ここが変だよ日本のセキュリティ 第41回 「これでパスワードの不安はパッと消えますよ!」(前編) | ScanNetSecurity
2021.01.19(火)

ここが変だよ日本のセキュリティ 第41回 「これでパスワードの不安はパッと消えますよ!」(前編)

そう、営業トークに不安を煽られてはいけない。自分で考えるんだ。それは本当に必要な対策か?むしろ大事なことは、基本的な対策でありながら、多くの組織ではできていないここと、パッチ適用とパスワード管理問題だろう。

国際 TheRegister
写真:2020年7月17日開催のScanNetSecurity編集長就任10周年オンライン飲み会の練習に余念がない2次元殺法コンビ先生
写真:2020年7月17日開催のScanNetSecurity編集長就任10周年オンライン飲み会の練習に余念がない2次元殺法コンビ先生 全 1 枚 拡大写真
 何だね君はぁ!「ども、重苦しい自粛の雰囲気を吹き飛ばす高校生カップル、二次元殺法コンビですよ!何しろ 2 次元カップルは、デートしても存在がバーチャルだから、どんなに濃厚接触しても感染が広がることはありません!」今回は長年の課題であるパスワードについて徹底的に説明します。もうね、長すぎて三部作になったよ。

● 2019 プレイバック!! 2019 ってそんな昔だっけ?

 久しぶりなので、冒頭にちょいとサービス。IPA とか JNSA などで 10 大脅威とか 10 大ニュースとか 10 大インシデントとか、年初によく見かけたと思う。でも、2019 年を振り返ってみれば、SMS を使用した不正送金は急増したけど、サイバーセキュリティに大きな被害は少なかった。G20 サミットを狙ったサイバー攻撃も、ラグビー W 杯を狙ったサイバー攻撃も、大した攻撃は無かった。台風による災害や交通事故、殺人事件など凄惨な被害や事件が多かった中で、令和元年の祝賀ムードを壊したくなくって、国民は One Team となってラグビー日本代表の活躍だけを見つめた年末だった。

 おっと、1 年前の三菱電機、NEC、神戸製鋼所、パスコの防衛産業を狙った不正アクセスは、防衛に関わるような極端に機密性の高い情報を扱う企業以外は、参考にしなくていいぞ。攻撃側に大きなメリットが無い限り、費用対効果から考えて高度で執拗な攻撃は、中小企業はもちろん多くの大企業でも関係無い。攻撃者だって、ビジネスや国の仕事でやっているんだ、無駄働きはしない

 情報漏洩でいうなら、宅ふぁいる便 480 万件、神奈川県庁のHDD、このどちらも、漏洩した当事者の管理はあまりにずさんで、高度で執拗なサイバー攻撃なんかじゃない。

 ビットポイントの仮想通貨流出については事件の真相が明らかではない。トヨタ紡織の子会社と楽天が被害にあったビジネス詐欺は・・・別にサイバーに区分しなくても構わないんじゃない? 普通の詐欺でしょう

 サイバー攻撃らしくて、対策しないと防げなかった事例は、7Pay と Emotet くらいじゃないか。先進的な対策として注目された脅威インテリジェンスとか、脅威ハンティングとか、Red Team とか、2019年サイバー事件簿には、あんまり役に立たないんじゃなくなくねぇか。唯一、まぁ EDR だけが Emotet に役立ちそうだけど…。

 という訳で、2020 年コラムを書いている最中も、状況がコロコロ変わる。ロンドン オリンピックを狙ったサイバー攻撃は 2 億回! なんてパワーワードも簡単に吹っ飛んだ。こういう余力が無い時ほど、基本に立ち返ろう。やらなければいけないことは何だ。体力的に弱っているところには、少しの上乗せでも大きなダメージになる。よくいうラストストロー、「我慢強いラクダの背中を壊すのは最後の一本の藁」ということわざもある。CSIRT は今こそ考えに考え抜いて、必要な対策が足りているかを見極める時だ。

 筆者は、基本的にパッチ適用とパスワード管理が適切に行われていれば、換金性の高いインターネット・バンキングや仮想通貨関連企業、クレジットカード情報を扱う EC サイト以外は、そうそうはインシデントは起きないと考えている。そもそも情報漏洩を防ぐ目的は、個人情報や取引先といったお客様の情報は、取り返しがつかないから守るんだ。自社の機密情報なんて、研究や特許といった知的財産と、企業買収などインサイダーに絡むレベルの営業機密以外は、漏れても結構どうでもいい。リスク分析で万が一とか考えていくと、リスクはどんどん膨らんでいくし、どこの部署の担当者に聞いても、自分の部署の情報は最重要情報だと言うよ。「この中で情報漏洩したことの無い会社だけが、まず、この会社に石を投げなさい」

《2次元殺法コンビ》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男

    世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男PR

  2. カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

    カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

  3. 神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意

    神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意

  4. kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

    kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

  5. ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

    ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

  6. #NoMoreFake 第3回「ファクトチェック」

    #NoMoreFake 第3回「ファクトチェック」

  7. マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

    マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

  8. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

  9. 東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償

    東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償

  10. IDC予測、2024年までのセキュリティ製品サービス市場規模

    IDC予測、2024年までのセキュリティ製品サービス市場規模

ランキングをもっと見る