情報セキュリティガイドラインの概要
ふて寝するほど話したい。この番組は、システム開発25年の株式会社プラムザが、赤坂より開発現場の今と本音をざっくばらんに話していこうという番組になります。
進行は私、鴨志田と、代表の島田と、賑やかし役、辰巳です。よろしくお願いします。
前回、思ったより長かったというところもありまして、引き続きタイトルにはなりますが、IPAセキュリティガイドラインから学ぶ実行するべき7項目というところを読み進めたり、要約をできるだけお伝えしていこうという回になります。
読み進めていきたいと思っておりますので、よろしくお願いいたします。
では、これは島田さんに引き続き読んでいただくという形で良かったんでしたっけ、どうします?
私が読んでいくんですけど、全部一文字一文字、一行一行読んでいってもつまらないので、要約とかを挟みながら、あまり具体性のないところは読んでもしょうがないので、その辺はスピードで飛ばしながら先に進んでいこうと思いますよ。
では、よろしくお願いします。
また例によって、中小企業の情報セキュリティ対策ガイドラインのPDFを見ながら話をしていきます。
今回初めて聞かれる方はPDFのURLを貼ってあると思いますので、そこからダウンロードしてもらって、前回13ページまで行っているはずなので、14ページからいきますね。
重要7項目はここからスタートするんですよ。14ページですね。
実行すべき重要7項目の取り組みということで、取り組みが1から7まであります。
タイトルだけちょっと読んでいきますかね。
取り組み1ですね。情報セキュリティに関する組織全体の対応方針を定める。
取り組み2、情報セキュリティ対策のための予算や人材など確保する。
取り組み3、必要と考えられる対策を検討させて実行を指示する。
取り組み4、情報セキュリティ対策に関する適宜の見直しを指示する。
取り組み5、緊急時の対応や復旧のための体制を整備する。
取り組み6、委託や外部サービス利用の際にはセキュリティに関する責任を明確にする。
取り組み7、情報セキュリティに関する最新動向を収集するということですね。
具体的な取り組みの詳細
具体性があまりないので頭に入ってきにくいんですけど、
基本的に会社でやるべき方針を決めて、それに対してリソースを確保して、
トップが主体でやっていかないと難しいと思うんですけど、人を集めて実行させると。
そこからまたフィードバックですね。どうしてもうまくいかないことがたくさんあると思うんですよね。
あと自分の会社にとってはこうだったみたいなことが後からだんだんわかってくるので、
見直しをしていくっていうことですね。どんな仕事でもそうと思うんですけど、
計画通りには大体いかないので、毎回見直しをしてルールを変えていくような感じですね。
これまだ総論的な話で、ここからまたこれごとにやることをブレイクダウンしていくのが続いていくのよ。
大体こんな感じの取り組みをやるっていう前提で、その時に具体的にはどうするのかみたいなことが次の話になってくるんだよね。
後で話した方がいいかわからないんですが、これを聞いて思いついたのが2つあって、
1つがこれうちみたいな、プラムザみたいなリテラシーが高い人間が集まっている会社だったら、
チャッチャッチャってスムーズに決まると思うんですけど、
こういったことに知見が全くない会社は独学では不可能なんじゃないかと思いました。
これは具体性ないからね、まだね。
多分この先行くと何か手をつけていいか少しわかってくるかもしれない。
2つ目は伏せておきながらちょっと進んでみましょう。
本当?
