たまたま脆弱性検査担当者になって、仕事がらみで日々感じる雑感

はじめまして&今年の10大事件

»

私はセキュリティエンジニア?

2年前から、自社のWebシステムやサーバの脆弱性検査をするようになりました。自分から手を挙げたわけではないのですが、それまでやっていた仕事を変わりたいと上司に訴えた結果、その仕事になりました。
検査ツールが吐き出すレポートを理解しようとしていろいろ調べているうちに、少しは知識がつきました。情報処理技術者試験のセキュリティスペシャリスト受験コースの通信教育を受けました。去年の秋、今年の春、今年の秋と三回受験し、三度目の正直でようやく合格しました。
社会人になってから26年が過ぎました。社会人として初めてした仕事は、アセンブラとCのプログラミングでした。プログラマとして三年ほど働いてからは、商品企画をしたり、マニュアルを作ったり、外注管理をしたり、いろんな仕事をして、現在に流れ着いた感じです。技術的に尖っているものは何もありません。でも、長年仕事をしてきて、何かしらお伝えできるものがあるかもしれない、と思います。

脆弱性検査?

「脆弱性」という言葉をようやく舌をかまずに言えるようになりました。”Vulnerability” という英単語も覚えました。コンピュータ、ソフトウェア、ネットワークが持っている、セキュリティ上の弱点をいうのだそうです。
昔見た「カサブランカ」という映画で、” That is my least vulnerable spot.” というセリフがあったのを思い出します。「この銃がお前の心臓を狙っているのを忘れるな。」「そこは俺の一番頑丈な場所だよ。」そんなやり取りだったと思います。
検査対象となるサーバのIPアドレスなり、URLなりをセットすると、検査ツールは標的に向かってせっせと擬似攻撃を次から次に送り出し、それに対する標的の応答を見て、弱点があるとかないとか、ツールが自動的に判断します。ツールはツールですから、自動的な判断は正しいこともあり、正しくないこともありです。最初のうちは、なんでこの脆弱性が検出されたのか、わからないままに自動的にツールを操作して自動生成レポートを作成して、そこから自動的にサマリを抽出して開発部門に送っていました。「なんでこうなるのって私に聞かないで。」そこから少しずつ、自動生成レポートの内容が分かるようになり、どうしてこうなるのかようやくわかりかけてきたところです。

がんばりません

ソフトウェア開発現場に何年もいると、いろんな経験をするものですが、今心がけていることは「頑張らない」ことです。ほとんどの人はそんなに頑張り続けることはできないものだなと思います。休まず、頑張らず、あきらめず、肩の力を抜いて淡々と仕事していこうと思っています。そんなわけですので、セキュリティの最先端の知見などは期待しないでくださいませ。

今年の十大セキュリティ事件・出来事
年末ですので、私の独断と偏見で、十大セキュリティ事件・出来事を選んでみました。

ベネッセ顧客情報流出事件

派遣社員の内部犯行でしたね。最近よく「企業機密を内部犯行から守るには」というような広告をよく見るようになりました。情報セキュリティの技術的側面より管理的側面の注目度を押し上げた事件でした。

Heartbleedの脆弱性

SSLの仕組みを改めて勉強しなおしました。問題個所のソースコードも調べました。メモリのコピーをする部分のエラー処理の抜けが、世界的に有名な問題になってしまうなんて、これを書いたプログラマに同情してしまいます。命名とロゴのせいで有名になりすぎた気がします。

Shellshockの脆弱性

Bash? そういえばlinuxサーバで使っていたけどそれが何か?という程度の認識でした。最初は。JVN (Japan Vulnerability Notes)のサイトで見ると、CVSS(Common Vulnerability Scoring System)のベーススコアは10.0。「つべこべ言わずにはよ何とかせんかい!!」という点数でした。Heartbleedほどのロゴはできなかったようで、検索すると「戦争後遺症」の意味の画像ばかりでした。

POODLEの脆弱性

覚えやすい名前ですね。検索で出てくる画像もかわいい。大騒ぎの割にCVSS(Common Vulnerability Scoring System)のベーススコアは4.3。パディングオラクル攻撃という言葉を初めて知りました。暗号化の仕組みを勉強する機会になりました。

遠隔操作ウイルス事件

個人PCのセキュリティにも注意しなくちゃ、という広告効果のある事件でした。それにしても、「Tor(The Onion Router)」を使ったり、ウイルスを作ったりしたわりには、「あれ、これで終わるの?」という展開でした。事件は昨年でしたが、今年の5月に「えぇ?」という展開で幕となったので、入れました。

Windows XPサポート終了

世界中でまだ使えるPCが廃棄物になる、という事件でした。

消費税率8%

4月1日から消費税率8%ということで、改修を余儀なくされたシステムもあったのではないでしょうか。もちろん、消費税率が何パーセントになっても、変数の値を1カ所変えるだけでOKという作りのシステムなら全然問題なかったでしょうが。3月31日に間に合うようにやってくれと泣きつかれた人はいませんか?

スマホの契約者数がガラケーを上回る

私はガラケーです。だってセキュリティが心配だから。「使いこなせるか心配なだけでしょ。」いえいえ、そんなことはありません。

ウェラブル機器の発売相次ぐ

スマートウォッチ、スマートグラス、などなど、「スマート」がつく道具がいっぱいですね。スマートフォンを持たない身には縁遠い話ですが。ティム・クックさんのプレゼンも悪くないじゃない、と思いました。自分がどこで何をして、何を食べて、どのくらい寝たか、という情報がどこかに蓄積されているって、便利なのでしょうね。

「忘れられる権利」認められる

大学時代の同級生や知り合いを検索して、あぁこんなに立派になった。とへこんでいた時期がありました。今はそういうことに慣れましたが。自分の名前を検索して、同姓同名の赤の他人だけが出てくることを確認して安心していた時期もありました。あぁ私は無名の市井の人なんだと。検索して出てくる自分の過去を消したい、と思う人もいるでしょう。私もそう思うようになるかもしれません。

番外ですが・・・

北朝鮮のサーバーテロ

こんなに公開前から話題になるなんて、どんな映画か見てみたいものです。SPEの業績も一気に良くなるのではないでしょうか。情報セキュリティ関連会社の株も上がるでしょうか。私の給料も上がってほしいものです。

ここまでお読みいただきありがとうございました。では皆様よいお年を。

Comment(0)