どの会社でもセキュリティー研修が行われていると思います。昨日オンライン研修があったので、早々テストまで行って終わらせました。
新しい用語が増えています。横文字が多すぎて意味がわかりません。元々が英語圏からの資料なのでしょう。日本語による定義が自体がおかしい事も多い。答えが間違っている事もあります。
不正解にされた問題もあります。引っかけ用の問題は辞めた方がいいと思います。要点だけ正しく正確に計るようなテスト作成にしていただきたいと考えます。
①RaaS (Ransomware as a Service)
ランサムウェア攻撃はビジネスモデルだそうです。既にビジネスとして成り立っているという認識のようです。これって、、ビジネスですか。。商売っていえば商売ですが。。
SaaS(Software as a Service) PaaS (Platform as a Service) などもサービスです。RaaSは、日本語からすると、とても紛らわしい名称です。
②平成4年に日本の自治体では見直しが入っています。
↓
地方自治体でのセキュリティ流出事故やUSB紛失、マルウェア感染という重大インシデントが多発した事から、平成4年に大幅なセキュリティ強化が図られたようです。ここでも「PDCA」サイクルは入ってきます。(日本人はPDCAと言う言葉が大好きです。)
マイナンバー(個人番号)利用事務系・LGWAN接続系・インターネット接続系の3つのネットワークに分ける「三層分離」が行われたようです。
※:LGWAN接続系「Local Government Wide Area Network」
<1>業務委託・外部サービス利用時の情報資産の取り扱い
●業務委託・外部サービスを再定義した上で、取り扱う情報に応じて適切なセキュリティ対策を実施するよう記載
● 外部サービス利⽤時のライフサイクルに渡るセキュリティ要件や利用承認手続に関する規定を記載
● 今後のクラウドサービスの活用を見据えて、第三者認証制度や監査報告書をクラウドサービス選定の指標・基準等として、積極的に活用するよう記載を見直し
<2>情報セキュリティ対策の動向を踏まえた記載の充実
●不正プログラム対策製品やソフトウェア等を導入するだけではなく、監視体制やCSIRTとの連携等の組織的な対応が必要である旨を記載
<3>多様な働き方を前提とした情報セキュリティ対策
●テレワーク実施場所等の運用面に関するセキュリティ対策を記載
●支給以外の端末(BYOD)利用時の情報セキュリティ対策として、支給以外の端末に情報を保存させない対策や電子証明書等を用いて庁内ネットワークへ接続する端末を制限する対策を記載
●Web会議に部外者を参加させない対策を記載
<4>マイナンバー利用事務系から外部接続先(eLTAX、マイナポータル)へのデータのアップロード
●リスクアセスメントの結果を踏まえ、マイナンバー利用事務系から外部接続先へのデータのアップロードを認めるとともに、必要となる情報セキュリティ対策を徹底
-----------------------------------
BYOD:従業員が個人で所有するパソコンやスマートフォンなどの端末を業務に活用すること。
これの徹底が日本は甘いと思います。(特に地方自治体など公的職場。)民間ではスマホ持ち込みで工場に入る事などあり得ません。(スパイ防止。)
CSIRT:Computer Security Incident Response Team
ここは日本の弱点でしょう。セキュリティ対策の専門のチームを常駐されている部署が少ない。(あるいは無い。)個人的には、法律によって強制的に常駐させるようにする事を提案します。(組織化も)
これだけ、注意喚起しても事故が起きるのは、地方自治体は、一般企業より監視が緩いからだと思います。企業であれば、端末は帰宅時に施錠してある専門の場所に管理するとか、決められたアプリケーションしか使えないよにするとか。徹底しています。それでもセキュリティ流出などの案件は起きます。
管理の徹底さが異なります。もっとも、セキュリティ管理をする側は多くの人に嫌われ役になります。誰だって自由にPCを使いたいでしょう。
ちなみに、『会社の管理下にない 、IT機器 (スマートフォン等) を業務に利用すること』は『シャドーIT』と呼ばれるそうです。
次期LGWANの検討がされています。
↓
https://www.soumu.go.jp/main_content/000866619.pdf
------------------- 抜粋します。
<現行LGWANにおけるセキュリティ対策>
①閉域ネットワーク
閉域・境界防御によりインターネット等外部からの脅威を防御しています。
