2023.09.26(火)
- 注目検索ワード
先週、神奈川県警のサイバー犯罪捜査官の採用募集の記事を書くにあたって実施したインタビューで、少々尋ねづらい複数の質問に現役サイバー犯罪捜査官から直接明快な回答を得ることができた。
記者はこれまで少なくない回数「顧客の笑顔が仕事の目標」といった趣旨の発言を何度も聞いてきた。だが、不思議に心動かされる言葉として取材時に耳に聞こえたし、何かハートが伝わった実感が今も消えずに胸に残る。
最後にペネトレーションテストをやる側と、ユーザー企業として発注する側で、何かこういうところに気をつけるといいポイントがあれば最後にまとめとしていただけないでしょうか。
会社の方針というかポリシーのひとつに「お客様を超越する」っていうのがあったんですよ。「期待を絶対的に超える」っていう。
いいとは必ずしも言えないシナリオはですね、まず「ペンテストを実施する側が勝手に決めたシナリオ」、もうひとつが「顧客の環境、ユーザー環境に即していないシナリオ」この二つは良くないシナリオと言えるんじゃないかと思っています。
「そんなことあり得るの?」って、思うじゃないですか。事前にヒアリングしてネットワーク構成図も見たりして、ああだこうだと話をして、その範囲の中でシナリオを作っているにも関わらず、誰も想定していなかった攻撃ルートなんて本当に見つかるのって。
イード銀行は全社事業発表会の開催を明日に控えていた。セキュリティ統括部 部長兼 iSIRT リーダーの速水は、チーム全員を招集し、セキュリティ統括部の発表内容に関して最終打ち合わせを行うのだが・・・
まさかそんなと思うかもしれないが優れたセキュリティ製品ほど説明が上手でないケースがある。
あからさまに失礼なその男のもの言いに岩井博樹(いわい ひろき)は腹を立てたが、しばらくすると怒りより「なぜこの人はこんなことを言うのだろう」という疑問が生じ、それが株式会社サイントを岩井が創業する重要なきっかけのひとつになった。
「Microsoftさん、Microsoftさん、スクリーンショットを禁止するにはどうしたらいいの?」「それはね……」などという答は決して返っては来ない。そんなことを聞いたりしようものなら、Microsoft から FBI に通報すらされかねない。
2021年4月にNRIセキュアテクノロジーズ株式会社の代表取締役社長に就任した柿木 彰氏に、社長就任から約200日後にインタビューを実施した。
「他の社員がいる目の前で松野から『この人』呼ばわりされたことがあるんですよ」ニヤニヤしながら以前そう語ってくれたのは、総合商社系のセキュリティ企業の社長だった。それはそうだろうと思った。第三者がいる場面でしか「この人」という言葉は通常使わない。
CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。国産セキュリティ R&D 企業として 4 回転(Fourteenforty)を決めた企業 FFRI を創設した鵜飼 裕司(うかい ゆうじ)である。
CFP 応募論文の選考を行うレビューボードはいわば雲上人の集まりだが、日本にはこの男がいた。スリーピーススーツと T シャツ&ハーフパンツ、どちらも粋に着こなす、日本のセキュリティ業界の逸材こと FFRI 鵜飼 裕司(うかい ゆうじ)である。
脆弱性診断や監視サービスを提供する株式会社クラフが、2022年2月22日火曜日のCBT(クローズドベータテスト)版リリースに向けて最終段階の準備を進めているプロジェクトがS4(エスフォー)である。
調査結果を受けて、私は一部始終を書いた記事と照らし合わせた。致命的な間違いがあれば、残念ながら訂正しなければならない。
境界型から出口対策、そしてゼロトラストと働き方や攻撃の変化に合わせて防御のトレンドも変化していますが、一貫していえるのは侵入されることを前提とした対策が重要になっている点です。
浮かび上がったのは、個人情報流出の詳細や年金機構の情報管理のずさんな実態だった。反響は大きく、連日国会でも取り上げられた。反響の一つに、年金機構関係者からの接触があった。「あの日以降何が起きたのか、お話しします」私は一人の関係者と会っていた。
「彼らから提供されるセキュリティ情報をうのみにして伝えても、それは日本のメリットではないかもしれない」
私たちは年金機構に対し、これらの事実を突きつけ、公表を迫った。ところが、年金機構側はこれを拒否した。「公表した事実以外のことは答えられない」ということだった。
私は年金機構の内部資料にあった「不審な通信 一覧」に着目した。ウイルス感染した複数のパソコンが外部のサーバーに接続したうち、不審と判断されたドメインの一覧だった。おそらくハッカーが設けた指令(C&C, C2)サーバーだろう。
