wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

インシデント発覚から公表までの期間の短さはGood

3/10 2:15にインシデントが発覚し、公表が同日18:22に行われている。 関係各所の調整も含めて16時間で公表というのは、個人的な所感では超高速だと感じる。

再発防止委員会の構成

専門家アドバイザーが少し偏り気味でないかい?と思ってたり。 実は結論が少々偏ってたりするなぁ(間違ってるわけではないけど、方向性が偏ってるという意味)…と思っていたのだけど、再発防止委員会の構成を見て納得。

GMO-PGさんに対する不正アクセスの調査報告書を読んで…

2ヶ月前にGMO-PGさんが受けた不正アクセスの調査報告書が出てたので、読んでみた。 …所感だけ。

オレが期待している「過去のセキュリティ・キャンプの応募用紙を見ることの効能」

過去の応募用紙を見ることで、当然ですが「何を問うてきたか」を見ることはできます。 でも、それに対して自分が答えられないということは、少なくともその応募用紙と格闘して参加した人と比べると、前提知識ややる気、熱意(興味といってもいいかもしれない…

セキュリティ・キャンプの応募用紙が問うこと

セキュリティ・キャンプの応募用紙は、「やる気や熱意、興味の見える化」をするためのものであり、全部正答すれば参加できるというものではありません。

セキュリティ・キャンプの応募で一番困ったことの1つ

個人的には、「やる気はあります」とだけ書かれていて、こちらからの設問にほとんど答えていない応募が一番困りました。 これは、「やる気」を見るための応募用紙に単に「やる気はある」と書かれても、どこでそれを測ればいいのかわかりようがないためです。

久々にセキュリティ・キャンプのこと〜「これまでの応募用紙を見る」

セキュリティ・キャンプに興味がある人に対して、「これまでの応募用紙を見てみたら?」という返事をすることが多いのですが、真意が曲がって伝わっていないか心配なので、すこし補っておくことに。

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜まとめ

ネガティブなことも書いたが、どちらかというと「買ったはいいけど期待外れ」というのを防ぎたいと思ったので、オレなりに著者陣の主張を読み解いたまでのことである。で…本書で述べている内容は掛け値なしに貴重なものであり、これまであちこちで局所的/散…

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜たぶんスコープ外だけど、期待しちゃいけない点

本書に、チームビルディングやチームマネジメント、ケイパビリティ、チーム成熟度などの話を期待してはいけない。1章「事故対応の司令塔「CSIRT」とは」で、「何よりまずは CSIRT を立ち上げる」とあるが、正直なところ、このとおりのアクションを取れる企業…

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(2)〜まずは良い点

事故を類型化し、具体的にどうするか?が、かなりわかりやすく書いてあるのは非常に良い。本書は「セキュリティ事故現場での対応」にフォーカスを当てたものであり、著者陣の安定感もあって、非常に安心して読める内容である。 生々しい(よもすると読み解き…

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(1)

インシデント対応関連の和書は珍しく、著者に知った方々がちらほらいらしたので、ゲットの上読んでみた。 良い書籍だけど、やっぱり難点も出てくる。

超久々にブックレビュー〜「実践CSIRT 現場で使えるセキュリティ事

この数日で買った数冊のうち一冊を早速読んでみた(でないとまた積読になりそうで)。 最初に読んだ本が、思いのほか良いと感じたので、さっそく(?)レビューしてみることに。 これはオレの主観が多分に交じってますが、あまり外してはいないと思いますw

結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を!

窓口(PoC)が何をやるのか?というのを、自分なりの整理も兼ねて書いてみた。 兼任/専任というスタイルもさることながら、「窓口」という機能に着目して考えると、こういう見方もあるとご理解いただければ幸いである。

窓口+エスカレーション先がある場合

窓口を設定する意義の1つは、コミュニケーションや情報交換/コーディネーションを円滑にするところにある。 中と外のコーディネーションもそうだし、中のコーディネーションもそう。中→外の情報伝達も、外→中の情報伝達も、最終的にはPoCチームもしくはPoC…

窓口「だけ」ある場合

窓口「だけ」あるという場合は、窓口がない場合よりもひどいことになりうる。 報告者から報告を受け取った後、窓口から先どこに持って行っていいのかわからず、苦労することになる。 窓口を設置した企業なり団体なりの所帯が小さければ、まだなんとかなるか…

