第8回 北海道情報セキュリティ勉強会(せきゅぽろ)に参加しました。
セキュリティ対策の王道(理想)と現実を考える
今回は日本マイクロソフトの小野寺匠さんによる現在のセキュリティ脅威と、
その対策の理想と現実についてのお話を聞きました。
今回も「オフレコ」話が多かったです。
最新のハッキング手口
サーバー管理者の立場からというよりは、「穴になりうる一般ユーザー」の立場から話を聞きました。
このごろのハッキングは「自分を誇示したい」という目的ではなく
確実に「お金になる(する)」ために行われることが多いそうです。
最近は、APTという入念な準備を行い、時間をかけてじっくりと(ネチネチと)攻めるタイプが最近出てきているそうです
(APT: Advanced Persistent Threat ※Annotation Processing Toolじゃない。)
気がつかれないような、かすり傷みたいなところを突破口にして最後には根こそぎ。
自分がかすり傷の原因になることだってあり得る、ということがとても恐ろしい。
便利な管理ツールは、便利である反面・・・というのはなるほど興味深かった。
ほんとにハサミは使いよう。
セキュリティ対策
「最新を維持する」「ID/ネットワークの管理をきちんとする」「構成管理」「資格管理」「モニタリング」
それぞれについて、「理想」と「現実」のお話を聞きました。
「現実」はきっと現場の人には「あるある」話ばかりだったんじゃないかな。
自分も似たような状況を見たり聞いたりしたことがありました。
予算の関係や上層部の意識ですぐには変えられないけれど、ハッキングもまた「目の前の現実」。
侵害、侵入前提で対応や体制を考えることが大事、想定外ではないとおっしゃっていたのが印象的でした。
グループセッション
セッションを受けて、グループでいろんな話をしました。
ディスカッション苦手なのですが、話しやすいメンバーだったので安心しました。
泥棒がピッキングの技術を磨いたようにハッカーがハッキングの技術を磨いている。
道具は変われど、やろうとしていることは同じ。
最初の突破口は人間の心理的なソーシャルな部分であることが多い、というような話をしました。
インターネットの様々なサービスで同じパスワードを使うのはとても危険とわかっているけれど
それがなかなか一般の利用者に広がらないのは
「あんなに大事な銀行の暗証番号が数字4桁」
その感覚が抜けないからなのかもなあ。
(危険度が全然違うけど、当人にとっては同じなのかも)
というようなことを考えました。
会場、懇親会、そしてスイーツ
会場はJRタワーオフィスビルの20階。
素晴らしい眺めでした。
この素晴らしいオフィスでケータリング懇親会。
ビールを飲んで、キネクトやって、LT聞いて。
ゆったりと楽しむことができました。
おやつは梅屋のシュークリームやケーキ。
今回はクリームたっぷりのシュークリームとエクレアをいただきました。
(いつも「女子枠」として残ったケーキをいただいています。ありがとうございます。)
せきゅぽろは札幌で一番スィーツが充実している勉強会だと思います!
毎回、お腹いっぱい笑顔です!
次回は10月。とても楽しみです。