活動実績

鹿児島県内の病院のリスクアセスメントを期間限定で無料でお引き受けします

鹿児島県内の病院関係者の皆様へ、鹿児島県サイバーセキュリティ協議会は期間限定で鹿児島県内の病院のリスクアセスメントを実施することを決定いたしました。リスクアセスメントを行い、病院におけるサイバーセキュリティ強化のためのアドバイスや改善提言を行います。

本件に関して、info@kagosec.net や 0995-78-8180 へお気軽にお問い合わせください。

経済産業省の「地域SECUNITYリスト・マップ」に当団体が掲載されました。

経済産業省は、各地域に根付いたサイバーセキュリティに関するコミュニティの形成や、企業や団体等の参加を促進するために、『地域SECUNITYリスト』に掲載されている現在活動中のコミュニティを可視化することを目的としてSECUNITYリスト・マップ(https://www.meti.go.jp/policy/netsecurity/secunity.html#map)を作成しました。

そのマップに当団体も載せていただきましたことをここにお知らせいたします。普段から私たちを支えてくださる会員企業の皆様のおかげです。この場を借りて御礼申し上げます。

CODE BLUE 2021 振り返り

代表理事の西川です。

ココン株式会社様より、招待いただきましてCODE BLUE 2021(https://codeblue.jp/2021/)にオンライン参加させていただきました。

今年の講演はランサムウェアやVPN、ソフトウェアサプライチェーンの話が多かった印象です。

VPNを狙った攻撃の話では日本企業が設定ミスによって侵害されている事例が散見されているという話がありました。ここ数年間でVPN機器の脆弱性は複数確認されていて、そういったものを利用してハッキングが行われているようです。VPNを利用している企業は改めて、最新のパッチが当たっているか、最新のパッチが当たっていない期間が長ければ、認証情報を変更することも検討していただいた方がよいでしょう。また、外からアクセスが可能なものになりますので、弱いパスワードを設定している場合は、そちらも見直しをしていただきたいなと思います。そして、時々はログを確認して不審なアクセスがないか確認していただきたいと思います。観点としては、不自然な時間帯での認証やIPのロケーションを確認する方法などがあるかと思います。


攻撃者は、Shodanというインターネットに接続されている機器の開放されているポートを収集しているサイトを使って、攻撃できそうな機器を調べているとのことでした。逆に守る側も同じようにShodanを利用して、自組織の機器に余計なポートが空いていないか調べて対応しましょうという話がありました。なかなか普段Shodanを使うことはないかもしれませんが、一度試してみてはいかがでしょうか。意図せず、webカメラが公開になっているケースもこういったサイトを利用することにより確認されるケースも存在します。

ソフトウェアサプライチェーンの話では、CI/CDを狙ったものから、ウェブマーケターが追加するサードパーティースクリプトまで様々な話がありました。特に、リリースされるまでのソフトウェアサプライチェーンはSAST(静的アプリケーションセキュリティテスト)やDAST(動的アプリケーションセキュリティテスト)を通ってからリリースされるため、ある程度の安全性が保証されるわけですが、その先のユーザーが利用するまでの「ラストワンマイル」にウェブマーケターがリリース後に追加したサードパーティスクリプトが存在します。そういったサードパーティースクリプトに脆弱性がある場合に、セキュリティ担当者が気付くことができない可能性があるという話がありました。中にはユーザー操作をビデオにして再現できるスクリプトもありますが、そういったスクリプトが機密情報の入ったページに導入されてしまっていたりすると、情報資産としての管理対象外になってしまって、気づかない間に情報を漏洩してしまうことが考えられます。
また、もしウェブマーケターが悪意を持っていたらと考えるとセキュリティ担当者は頭を悩ませるのでは無いでしょうか。意外と見過ごされてしまいがちなポイントなので、マーケティング担当者には開発とは別の観点でセキュリティ教育を行なっていく必要性を感じました。


サードパーティーのスクリプトの管理を行なっていくうえで、それがメンテナンスされていて、アクティブなプロジェクトなのかどうかなどの観点でのチェックも必要であるかと思いますし、このラストワンマイルは意外とケアしないといけないところですが疎かになっている気がしました。

こういった問題は教育だけで済む場合もあれば、セキュリティ担当者やIT担当者がルールを作ってあげるなどの検討も必要かと思います。また、この問題を解決するためにセキュリティ担当者はマーケターと一緒に働きましょうという提案もされていました。

ガチガチにセキュリティを固めてしまっては、マーケティングがしづらくなってしまったりするので、匙加減が難しいところではあるのですが、なんらかの手立ては講じておきたいところですね。

ソフトな内容としては、どのようにわかりやすく伝えるか、専門用語をどう伝えるかみたいな話がありましたが、こちらはみなさん苦労していそうでした。この辺は別の機会にまとめられたらと思います。