窓口すらない場合

窓口すらない場合は、そもそも何か起こったかを外から送ってもらう統一的な枠組みを用意していないといえる(図では「Webサーバおかしい」ということを言おうとしている報告者が「どこに送るのさ?」と不安になってる様を描いている)。 昨今の状況でこれは…

外部との情報交換を行うインタフェース=CSIRTならば…

「情報交換を行うインタフェースがあればCSIRTを設置したといえる」のか?と言われると、これはYesともNoともいえる。 とある人wは、「最低限外向けの窓口(PoC)を設置してくれればCSIRT作ったといえるのでは」と述べているが、これは窓口対応を正しく理解…

CSIRTとは、外部との情報交換のための信頼の枠組み

CSIRTに関して一番本質的なところをついてるものの1つが、こちらの山賀さんの講演で触れられているところと考える。 作ったから云々でもなく、外部から情報を得るのみでもなく、適切な情報も出していくという営みは必要だ。

前提:CSIRTのコンスティチュエンシーとかサービス範囲とかはすでに決まっている

CSIRT設置するにあたって、「コンスティチュエンシー」や「サービス範囲」をはじめとすることは、すでに決まっているものとして以下の話を書いてたりします。

世の中CSIRTという文字列が…

いろんなところで見られるように。 でも、どこまでやればいいの?とか何やればいいの?という話はあちこちで…。

なんでこんな問題が?〜証明書の管理が分かれてるし〜

この問題は、Chromeでは起きず、Internet ExplorerやMicrosoft Edgeでも(当然だが)起きない。これは、問題が起きないブラウザは、Windowsの証明書ストアを使うようにしているためと考えられる*1。しかし、(理由はよくわからないけど)Firefoxは自前で証明…

解決法?〜証明書をエクスポートして(手順1)、証明書をインポートする(手順2)

エクスポートしてインポートする、ただそれだけで解決するんだけど、インポート先に少しだけ注意しなきゃいけない。 KMS2016の機能を使ってインストールされたルート証明書を、Windowsの証明書管理ツール*1を使ってエクスポートする 証明書管理ツールを使っ…

なんでこうなるのか?〜MITMやってる結果で解決方法もあるんだけど、どうも中途半端

KMS2016は最初からそうなんだけど、最近のカスペルスキー社のセキュリティソフトウェアは、SSL接続の中を確認するために、MITMをかけている。 そのために必要な証明書なんかは用意されているんだけど(KMS2016の機能を使ってインストール可能)、後付けで入…

カスペルスキー マルチプラットフォームセキュリティ 2016 Windows版をインストールした直後

カスペルスキー マルチプラットフォームセキュリティ 2016(以下KMS2016)のWindows版を入れた後、FirefoxでGoogleにつなごうとすると以下のような画面が。 要は「変な証明書使ってるからつながせないよ」という意味。 KAV2015とかは探すと対処法出てくるん…

ちょっとハマった

カスペルスキー マルチプラットフォームセキュリティ 2016を新規インストールしたところ、Firefoxでおかしなことにw

ちょっと間が空いてしまった

…近いうちに「作ってみた」でも書いてみるか…。

対策の考え方はいいんだけど、例がまずい

トレンドマイクロさんのblogでは、対策も書かれている。考え方は悪くないけど、例がまずい。以下、対策の引用。強調と着色部分は筆者による。 定期的なバックアップと「3-2-1のルール」の実践 ファイルを定期的に取ることで重要な情報を保護することができま…

「脆弱性」を狭く捉えるな〜どちらかというと「脆弱性や脆弱な設定を突かれる」のほうが正しそう

Windowsで脆弱性というと、よく「MS16-0xx」とか「CVE2016-xxxx」という感じで管理されているものを想定する人もいる「かもしれない」。 でも、記事を読むと「psexec」という文字列が出て来たり、「ログイン情報窃取」とあるので、地産地消*1が可能な設定(…

何が新しいのか?〜内容はほとんど自爆テロだけど、何かがおかしい

記事をざっと読んで「うわこれヒドイ」と思った点は大きく2つ。 標的型攻撃の手法に類似した方法で感染拡大を試みる 通常のデータファイルだけではなく、バックアップファイルの破壊も試みる で…記事をもとに、ざっと図を書き起こしてみた。 図中(1)で感染し…

新手のランサムウェア…ですか

トレンドマイクロさんのblogや、MicrosoftさんのThreat Research & Response Blogに、またも頭を抱える事例が…。 その名もSamas。