけない
  • 例えばサーバーのパスワードは同じではないですか？
  • 本件は管理者のパスワードが共通だった
  • レポートにはこのようなことがあるため今一度読んで参考にしてほしい

セキュリティに携わる活動

• 3つ目の言葉
• 人生の先輩からのお言葉

切れる刀(権限)は(安易に)抜いてはいけない

• 権限の例
  • セキュリティチーム
  • セキュリティポリシー
  • CSIRT
  • 監査権限
  • 業務命令(停止)権限
• 最近このような権限が増えてきた
  • このような権限をむやみに振り回すと、相対する組織が萎縮して隠すようにする
  • 一流はこの権限があることは当たり前にしながらうまくことを収める
  • 権限の扱い方は慎重に
  • 一般から見ると不気味で怖いものになる
  • 専門家として慎重に
• 4つ目の言葉
• 奈良先端科学技術大学院大学 門林氏の言葉

サイバーセキュリティの技術、製品、サービスがこれだけ出ているのに、事故が無くならないのはなぜだ？(おれたちに足りないことはなんだ？)

• そこでHardening Projectを作った
  • 実践的な堅牢化技術の価値を最大化すること
  • ビジネスの視点を持ってやる
  • 年に2回実施
  • Eコマースサイトに対してサイバー攻撃が行われる
  • 第三者の製品とサービスを調達しながら行う
  • 顧客対応や経営者への説明なども含まれる
• 2020年1月に沖縄県名護市に万国津梁館でHardening 2020 BOを開催
  • 20年前の2000年の九州・沖縄サミット首脳会合もここで行われた
  • この会合ではじめてサイバーという言葉が使われた
  • このときHARDENING宣言を出した
    1. 私たちの挑戦は、現場で本当に起きている脅威と向き合うことである。
    2. それは、強固な計画よりも柔軟な変化を必要とする。
    3. それは、役割分担よりも連携と協働を必要とする。
    4. それは、隠蔽しようとする誘惑、単純化しようとする誘惑、そして転嫁しようとする誘惑に抵抗することである。
    5. それは、現状よりも目的を、知識よりも経験を、コンテンツよりもコンテキストを、そしてアイテムよりもストーリーを重視することである。
    6. これによってはじめて、異なる視点、異なる意欲、異なる役割、異なる手段をもつ仲間を獲得し、困難に立ち向かうことができる。
    7. 私たちの挑戦は、この志と企てを共有し、前進することである。

安全と安心

• 5つ目の言葉
• ラックの先輩の言葉

我々は安全だけではない。安心も提供しなければならない。

• 安全とはなにか
  • 技術的に守られているか
  • 大事なことではある
  • もう一歩進んで、守るべき人の安心にも気をかけないといけない
• 安心を優先するがゆえに安全が疎かになることもある
  • これは難しいところ
  • ただ安心のために頑張っている人の心を気にする必要がある
• 安全のため？安心のため？
  • パスワード定期変更
  • 特に意味もない押印書類
  • PPAP
    • パスワード付きZIPとパスワードを送る手法
  • できればやめたいことはある
  • ただ安心が得られていることを忘れてはいけない
  • 別の形で安心が提供できると、無駄なことも減らせるのでは
  • それらを地道に変えていくことがセキュリティ業界の役目ではないか
  • ただPPAPはすぐになくなってほしい
• 安心を提供できる人になるために？
  • ご機嫌な人になろう
  • 機嫌が悪い人の周りにいて安心するということはない
  • ISOG-Jのご機嫌なメンバーを紹介
  • ご機嫌であることはセキュリティを推進していく人間にとって必要

まとめ

• 5つの言葉を紹介した
• 1つ目の言葉
  • 国があってこそ
  • 最近では国もセキュリティの体制を整えてきている
  • 一方で民間ほどの予算や体制もない
  • そういうところを手伝っていきたい
• 2つ目
  • 情報を発信していくことが大事
  • セキュリティ業界は間違ったことを言うと強めの発言が飛ぶこともある
  • みんなで優しくしていきたいところ
• 3つ目
  • 切れる刀、権限、力を持った人はそれを安易に抜いてはいけない
  • 見ている人には恐怖になるかもしれない
  • 恐怖を抱かせては、守らなければ行けない人にメッセージが届かない
  • 切れる刀を持っている人は使い所を慎重に
• 4つ目
  • 事故が無くならないのはなぜだ？
  • セキュリティの製品やサービスを使って守っていくことは大事
  • ただどのように使っていくか、人を当て込んでいくのかは考える必要がある
  • ビジネスや事業にあった形で適用していくことが求められる
• 5つ目
  • 安全だけではない、安心も提供しなければならない
  • 物理・環境だけではなく気持ちの面でも守っていく

感想

川口さんの実際の経験を元にセキュリティ業界は人材について考えさせられるセッションでした。

特に私は5つ目の言葉が響きました。

「我々は安全だけではない。安心も提供しなければならない。」

セキュリティを生業にするものとして、きちんと人にも視点を持てるようにしていきたいですね。

私もコミュニティやブログなどでいろんな情報発信をしていますが、改めてモチベーションにつながるお話でした！引き続き頑張っていきたいなと感じました。