[レポート]基調講演1:「サイバーセキュリティの万華鏡を揺らす – 人間行動とサイバーセキュリティへの没入型調査」 – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「基調講演1:「サイバーセキュリティの万華鏡を揺らす - 人間行動とサイバーセキュリティへの没入型調査」」というセッションのレポートです。
2021.10.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

基調講演1:「サイバーセキュリティの万華鏡を揺らす - 人間行動とサイバーセキュリティへの没入型調査」

毎年1万件以上の新しいサイバーセキュリティ技術が開発されているが、サイバーセキュリティ関連の脅威が相関的に減少しているとは言えない。これは、サイバーセキュリティが単なるコンピュータサイエンスの問題ではないからである。セキュリティチェーンの中で最も脆弱な部分は人間である。しかし、人間は、サイバーセキュリティの脅威に対抗するための貴重な資産でもある。万華鏡では、パターンは絶えず変化し要素の並びも同様に常に変わり続ける。サイバーの世界では、万華鏡を揺らすかごとく、問題を特定したり解決したりする新しい方法を生み出す必要がある。 今回の講演は、やや異例なものになる。モーリシャスは、混沌から意味を見いだすことを第一の目的として、人間の行動とサイバーセキュリティの糸で物語を紡ぐ。マーズバー(西洋菓子)、ペレストロイカ、ニンジン、トランシルバニア、ロビン・フッド、タリン、麻雀、ワクチン接種反対、モントリオール市長、尻尾とパイナップル、これらがどのようにサイバーセキュリティと関係するのだろうか? モーリシャス教授は、道徳的ハッキング、脆弱性市場、サイバー犯罪の調査、政府や情報機関へのサイバーセキュリティ政策のコンサルティングなど、17年間の経験と研究に基づいて、サイバーセキュリティにおける人間の行動に関する重要な問題を凝縮した講演を行う。 サイバーセキュリティの課題に簡単な答えはない。しかし、行動データ工学、人工知能、行動経済学、進化としての神経多様性(ニューロダイバーシティー)といった新しい分野を通じて、サイバーセキュリティを向上させるために人間の行動の力を利用する方法について考えるきっかけを本講演では提唱する。