あとあれだね、今取り組み4ぐらいまで話したんだけど、
さっきの話ね、何かあった時に取り組み5は、緊急時の時にはどうするかっていうのは、
そういう体制を考えておくみたいなことも大事だったりする。
自分の知っている社長さんは謝罪文とか情報漏洩しちゃった時の謝罪文は作っておくとかいろんなパターンの謝罪文作っておくとか。
記者会見の方法とか。
そこでスピード感を持って対応できると印象も良くなったりするんでね。
それで思い出したんですけど、結構前かな、もう7年ぐらい前だと思うんですけど、
当時ビットコインが皆さんが知り始めた段階で、今も存在する会社でコインチェックってあると思うんですけど、
そこがビットコイン数十億だか数百億だか、
ハッキングされて盗まれて、その日の夜に即記者会見してみたいな。
社長の方が多分エンジニア出身だから、パブリックスピーキングがあんまり上手くいかない人で、
COOの人がほぼ代行で話すみたいな感じで、
見てて地獄みたいな記者会見だったっていうのを思い出しました。
そういう記者会見とかも覚悟しておいた方がいいかもね。そういうこと言っちゃいけないな。
漏れないのが一番いいんだけど。
練習は必要かもしれないですね。
言っていいこと悪いことあるんでね。
想定する質問と回答みたいなのがある。
それが取り組み5ですね。
取り組み6については、前も言ったかな、これ自分の会社だけじゃないよっていうね。
実践編の導入
委託先のこともちゃんと取り組んでくれてるかどうかってチェックしておくと、
チェックシートを出して書いてもらうみたいなことやるんだよみたいな。
そういう話ですね。
あとは常に情報セキュリティについて最新動向を収集するっていうのも、
これもなかなかITの会社だとあれだけど、難しいですよね、一般企業ってね。
難しいですね。
PHPの脆弱性が出たとかつって、自分の会社に関係あるのかなみたいな。
そういうことをやりましょうとですね。
具体的にはまた先に話があります。
それから16ページに行きますと、コラムみたいなのがあるんだけど、
この真ん中辺にある情報セキュリティ5カ所って、
これはまた後から詳しく出てくるんで後に回しますが、
これぐらいOSのソフトウェアを最新にしましょうとか、
ウイルス対策ソフトを入れましょうとか、
この辺で一応パスワード強化しようとか、
共有設定見直そうとか、脅威や攻撃のお手口を知ろうみたいな。
こういった内容っていうのは全部いっぺんに、難しいかもしれないけど、
手をつけやすいところだよね。
これはすごく具体的ですよね。
分かりやすい。
そうですね。
特に一番目とか物申したいなと。
これは言っていいですか?
いいですよ。
だから要は一番目ってOSやソフトウェアを
常に最新の状態にしようっていう風に書かれてるんですけど、
可能な限り最新の状態にすべきっていうのは、
大筋間違いないと思ってます。
さっき言ったPHPだとか、
我々が使ってる開発言語ですよね。
それに付随する言語のフレームワークって呼ばれるものとか、
いろいろあるんですけど、
これ専門的な話になっちゃいますけど、
それとかって、必ずしも最新であることが最適解ではないことが非常に多いと思う。
そりゃそうだね。
ソフトとかをダウンロードするときも、
多分最新の状態と安定動作する状態のバージョンが、
多分2つくらいくっつけなからず用意されてるはず。
もっと丁寧なところだと、
各バージョンの履歴ごとに、
各バージョンのインストールができる状態になってるはずになってるんで。
ちゃんとそのインストールとかそれを利用するときには、
最新のものに近いかつ安定動作しているものであるべきかなって、
ちょっとなんか業者あるあるなんですけど、ちょっと気になる。
あとあれですね、
もうちょっと規模の小さい話になるかもしれないですけど、
ワードプレスとかも更新をしていきたいんですけど、
プラグインが間に合ってないとかいうことがあって、
うっかり更新してしまうと、
システムが使えなくなるみたいなところもあったりしますよね。
だからその単体の何かしらのバージョンが最新では、
他のが追いついてないと不具合のもとになるんですよね。
iPhoneだってそうじゃないですか。
最新のバージョンに更新したら、
