サーバーサイドにおける翱厂厂セキュリティ市场动向について
?
0 likes?705 views
急増するランサムウェアなどの動向、経済産業省、IPAなどのガイドラインの紹介、さらに、オープンソースにおけるセキュリティに対するLinux Foundationなどの取り組みを紹介します。
サーバーサイドにおける翱厂厂セキュリティ市场动向について
- 2. N代表取締役 赤井誠 2011年4月28日設立 B ? 事業企画 ? マーケティング ? コンサルティン ? 人材育成 ? 翻訳業務等 京都大学工学部卒。 神戸大学経営学修了。 テキサス大学MBA 交換留学。 学 p 日本ヒューレット?パッ カード株式会社 ソフトウェアR&D マーケティング (Oracle,VMware,MS,Linux,HPC, クラウド) 国内Linuxベンダー1位 全HPでLinux OSの世界一の販売 MKTインターナショナル株式会社 WowShop B
- 3. MKT International,Inc.3 3ウェブを軸にしたマーケティング活動支援 サイトA (日経BP) サイトB(ITMedia) 検索エンジン キーワード XXXXXX リスティング広告やSEOへの 最適化が必要 電子メール等 コーポレートサイト CMSを活用し、レスポン シブ、セキュア、SEO対 策、運用の容易さを実現 WEBサイトを 顧客接点の起点 SI 情報シス テム部 事業部 経営 層 企業情報 トレンド 経営課題 ソリュー ション 経営課題 ソリュー ション マネ ジメ ント 製品概要 仕切り 事例 製品概要 事例 価格 製品概要 事例 活用法 エン ジニ ア 製品概要 サポート 動作環境 製品概要 デリバリ サポート 動作環境 N/A ターゲットに合わせたコンテンツ(例) トレンドに合わせたコンテンツ作成 Big Data Cloud Mobility Social Internet of Things
- 4. MKT International,Inc.4 4本日の目的 ? 初心者の方でもわかるように、セキュリティ動向について概要を説明 ? 特に、オープンソース関係のセキュリティへの取り組みを、Linux Foundationなどを事例にして紹介
- 6. MKT International,Inc.6 今年の事例 ? サイバー攻撃による停電がウクライナで発?、電?網に迫る危 機 (2016/01) ? マルウェア BlackEnegy を利?したもの。電?会社以外にも標的にさ れたとされる ? 参考:「電?」に迫るサイバーテロの危機 ? Targetの情報流出はPOS端末のマルウェアが原因、?当局も注 意呼び掛け (2016/01) ? 医療分野をターゲットにするランサムウェア (2016/02) ? JTBの事例 (2016/06)
- 7. MKT International,Inc.7 国内におけるセキュリティ動向全般 ? 「セキュリティ経営ガイドライン」(経済産業省) ? 経済産業省が2015年末に公開。セキュリティは単なるITの問題ではな く「経営課題」であると位置付けられ、経営者がリーダーシップを とってサイバーセキュリティの強化に取り組むよう求めている。現在、 セキュリティ会社では、このガイドラインに基づいて、プロモーショ ンを実施しているところが多い。 ? 「ランサムウェア」 ? 2015年末から急増するランサムウェアに対して、?般紙やTVなどで取 り上げられるようになり、注?度が?まっている。
- 8. MKT International,Inc.8 8ランサムウェア作成のハードルが下がる ? 2015年第4四半期に新たに確認されたランサムウェアは、前四半期に比べ 26%増加 ? 「オープンソース」としてランサムウェアのコードが公開 ? 「Ransomware as a Service」の登場 ? 簡単で捕まるリスクが低い割に金銭的な見返りが大きい手段として、犯罪者 らに注目されているのです。 ? McAfee Labsの研究者が、2015年10月に行われたCryptoWall 3ランサム ウェアのキャンペーンを分析したところ、たった1つのキャンペーンで被っ た身代金の被害額は、約3億2500万米ドルに上る http://blogs.mcafee.jp/mcafeeblog/2016/04/mcafee-labs2016-0c8e.htmlより
