Subscribed unsubscribe Subscribe Subscribe

#セキュリティのアレ (21) セキュリティ情報収集術

アレかね

今週はセキュリティ情報の収集術をテーマに話をしてみました。

www.atmarkit.co.jp

www.youtube.com

情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を活用するのかを考えながら収集できるといいですね。

動画の中では自分の気になるキーワードを Googleアラートで追いかける方法なんかも取り上げてみました。はてなのマイホットエントリー機能も私はよく使いますね。

あと動画では触れませんでしたが、海外のセキュリティ情報やニュースをチェックするのに便利なサイトをいくつか紹介しておきます。(私自身は RSSリーダーで毎日ニュースをチェックしているので、これらのまとめサイトにお世話になることはあまりありませんw)


これが正解という方法があるわけじゃないので、みなさんもいろいろ試行錯誤してみてください。

#セキュリティのアレ (20) 「3月の注目事件」

Password アレかね

今週は月に1度の時事ネタ特集号です。

www.atmarkit.co.jp

www.youtube.com

今回は 2016年3月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。

情報セキュリティ10大脅威

情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構


みなさんからの質問やコメントなどハッシュタグ #セキュリティのアレでお待ちしてます!

#セキュリティのアレ (19) 「バックドア」ってなんだ?

アレかね Backdoor Apple

今週はよくわからないセキュリティ用語の解説シリーズとして「バックドア」について話しました。まあシリーズとして続くかどうかわかりませんが…w

www.atmarkit.co.jp

www.youtube.com


動画の中で触れたバックドア関連の話題について、参考リンクをのせておきます。


解説してほしい用語などありましたら、ハッシュタグ「#セキュリティのアレ」でコメントくださいませ。お待ちしてます!


あと雑談編もあわせて公開されたので、お時間あるときにでもぜひゆるりとご覧ください。
www.youtube.com

#セキュリティのアレ (18) パスワード管理ソフト

Password アレかね

えーっと、すいません、忘れてましたw
というわけで先週はパスワード管理ソフトの話題を取り上げてみました。

www.atmarkit.co.jp

www.youtube.com


基本的な仕組みはこんな感じです。

  • 各種WebサービスのIDとパスワードを AESなどで暗号化して保存する
  • 暗号化の鍵はマスターパスワードから PBKDF2などの鍵導出関数で生成する
  • 鍵導出ではソルトとストレッチングによりオフラインでのパスワード解読を困難にする
  • 暗号化されたデータはクラウド上に保存するか(クラウド型)、または PCやスマホなどの手元の端末に保存して管理する(ローカル型)
  • 利用する時にはマスターパスワードを入力してデータを復号する (覚える必要があるのはマスターパスワードだけ)
  • クラウド型ではまずはじめにユーザ認証を行い、成功したら暗号化されたデータをダウンロードして、復号は手元の端末側で行う(つまりマスターパスワードそのものを送信することはなく、データをサーバ側で復号することもない)*1


利用するにあたっていくつか注意すべき点もあります。

スターパスワード

スターパスワードがすべての鍵なので、とにかく長くて強固なものにします。動画でも言いましたが、個人的には使いながらだんだん長くしていくのがオススメです。ほかに、メモしない、コピペしない、パスワード管理ソフト以外のところでは絶対に入力しない、などを徹底するとよいと思います。

バックアップ

ローカル型の場合、データが保存されている端末が使えなかったり紛失したりすると困ったことになります。またクラウド型の場合にはサービスが止まってしまうとそもそも使えません。こうした場合に備えて、データのバックアップを保持しておくといいでしょう。ローカル型では複数の端末でデータを同期しておいてもいいです。また例えば異なる別のツールにデータをインポートするのもよい方法ですが、一旦平文でデータをエクスポートする必要があります。こうしたデータをうっかりそのままにしないようにしましょう。

情報漏洩

クラウド型ではサーバからデータが漏洩する可能性が考えられますが、サービス事業者側ではデータを復号できない仕組みになっているはずなので、マスターパスワードさえ強固に設定しておけば仮に暗号化されたデータがサーバから漏洩したとしても安全です。ローカル型でも Dropboxなどのサービスを使ってデータを同期している場合には、クラウド型と同様のリスクがあります。またクラウド型/ローカル型ともに、手元の端末側からのデータの漏洩を防ぐためには、端末(PCやスマホ)そのものをきちんと保護する必要があります。またパスワード管理ソフトのロック機能や自動ログオフ機能なども活用すべきでしょう。


パスワードに関連するネタはこれで 3回目ですが、まだまだ今後も取り上げていきたいと思います。

*1:まれにそうなっていないサービスもあるので注意

#セキュリティのアレ (17) ソーシャルエンジニアリング

アレかね Social Engineering

今週のセキュリティのアレでは「ソーシャルエンジニアリング」について取り上げてみました。

www.atmarkit.co.jp

www.youtube.com


あるサービスのお客さま対応窓口に電話をかけ、ターゲットの人物になりすまして言葉巧みに個人情報を入手し、その情報を使って別のサービスのターゲットのアカウントに侵入する…

国内ではあまりなじみがないかもしれませんが、米国などではたびたびこういったソーシャルエンジニアリングの事例が話題に上ります。以下、有名なものや最近のものをいくつか紹介しておきます。


Anonymousによる HBGaryへの侵入

UGNaziによる CloudFlareへの侵入

Mat Honanさんの事例

Naoki Hiroshimaさんの事例

Amazon.comカスタマーサービスの事例

Crackas with Attitude (CWA) による CIA長官のメールアカウント乗っ取りや米司法省への侵入


あとついでといってはアレですが、少し遅れて「雑談編 2月分」もあわせて公開されました。こちらも意外と真面目な話をしていたり、ハッシュタグでいただいた質問を取り上げたり、なかなか盛り沢山な内容になってます。ぜひご覧ください。

www.youtube.com


雑談編の中で辻さんと私が紹介しているサイトをのせておきます。


また来週もお楽しみに!!

#セキュリティのアレ (16) 「2月の注目事件」

アレかね Ransomware

さてさて今週も公開されています「セキュリティのアレ」。遅くなりましたがいつもの Show Notes 的な「アレかね」です。

www.atmarkit.co.jp

www.youtube.com

今回は 2016年 2月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。

#セキュリティのアレ (15) CMSのセキュリティ

CMS アレかね

さて今週も公開されましたよ「セキュリティのアレ」。

www.atmarkit.co.jp

www.youtube.com


今回は CMSのセキュリティがテーマです。先に結論を言ってますが、これですね。

WordPressのセキュリティ対策に関しては徳丸さんの記事がとても参考になると思うので一読をおすすめします。


あと動画の中では具体的な事例に触れなかったので、最近目に留まった CMS関連の話題をいくつか紹介しておきます。


また来週もお楽しみに〜。そういえば2月の雑談編はまだ公開されていませんね。収録が終わった後にだらだらとしゃべる雑談編でも意外と真面目な話もしています。通勤、通学のお供にぜひどうぞ!

www.youtube.com

www.youtube.com