Presented by : アラナ・モーリシャス - Alana Maurushat

レポート

  • オーストラリアから参加しています
  • 今日話したいのは日本の政府がオーストラリアに人を派遣した話
  • 私の教授として・作家として・サイバー犯罪官などではなく、個人としての話
  • 俳優の話
    • 無料のチョコレートを配布してパスワードを公開してもらうという実験をしていた
    • 自分の情報を公開する人が多かった
  • 1万1千の新しい攻撃ツールが開発されている
  • サイバーセキュリティの状況はどんどん悪化している
  • なぜならコンピュータ・サイエンスの問題ではないから
  • 各国ともそれに気づいてきた
  • 議会のセキュリティの責任者に話を聞いた
    • 他の国からの来訪者を案内したり
    • 実際にツアーしてもらった
    • オフィスでは何をしているのか聞いた
      • コーヒーやお茶を出す、家族の写真を見せる
      • USBをもらって見せてもらう
      • USBをつないでしまうリスクを認識していなかった
  • USB由来の問題を見ていく
    • Stuxnet
    • イランの核開発が遅れた
    • マルウェアが拡散した
  • コロナ前は50個ぐらいUSBを持って歩き回った
    • つないだらポップアップで警告を出した
    • USBのリスクを伝えた
    • 拾った大多数は老人の旅行客
    • サイバーセキュリティの根幹は行動である
  • 色んな分野をまたがって仕事をしている
    • サイバーセキュリティでは色んな人が必要
    • 政府や産業や大学に係る色んな仕事をしている
    • 水平軸でいろいろ関わる
    • いろんな広さがある
  • コロナでわかったこと
    • みんな在宅勤務になった
    • サイバー犯罪も増えた
    • ビジネスが家にやってきた
    • サイバーセキュリティコミュニティの学生を派遣できなくなった
      • いろんなサイバーセキュリティの教育をしてもらった
      • 企業にもいってもらった
  • 企業の人に聞いてみた
    • サイバーセキュリティについて理解していなかった
    • セキュリティコントロールについて答えられた人はごく僅かだった
    • パスワードの強化や多要素認証は30社中1社のみしか実施できていなかった
    • サイバーセキュリティは小企業では対策できていない
    • 少しでも対策すれば対応できるのに
    • サプライチェーンのリスクに関わってくる
    • 今までこの部分がおざなりになっていた
  • 中小企業で使われているセキュリティコントロールを見てみた
    • 殆どのサプライチェーンは中小企業で賄われているから
    • 教材の分析をした
    • しかしながら実際にこの教材を使っても適切なセキュリティコントロールを導入できた企業はなかった
    • $200ぐらいだったらセキュリティ対策をしてもいい、と中小企業は判断した
    • 社風などいろいろ調べていく必要があった
  • 外部のセキュリティオペレーションセンターを構築した
    • 専門家が運用するが、学生も利用した
    • ランサムウェア・マルウェア・ビジネスEメールでの侵害などを扱う
    • 資金調達できたばかり
    • 1月から開始する予定
    • サイバーセキュリティに関する情報提供を無料で行えるようにしていきたい
  • Drunk Tank Pink
    • 実験
    • 飲みすぎてひどいことをする人を牢に入れる
    • 牢をピンクにすると80%ぐらい暴力が押さえられた
    • 同じようなことをサイバーセキュリティでできないか
  • Security Activation
    • 意識高揚のための取り組みをしているが効果は限定的
    • サイバー犯罪に取り組んでいるのは頭のいい人
    • フィッシングなどは回避されてしまう
    • サイバーセキュリティについて学んでもらう必要がある
    • セキュリティコントロールを組織全体に入れていく必要がある
    • 認知的不協和・サイバーセキュリティ工学
  • オーストラリア政府がランサムウェアに対する行動を起こした
    • ついに!
    • 自国だけでは対策できない
    • 協力していく必要がある
    • ランサムウェアは利益が上がる犯罪である
    • 経済的な成果を上げる源になっている
    • この対策に非常に時間を割いている
  • サイバー犯罪組織の構造
    • サイバー犯罪の大学がある
    • 見た目は大学
    • 詐欺について教えている
    • 卒業して認証をもらって犯罪に加担する
    • 仕事を斡旋する
    • 彼らのやり口を理解する必要がある
  • どんな政府でも暗号通貨にまつわるサイバー犯罪は民間を巻き込まないと対処できない
    • スケールが必要
  • 一番安全な携帯電話はなんですか?
    • iPhoneだと思った?
    • Androidは私も使わない
    • iPhoneはNo
    • ガラケーとか?
      • 相手にする犯罪者がいないよね
    • スマホに限ったら
      • MSが安全
      • 誰も使っていないから
    • 面白い話だけど真実
    • ターゲットにするのは行動を見て決める
    • 利益が上がらないから
    • 重要なデバイスをターゲットにする
    • サイバーセキュリティを理解するには犯罪者の心理のウラをかかないといけない
  • 今みんなゼロトラストって言っているよね
    • 誰も信じないデバイスを作ろうとしている
    • この考え方は問題だと思っている
    • ゼロトラストの世界は悲しい世界
  • サイバーセキュリティ業界にはシニアな人もいるが優秀な若者もいる
    • 政府と産業界がアジャイルに連携しなければいけない
    • より早く変化しなければいけない

感想

サイバーセキュリティがコンピュータサイエンスの問題ではなく人の問題であるという話はもっともですね。様々な参考例は非常にわかりやすかったですね。

落ちているUSBを拾ってつないじゃう話は有名ですが、すべての人でこれを利用しないようにできるか、と考えると非常に難しい問題であることが理解できます。本当に色んな角度・色んな分野で考えていく必要がありますね。

中小企業や色んな人達にセキュリティを伝えていくことも我々の責務だなと感じました。