- 9. MKT International,Inc.9 セキュリティ予測について ? ほぼすべてのセキュリティベンダー が、2016年における脅威として、 IoTを上げる。 ? 「新たな攻撃ターゲットはIoTと制 御システム、攻撃?的にも変化の兆 し 2016年はこんな脅威が!セキュ リティベンダー10社予測まとめ(前 編)」 ? IPAでは特に、以下の4分野を取り上 げて、. IoTシステムにおける脅威分 析と対策検討の実施している。 ? デジタルテレビ ? ヘルスケア機器とクラウドサービス ? スマートハウス ? コネクテッドカー
- 12. MKT International,Inc.12 Linux Foundation イベントより ? Zemlin「セキュリティ問題はオープンソースだけでの話ではな い」と前置きしつつ,対応していなければならないことだと述 べるともに,オープンソースのセキュリティ対策には課題 ? そもそもセキュリティソフトウェアを開発すること?体が難し いことをあげました。 ? 次に,Linusの法則「??の数さえ?分あれば,どんなバグも 深刻ではない」(“Given enough eyeballs, all bugs are shallow“)が通?してないことがあると述べます。それは, 「オープンソースは,?きなプロジェクトが多くて,eyeball (??)が?りない」からだとします。
- 13. MKT International,Inc.13 そして、 ? いくつかの重要なオープンソースソフトウェアでさえ,プロ ジェクトを継続させる資?や?材の確保に課題があり,それが ?きな障害となっているからだといいます。そして,OpenSSL の件や,プロジェクト費?が?りないということでニュースに なったGnuPG など ? OpenSSLプロジェクトへの寄付は年間2000ドルに満たない
- 14. MKT International,Inc.14 Core Infrastructure Initiative (CII) ? Amazon Web Services,Cisco,Dell,Facebook,Google, HP,IBM,Intel,Microsoft,NetApp,Rackspace,VMware, 富?通,??,NECなどの各社が参加 ? CIIでは,?援が必要なオープンソースプロジェクトを?極めて, ?材獲得やセキュリティ強化といった必要経費のための資?を 提供 ? そのアドバイザリーボードには,Alan Cox,Matthew Green, Dan Meredith,Bruce Schneier,Eric Sears,Ted T?so という 錚々たるメンバーが就任
- 15. MKT International,Inc.15 CIIの活動は, ? CIIの活動は,主に次の3つになります。 ? 1つめ、、ベストプラクティスの共有です。例えば,公開されたgit リポジトリーやバグトラッカーがあり,素早いバグレポート対応を ?い,セキュリティ問題専?電?メールアドレスを持っていること などをあげます。 ? 2つめは,?援が必要なプロジェクトを?つけることです。 OpenSSL,Bash,GnuPG,NTP,OpenSSHなどです。評価した内 容をOpen Source Security Census(オープンソースセキュリティ 調査)として,開?。 ? 3つめは,監査,テスト?ツールセットなどのツールとリソースの共 有です。
- 17. MKT International,Inc.17 Census ? 評価した内容をOpen Source Security Census(オープンソー スセキュリティ調査)として,開? ? 公開されたgitリポジトリーやバグトラッカーがあり,素早いバ グレポート対応を?い,セキュリティ問題専?電?メールアド レスを持っていることなど?っている
- 21. MKT International,Inc.21 教育 ? 問題の?つは、開発者がセキュリティのベストプラクティスを 知らないということがある。 ? CIIでは、カンファアレンスなどを通じて、セキュリティのベス トプラクティスを提供していく ? また、トレーニングマテリアルも提供予定
- 22. MKT International,Inc.22 ツール 以下のようなツールを提供 ? Auditing (for example, the OpenSSL audit project) ? Test Suites ? Reproducible builds ? Frama-C false positive free scans ? Fuzzing
- 23. MKT International,Inc.23 まとめ ? ランサムウェアをはじめとしてマルウェアの増加 ? オープンソースの脆弱性とそれに対する取り组み