5.1K Views
May 08, 22
スライド概要
【SecHack365特別企画】「セキュリティの仕事(しごと)ってなに?」https://connpass.com/event/246836/
で使ったスライド+αです。
セキュリティのお仕事(しごと)と SecHack365 園田道夫
Who am I ? • 園田道夫(そのだみちお、@sonodam) • 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター センター長 • https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://rpci.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、 講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • 中央大学理工学研究所客員研究員 • 大阪大学非常勤講師 2
Who am I ? • SECCON実行委員(事務局長) • https://www.seccon.jp/2019/seccon/executivecommittee.html • SecHack365主催・トレーナー • https://sechack365.nict.go.jp/ • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催&プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • Hack in the box, Review Board • https://cfp.hackinthebox.org/ 3
Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html 4
主な関係コンテンツ • 監訳:「ブラウザハック」,「ファジング」, 「ハニーネットプロジェクト」,「実践パケット解析第一版」 • 翻訳:「実用SSH第二版」,「暗号技術大全」,「 Snort2.0侵入検知」 • 著作:「アクセス探偵IHARA 」, 」,「Winnyはなぜ破られたのか」, 「アクセスガール明日香危機一髪」, 「企業情報ネットワークの保護管理」他 • Web連載:「にわか管理者奮闘記シリーズ」 • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns 5
主な研究関係 • 数理モデル的な・・・ • 攻撃検知(分類) • 目grepによる攻撃検知 • 学習効果の可視化、スキルの可視化 • 設問評価(数学,CTFなど)、設問自動作成 • デマ検知 • 他多数 6
セキュリティの仕事は2種類(しゅるい) • セキュリティの問題(もんだい)が起きないように動かす •謎解き(なぞとき) 7
謎解き仕事 • コンピューターウイルスやアクセスログを解析(かいせき) • 脆弱性(ぜいじゃくせい=セキュリティ上の問題点)を見つける • 建物(たてもの)の保護(ほご)の穴(あな)を見つける • トラブルの原因(げんいん)をつきとめる 8
安全(あんぜん)な○○を作 (つく)る • 安全なシステムを作る • 安全なシステムを作らせるシステムを作る • 安全なサービスのための基盤(きばん)を作る • 人間(にんげん)が危(あぶ)ないまちがいをしないシステムを作る • 人間(にんげん)が危(あぶ)ないまちがいをしないルールを作る 9
安全な○○を作れる人(ひと)を育(そだ)てる • 安全なシステムを作る • 安全なシステムを作らせるシステムを作る • 安全なサービスのための基盤(きばん)を作る • 人間(にんげん)が危(あぶ)ないまちがいをしないシステムを作る • 人間(にんげん)が危(あぶ)ないまちがいをしないルールを作る • ↑↑↑こういうことができる人を育てる 10
世界的(せかいてき)に解決(かいけつ)され ていない課題(かだい)を解決する • セキュリティには 解決されていない課題が多(おお)い • 新(あたら)しい危険(きけん)が 増(ふ)え続(つづ)けている 11
コンピューターウイルスとの長(なが)い 戦(たたか)い • ウイルスの登場(とうじょう)は1971年(50年以上前) • 有害(ゆうがい)なウイルスは1981年に登場 • 過去(かこ)に生まれたウイルスのリストの中のどれかと同じもの かどうか確(たし)かめるやりかたが効果的(こうかてき)だった • 今は生まれる数(かず)が多すぎて、リストの更新 (こうしん)が追いつかない 12
コンピューターウイルスを見つけるには • コンピューターウイルスもアプリ、ソフトウエアのひとつ • コンピューターを使う人にとって悪いものか、良いものか →有害(ゆうがい)か、それとも有益(ゆうえき)か →してほしくないことか、してほしいことか 13
コンピューターウイルスを無くすには • 作らせない • 作ったとしても配(くば)らせない • 配れたとしても動(うご)かせない • 動いたとしても悪いことをさせない • 悪いこと=人の情報(じょうほう)を盗(ぬす)む • 悪いこと=人の情報(じょうほう)を人質(ひとじち)にしてお金をとる • 動いたとしてもすぐに無かったことにする 14
本物(ほんもの)と全部(ぜんぶ)同じ 偽物(にせもの) • 人間には違(ちが)いがわからない • →違いをわからせるにはどうしたら良いか • →違いがわからなくても安全にするにはどうしたら良いか 15
SecHack365で作るもの、すること • 安全を守(まも)る仕組み • 安全を守る手助けをする仕組み • 便利(べんり)なものを安全にする仕組み • 安全で便利なものを作る • 安全な行動(こうどう)をみんなに知らせる •作りたいものを作る! 16
SecHack365 • 1年(ねん)かけてものづくり • ものづくりの先輩(せんぱい)からのアドバイス たっぷり • 同(おな)じ趣味(しゅみ)の仲間(なかま)たくさん ※ • 日本各地(にほんかくち)をまわる • 良い習慣(しゅうかん)とたくさんのアイディア ※新型(しんがた)コロナウイルスのことが落ち着いたら。 17
コースの紹介(しょうかい) 学習駆動(がくしゅうくどう) 新しいことを学(まな)びながら進(すす)める ものづくり 表現駆動(ひょうげんくどう) たくさんの仲間と進めるものづくり 研究駆動(けんきゅうくどう) 新しい研究とものづくり 開発駆動(かいはつくどう) 安全で便利な、何(なに)かの助(たす)けにな るものづくり 思索駆動(しさくくどう) 課題について考(かんが)え続けるものづくり 駆動(くどう)とは、それをきっかけにする、という意味(いみ)。 https://sechack365.nict.go.jp/course/index.html 18
昨年度(さくねんど)の成果物(せいかぶつ) • • • • • • • • キーボード打鍵音による入力推定攻撃とその対策 開発環境に馴染むWebアプリ向けFuzzingツールSecHackFuzz トジウル 第三者視点を与えるTwitterクライアントアプリ コマンドライン競技 シェルゲー ~セキュリティ × 身近な○○~ セキュリティ料理 音遊びプログラミング言語 Oto プライバシーポリシーまもるくん 攻撃しない人を育てるNort • https://sechack365.nict.go.jp/presentation/ 19
アンケートと応募(おうぼ) • アンケート • https://docs.google.com/forms/d/1BAisncV0pW6 niZyXWwIQw2Qb2_xUgWOsSFKAMgxMGOM/edit • SecHack365に応募する • https://sechack365.nict.go.jp/requirements/ 20
21