②ファイアウォールによる防御
セキュリティゲートウェイにおいてLGWANの各種サーバ群をファイアウォールによって侵入の脅威から防御しています。
③通信経路の暗号化による盗聴防止
LGWANの通信経路を暗号化し、盗聴防止策としています。
④侵入検知機能(IDS:Intrusion detection System )
セキュリティゲートウェイにおいて地方公共団体間、都道府県ノード間での直接通信を制限し、全ての通信を侵入検知機能(IDS)で監視することで、不正アクセスの検知を行っています。
⑤SOC(Security Operation Center)の設置
専門家による24時間365日のセキュリティ監視を行っています。
⑥公開鍵暗号方式(PKI ※)による組織認証の実施
認証技術による情報の「盗聴」「改ざん」「なりすまし」「事後否認」を 防止しています。
<外部サービスを利用する場合のセキュリティ対策>
① IPリーチャビリティの遮断
• インターネットなどパブリック網から切り離されており、直接セッションを認めない。
② ファイル無害化処理
• インターネットからLGWANへファイルを受け渡す場合には、テキスト化又は画像化して送信すること。
• LGWAN-ASPがクリーンな環境で表組みなどの体裁を整えて(ファイルを再構成し、悪意の可能性があるデータ領域を除去して)送信することは可。
------------------------------------
------------------------- 抜粋します。
電子契約に関する要望
・電子契約について、LGWANにファイルを取り込む際に無害化処理を行い、原本性が損なわれるとともに電子署名が無効になる。
・電子契約サービス事業者から、「電子署名付き電子契約文書に対して、LGWAN-ASPでの無害化処理の対象外としていただけないか。」との要望。
LGWANの利便性向上について(検討案)
⃝ LGWANの利便性向上に関する自治体のニーズは、パブリッククラウド上のサービスを使いやすくしてほしいというものが主。
⃝ LGWANは、小規模自治体を含む全自治体のセキュリティを共同で確保するもの。セキュリティ確保
を前提とし、その枠の中で利便性向上策を検討。
⃝ 次スライドの検討案について、必要なセキュリティ対策と併せて検討中。これらは、次期LGWANを待たず、規程改正により、可能なものから順次対応することを検討する。
--------------------------------------
LGWAN-ASP~外部へ: 閉域接続
LGWAN-ASP: 無害化等<現行>又は・多重スキャン+サンドボックス等
が求められているようです。
利便性を高めるとセキュリティ強度が下がる。セキュリティ強度を上げると利便性が下がる。。地方自治体にとても頭の痛い問題です。
本当は、半年ぐらいかけて学習する内容のようですが。一気に問題まで解きました。(説明は速読すれば理解できます。)セキュリティ研修で意味の無い時間を割く方が無駄です。(ほとんどの確認問題に問題が見られます。=要改善。)
本来はセキュリティ意識を高める為の研修です。意味の無い確認試験は辞めてもらいたい。(もっと言えば1時間もあれば理解可能。)
いくつか勉強にはなりました。同僚の方は、朝から必死に資料読んで試験をしているようでしたが、、ある意味無駄な時間です。学習した内容以外の確認問題が多々だされます。また、おかしな日本語が使われています。(問題作成者さん。ちゃんと趣旨を理解していますか?)
C&Cという言葉が出てきて、困ってました。。(学習資料に書いてない)
C&Cサーバー:サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためボットネットワークをコントロールする指令サーバ
普通はサーバーといえば、悪さをしないという認識でしょう。悪さを意図的にするサーバーもある事は明確に説明するべきでしょう。
という訳で。。余り意味のない研修だと思います。(理解出来ない人は、理解できません。)なので、昨日は1時間で一気に終わらせました。他にやる事があります。
余りに凝った、職場内研修もどうかな。。と思います。恐らくIPAの試験辺りからの抜粋でしょう。ちゃんとしたコンサルをしてもらいたいと思います。お金取ってます。自治体はいいカモです。研修自体が目的になってはいけません。
また、2段階認証を個人のスマホで行わせている時点でアウトです。地方自治体のセキュリティ対策は甘々です。専門家がやっている訳でもないので、、まして、学校のセキュリティ対策となると。。とても品質が保てるレベルではありません。