インストールしてるアプリが立ち上がらなかったりとか、
なんか不具合を起こして、
今日バージョン追いついてないですみたいなことが多々あると思うんで、
そこはちょっと要注意かなっていう感じですかね。
そうですね。
最新すぎるものは危ないっていうのはね、
エンジニアの世界では当たり前に言われてるんで。
ただあまりにも古い、
サポート切れちゃってるような言語で作られたシステム、
これはリファクタリングって全部書き直させてくださいって
お客さんに言っても、なかなか理解していただけないっていうこともあったりして、
苦しいところでもあるんだよね。
本当に危ないですよって言っても、
なかなか予算を取っていただけないみたいな。
動かなくなって初めて多分対策を取るぐらいだと思う。
そうそう。
動作しなくなったから何とかしてほしいみたいなのが
募集要項にありましたけど、
そのマッチングサイトとかで。
タイミングが遅すぎるよみたいな感じですね。
動かなくなる前にやらないといけない。
やらないといけない。
ちょっと先行きましょう。
いいですか先行っちゃって。
大丈夫。
実践編の方に入っていきます。
第2部ですね。
実践編の進め方は18ページまで飛んじゃいますけど、
18ページのところにあります通り、
実践編のところで表を読んでいくところですね。
左側にやるべきことが書いてあって、
さっきの7項目どれに当たるのかみたいなことが
まるで書いてあるみたいなね。
例えばですね、3の3、対策の決定と周知っていうのは
さっきの7項目のうちの3ですよみたいな。
これ全部だからやっていくことが
具体的に何をやるべきかということが書いてあるわけですね。
5の2だったらウェブサイトの情報セキュリティについて
どうすべきかみたいな。
34ページに書いてあるみたいなので、
パスワード管理と対策
見てもらうと詳しく書いてあると思うんですけど。
SSL証明書を貼っ付けるとかそういう話ですね。
そうですね。
具体的な内容はその後出てくるんで、
こういうふうにこのマニュアルの中に書いてありますよ
っていうそんな文法を表したんですね。
この18ページの表4を実践していて、
この該当にあるページに書いてあることを実行していけば
実行すべき重要7項目が潰れていくという。
そういうことですね。
当然ですけど3が一番多いですね。
3ってなんだっけな。
必要と考えられる対策を検討させて実行しすると。
実際に実行する部分。
そうですね。
これ何をやるかを定義してやってもらうということですね。
ちゃんとの人にね。
ちょっと先へ行きますと19ページですね。
できるところから始めるということで、
さっきですねコラムのところで書いてあった情報セキュリティ5箇条
っていうのが詳しく書いてある感じですね。
OSやソフトウェアを常に最新の状態にしようと。
ウイルス対策ソフトを導入しようと。
ただ最近ウイルス対策ソフトも随分進んできちゃって
昔は外部のウイルス対策ソフトを入れなきゃいけないとか
っていうので、ノートンとかマカフィーとか買っていってたんだけど
最近WindowsもDefenderっていうのが不足で
OSにバンドされていってあれはなかなか優秀なんで
それでもいいっていう会社も多いですね。
それからパスワードを強化しようっていうのは
これよく言われることですけど、簡単なパスワードにしないと。
あと12345とかね。
キーボードのQWEのRT、TYとかのQWERTYってよく言うんだけど
それダメだよっていう話と、あとあれね。
単語の組み合わせね。
青年月日とか、それダメですよっていうやつですね。
よくウェブサイトとかでランダムで作れるやつとか
あれも有効と思っていていいんですかね。
あれ有効ですよね。
Chromeもその機能備わってますよね、確かに。
そうそう。
かつ保存もしてくれる。
そうなんだけど、あれを自分も使ってるんだけどさ
あれで記憶させたものがアプリケーション
アンドロイドのアプリの方で入力できないんだよね。
ネイティブアプリの方には反映されない。
そうなんだよね。
だからさ、地獄なんだよ、ものすごい長い文字列だって
20文字とかになってるんで。
そんな島田さんにオススメなのはパスワードマネージャーのアプリを
ご検討することですかね。
そうなの?
