先月の名古屋情報セキュリティ勉強会は諸事情でパスしたので、今回は逆にISACA名古屋の講演会をパスして、大阪まで遠征しました。
※行ってみたらISACA名古屋メンバー含め、名古屋からの遠征組がたくさん!
今回のテーマは、主に情シス向けのものでしたので一応事前に情シスメンバーを誘ってみましたが、家庭の事情でNGでしたので代わりに話を聞いてくることになりました。
講師は日本マイクロソフトの香山さん。私は以前、名古屋の勉強会で同じMSの澤さんの回に(休日出勤のせいで)行けなくて残念な思いをしたので、半分だけリベンジです(あ、この言葉はもう死語か)。
まずはアイスブレイクから。お金があったらどの国の車を買う?ということで、私は国産車か(「イタ車ほどガチじゃないラテン系」ということで)フランス車のどちらか、だったのですが、実際に乗っているのは国産車と国内ブランドの東欧車(?)です。
本題に入るとまずはADの説明でしたが、このあたりは参加できなかったうちの情シスも私も普通に知っている内容だったので省略します(私も情シス時代にNTドメインからADへの移行や2003への対応などは自力でやりました)。
次に、攻撃手法と対策などの話が出ましたが、このあたりは以前別のところ(Internet Weekなど)でも聞いた話がいくつかありました。
・大量PC配布の際にキッティングで共通のイメージを使うケースが多く、ローカルAdministratorのアカウント・パスワードが同じ→侵入後に横展開を受けやすい
⇒対策としてLAPSが使える
・入口対策と出口対策以外の「真ん中対策」が見過ごされることが多い(セキュリティ対策の落とし穴)
・サイバー攻撃ばかりクローズアップされるが、実際のセキュリティ事故で「脅威」となっているのは、ほぼ(3/4ぐらい)偶発的なもの=うっかりミス
また、情報セキュリティのCIAについて、日本語では本来の捉え方と違う「訳」がなされていることも(特にC=機密性とI=完全性。英語の辞書(日本の英和辞典のことではない…はず)では、Confidentialityでの「機密性」やIntegrityでの「完全性」を指す言葉は、かなり後ろのほうに記されている)。CIAが崩れる原因はほとんど認証の問題から始まる⇒「I」が崩れるのが発端、という話でした。
先に記したように「I=完全性」という理解だと、この説明は「あれ?」という感じになってしまいますが、「I=元の情報のまま」という理解なら、「認証情報を書き換えられる=Iが損なわれる」という形でイメージできます(その結果としてCやAも損なわれる)。
多層防御の話は、女川町の復興計画(防波堤を高くしすぎない・海側から陸側へ段階的に高くなる盛り土で被害軽減)になぞらえて説明されていました(ウイルス対策→OSパッチ→OSアカウント管理→認証強化→データ暗号化)。字で書くとわかりづらいですが、図示されていたので(ソースはご本人オリジナルのものではなかったようですが)わかりやすい説明でした。
※日本の場合、「課題」に優先順位を付けてその順番に「対策」を進めようとするが、アメリカの場合は「最優先課題」以外を捨て、その「最優先課題」(ADセキュリティで言えば権限昇格の防止)について多層防御する、という側面も。
休憩(おやつタイム)の後は、
・Windows 10でのセキュリティ機能追加
⇒Credential Guard
・従来のWindowsでのセキュリティ機能の活用
⇒UAC(ユーザーアカウント制御)、BitLocker・EFS(暗号化)
に続いて、「意外に使われていないセキュリティ機能」の説明がありました。
・パスワードの変更禁止期間
⇒確かに、あまり意味を理解していなくて使っていなかった
・きめ細やかなパスワードポリシー(特定ユーザー・グローバルセキュリティグループに個別のパスワード・アカウントロックポリシーを適用可能)
⇒これを実現するために昔はドメイン分割をしていたが、今はその必要はない
・ユーザーのログオン時に以前のログオンに関する情報を表示する
⇒Webのサービスなどでよくあるやつを、Windowsログオンでも
blogs.technet.microsoft.com
※画像リンク切れあり
・グループポリシーにより管理者アカウント「Administrator」の名前を一括で変更
⇒「Administrator」決め打ちの攻撃が多いことへの対策
・ユーザーとログオン端末の紐づけ
⇒「ログオン先」という表記のボタンで設定…意味が分かりづらいので認知度低い?
対話側ログオンでなくスクリプト等からのログオンでもちゃんと効く
但し、ビルトインAdministratorは、本来ログオンに使うものではないので設定不可
・[Windows]+[L]でのスクリーンロックとスクリーンロック解除時のパスワード強制(グループポリシーで)
⇒スクリーンロック解除時のパスワード強制は、結構昔からサポートされていた
※すべてをMSの公式サイトから探すのは無理でした。それぞれググって調べてみてください。
香山さんの講演の後は、参加番号によるご指名のLT大会でした。大阪なのに名古屋あり、不明メールあり、会場提供元からの話あり、セキュリティに関係ない話あり、自社製品のPRあり、ハッシュの話あり…で、話題は様々でした。
LTを見ていて思ったことなどをいくつか。
・大阪に来て名古屋で起きているムーブメントを知る。不思議。
・泥棒がスーツを着て住宅街を歩き回る時代、不正メールもDKIMという「スーツ」を着て「怪しい者じゃないです」と偽るのも納得。
・ハンダごての使い方を知らない学生さんに、ハンダ吸い取り線を殻なしで渡したら、一体何に使おうとするのだろう?
・冗長化方式の比較でL2独自プロトコル&STPとOSPFが並列に比較されている表に新鮮さを覚えたが、冷静に考えてみれば要件に合っていて課題をクリアできる方法なら、それがL2だろうがL3だろうが関係ない。そして、それらがたとえ本来は「冗長化のためのプロトコル」でなかったとしても。
※午前中にも本編とは別のLT大会があり、私も聴衆として(勝手に)参加する予定でしたが、体調があまり良くなくて断念しました。残念。
結果として、Internet Weekで聞いた話と丸被りではなくて部分的に重複していただけだったので、聞くことができて良かった話でした。
