NHK プロフェッショナル 仕事の流儀
不屈の"トップガン"、サイバー攻撃に挑む サイバーセキュリティー技術者・名和利男

録画していて放置してたものを視聴。情報セキュリティの前線で奮闘している方に迫った内容でした

技術者不足の情報セキュリティ業界

昨今はプログラマなども技術者不足になっていると聞きますが、セキュリティエンジニアは特に深刻なようです

自分が考えるセキュリティエンジニア不足の理由としては、

• セキュリティに関して関心が少なくセキュリティエンジニアになろうと考える人が少ない
• 敷居が高い

前者に関してはかなり私の偏見が入ってますw セキュリティ自体が少し地味(?)な気もします
そもそも求人サイトなどでの求人もあまりないようも感じますが、そのあたりはどうなのでしょうか。特殊な業界なので紹介などでの入社が多いのでしょうか

後者に関しては↓で

防御の難しさ

番組内で名和さんも言っていましたが、攻撃するより防御することの方が遙かに難しいのです。防御するには最低でも攻撃方法について知っておかなければなりません

攻撃手法は様々であり、各状況に対応するにはプログラミング言語、OSの知識、ネットワークの知識などを高レベルで習得している必要があります

一方、攻撃側は様々なクラッキングツール、クラッキング手法などが公開されており、特にプログラミングなどに精通していなくても攻撃することが可能です(俗に云うスクリプトキディ)
また、攻撃側は不特定多数に適当に攻撃するだけで成果が上がってしまうのも問題です

防御側の対策は得てして後手に回りがちになっています。企業のサーバなどであればセキュリティパッチ1つを適用するにも、動作テスト、適用対象の台数の多さなどの理由で簡単ではありません

自ら情報を公開するクラッカーたち

防御に回るだけではやられっぱなしなので、クラッカーの特定というのもセキュリティエンジニアにとって重要な仕事のようです

クラッカーの多くはSNSやコミュニティサイトでクラッキング情報を公開していたり、クラッカー仲間と情報交換をしています

実際にクラッキング情報の公開にFacebookなどが使われることも多いです

こういった情報を元で特定につながることも多いとか。クラッカー目線で考えると、こういう自己顕示欲はデメリットにしかならない気もします

(日本への)攻撃のほとんどは中国から

これにはついては今更ですね

番組内で解析されていたマルウェアについてはAndroidが多そうな感じでした
最近はAndroidでの被害が多いのでしょうか?

番組の内容に興味がある方は piyologさん が詳しくまとめてくださっているので、そちらも確認してみてください

セキュリティつながりで…

IPAの新試験として 情報セキュリティマネジメント試験 というものが始まるようです

"共通キャリア・スキルフレームワーク(CCSF)レベル2相当"ということで難易度としては基本情報と同程度なのでしょうか
以前にあったセキュアド的なポジションになるのですかね

IPAの試験なのに更新制であると云われてて、これが本当だとしたら受験の動機付けとしてかなりのマイナスポイントになりそうです
実際、セキュリティに関しては日々新しい知識が必要になるので此れは是で正しいのでしょうけど

米国政府やWikipediaはすべてのWebサイトをHTTPS化へ。
Webサイト所有者はそれに倣うべきか
トレンドマイクロ セキュリティブログ

個人的には大賛成です。当サイトも常時SSL(HTTPS)
当初は必要なページのみHTTPSを考えてましたが、個別に制御するのが面倒だったり、一部ブラウザでHTTPS→HTTPのリダイレクト時に警告が出ることがあったり(現在はほとんど無問題)と、いろいろ問題があります
すべてHTTPSにした方が管理の手間もなくなるのでおすすめですね

といっても既存サイトでは掛かるコスト(特にテスト)が大きいので、新規立ち上げのサイトでないと難しいかもしれません

当サイトはRapidSSL

ちなみに当サイトの証明書は エンジョイSSLダイレクト という代理店で購入しました
購入時は\1300／年ほどでしたが、現在では倍くらいの価格になってしまってますね。円安って…

高い信用度が要求されるサイトではベリサイン等の有名ベンダのものがよいですが、
当サイト規模であればRapidSSL等の廉価証明書で良いだろうと

あまり進んでいない常時SSL

とはいえやはりすぐに常時SSLに移行することは難しいようです

• 日本の金融機関はなぜ「常時SSL」を実装しないのか？
• 銀行に期待した「常時SSL」 その後……

冒頭の記事にもありましたが、Mozillaのいう 一部の新機能はHTTPSのみで有効 あたりの機能が主流になってくれば常時SSLも加速しそう(たぶん)

PDFの電子証明書を買ってくれって要請がきたんだけど、
一般的なサーバ証明書の(SSL)やつを購入すればいいのかな？
(CSRをこっちに送るってことだけど、PDF用に作って送ってくるんかなぁ…)

Microsoft、Webブラウザの「Do Not Track」をデフォルトで無効に
ITmedia ニュース [2015年04月06日 07:55]

少し前のニュースですが、Windows 10プリインストールのWebブラウザとなるIE11とSpartanでデフォルトの状態で Do Not Track が無効になると発表がありました

Windows 8のIE10では デフォルトで有効 と発表され話題になりましたが、想像以上にいろんなところから反発が強く、信念を翻した形です

Do Not Trackとは、ユーザ側でトラッキング(ユーザ追跡)を拒否することを明示的にするもので、有効の場合、"DNT: 1" というHTTPヘッダがサーバに送信されるようになります

強制力はなし

Do Not Trackですが、W3Cにも法的にも定められたものでもないのでトラッキングするかどうかはサーバ側の裁量次第です。で、実際のところDo Not Trackはほとんど無視されると思って良いと思います

紳士協定のDo Not Trackが微妙、法規制やADブロックという選択肢も

Googleが賛同していないのが流れとして大きすぎますね
ちなみに当サイトもトラッキングは行ってますが、Do Not Trackは無視しています。すみません

仮に法的に強制されてもおそらくザルのままでしょう。実際にトラッキングされていないかどうかはユーザ側で確認することは困難です