要はパスワードマネージャー、僕も使ってるんですけど
アプリの名前なんて言ったかな。
セーフインクラウドっていうのがあって
2000円くらいでiPhoneのアプリなんて買ったんですよね。
パスワード管理、別個でもうそれぞれ複雑にランダムに
生成させて、でもこれ管理大変だなと思ったときに
自分で探して使ったツール。
セーフインクラウドはかなり良いですね。
クレカとかの情報も登録できるんですけど
期限が迫ってきてますよとかする通知もきますし
定期的に変更した方がいいですよって
リマインダーとかつけられるんで。
実際パスワードを強化しようというよりも
パスワード管理が問題そうですよね。
そこをしっかり何かしらのツールとかをやって
やるのがお勧めかなと思います。
ツール使わなきゃ無理だから。
100も、200もパスワード。
みんなそれぐらい管理してると思うんだけど
覚えとくことができないし、覚えられたらまた問題なんだよね。
ミスってそれで管理がうまくいってなくて
ハッキングされてクレカの不正利用とかされるぐらいだったら
2000円ぐらいでもいいから払ってちゃんとしたのを作って
管理した方がいいんじゃないっていうのが僕の提案です。
あとはあれですね。
ある会社さんの情シスのセキュリティのチェックシートに書いてあったんだけど
そこのチェックシートではパスワードを定期的に変更してるかって書いてあったんだけど
それは大きな間違いというか、最近のトレンドは
パスワードを変更しないっていうのがトレンドなんで
意味ないっていうかもう不可能なんで、それよりも複雑にしましょうっていう
あるいは二段階認証を導入する
そうだね。パスワードを頻繁に変更するよりも
もし不安だったら一桁増やすっていうのがものすごい有効で
それによって総当たりのプログラムを組んだものの
偉いパターンが増えるらしいんだよね。
このさっきのSafe in Cloudでパスワードを入力するじゃないですか
これをブルートフォースその総当たりで解析っていうか
パスワード当たりがつけるまでどのぐらいかかるかっていうのを計算してくれるんです
もうすごい桁数にすると数万年になります
生きてねえよ、俺たち
話は尽きませんが先行きますよ
次4番目ですね、共有設定を見直そうということですね
関係ない人に別に見なくていい人に共有させてしまってないかとか
そういう話ですね
脅威や攻撃の手口を知ろうとかいうのは
さっき辰巳さんが言ったブルートフォースも一つの手口なんだけど
ブルートフォースってあれだよね
ブルートって多分ポパイの悪者役で知ってる?
全然わかんない
ほうれん草食べてパワーアップぐらいしかわかんない
その敵だよ、オリーブを狙ってる悪い奴でさ
力持ちなんだけど、そうやって力技で入ってこようとするっていうのがブルートフォースなんだよね
だと思うよ、多分ね
高校野球の応援歌で使われてることぐらいしか僕は全然わからない
多いですね、確かに
他にも前回から話したけどやっぱりソーシャルハッキングみたいなのもあって
後ろから見るとか、飲みに行ってヒントを聞き出すとか
USBを落っことしちゃうとか
それはソーシャルハッキングっていうのかな
いまだにお客さんのところに行くと画面のところにパスワード書いてる人いるんで
あれは本当に良くないですね
そしたら今日はここまでですかね、19ページまで
あとまた少しありますが、次回また続きをやっていきましょう
はい、じゃあ次回に大枠まとめて、次回終わりみたいなイメージで大丈夫ですかね
情報セキュリティの強化
そうですね
わかりました
では本日はいかがでしたでしょうか
楽しんでいただけましたらフォローや評価をお願いします
またXでも最新情報を随時発信していますのでよろしくお願いします
システム開発に関するご相談がございましたら公式ホームページからお気軽にお問い合わせください
それではまた次回お会いしましょう
ありがとうございました