業務端末を使用して個人のSNSを使っている場合に、攻撃者がそれを狙ってSNS経由で攻撃を仕掛け、マルウェアに感染させているという話もありました。こういったこともあるので、業務端末と個人利用を行う端末はきちんと分けた方がよさそうですね。あとはチャットサービスを狙われるとのことで、業務で利用するものに関しては強いパスワードを使って、できるだけ二要素認証を心がけてほしいと思います。

こういうカンファレンスがあったりすると、攻撃手法ばかりが取り上げられて、
“守るためにはお金を掛けないといけない”
と思ってしまいがちですが、意外と基本的な部分、例えば最小権限(必要最小限の権限を付与すること)、職務の分離などを徹底することによって、攻撃を難しくすることができます。
個人的にはこの基本的なところが徹底できるかどうかが、その後の対策がきちんと作用するかどうかに掛かってくるのではないかと思っています。ここをないがしろにして、いくら製品を導入したところで、攻撃者からみると攻撃しやすいのではないでしょうか。

というところを今回のCODE BLUEではあらためて感じました。

今回は仕事も重なって参加を迷っていたのですが、ココン株式会社の山下様よりお声がけいただき、参加を決心しました。結果的にたくさんの学びがあり、山下様には心から感謝しております。

代表理事 西川 彰

第19回コラボレーション・プラットフォームに代表の西川が登壇します

きたる10月22日(土)に経済産業省とIPAが共催で行っているコラボレーション・プラットフォームの第19回が開催されます。
https://www.ipa.go.jp/security/announce/collapla_index.html
「K字型(二分化)経済環境下でのセキュリティ投資のあり方」というテーマの中、代表の西川が、「すぐにできるセキュリティ対策/戦略としてのセキュリティ対策(仮)」という題で発表を行う予定です。また、パネルディスカッションにも参加いたしますので、是非お時間がある方はご参加いただければと思います。

経済産業省の「地域セキュリティコミュニティ【地域SECUNITY】形成・運営のためのプラクティス集」(第1版)に当団体が掲載されました。

経済産業省は、全国各地で地域に根差したセキュリティコミュニティの形成を促進ための「地域セキュリティコミュニティ【地域SECUNITY】形成・運営のためのプラクティス集」(第1版)を2021年2月17日に公開しました。
https://www.meti.go.jp/press/2020/02/20210217001/20210217001.html
また、九州経済産業局の方でも掲載いただいております。
https://www.kyushu.meti.go.jp/seisaku/jyoho/security.html

私たちの活動が一つのプラクティスとして取り上げられ、他の地域でも同じようなコミュニティ設立の参考になればということで、お引き受けいたしました。

今後もいろいろな形で地方の中小企業のセキュリティ向上を関係各所連携してやっていければと思っていますので、引き続きよろしくお願いいたします。

京セラコミュニケーションシステム株式会社様より、不登校児向けプログラミング教室「リスタート」へ講師として協力をいただくことが決定いたしました

一般社団法人鹿児島県サイバーセキュリティ協議会(所在地:鹿児島県霧島市、代表理事:西川
彰、以下「当団体」)が主催する不登校児向けプログラミング教室「リスタート」がこのたび、京セラコミュニケーションシステム株式会社(以下「京セラコミュニケーションシステム」)より、講師として協力をいただくことが決定いたしましたので、お知らせいたします。

■京セラコミュニケーションシステムの現役エンジニアが講師として加入
これまで代表理事の西川一人が講師を行っておりましたが、京セラコミュケーションシステムから現役のシステムエンジニアの方が講師としてご協力いただけることになりました。
これにより、初心者レベルのプログラミングだけではなく、より実践的な内容のプログラミング教育を提供できるようになると考えております。
まだ定員に空きがありますので、お気軽にご見学にお越しいただければと思います。(要予約)

■不登校児向けプログラミング教室「リスタート」
2020年4月よりプログラミング教育が小学校で必修化するに伴い、
学校で学んだ技術を悪用させないため、
また、技術を学ぶことによって人生を再スタートする機会となることを目的として
やむを得ない事情で不登校にならざるを得なくなってしまった子を対象に行っています。

・場所:ミヤウチラボ
(〒899-5121 鹿児島県霧島市隼人町神宮3丁目3-1)
(https://www.facebook.com/miyauchi.lab/)
・日時:毎週月曜日 10:30?13:30
・料金:無料
(保護者の同伴が必要な場合は、別途500円コワーキングスペースの利用料が掛かります)
・対象:不登校児(小・中・高)もしくは18歳以下で保護者の同意があること
・内容:簡単なプログラミングから実践的な内容までお子様にあったカリキュラムを用意致します。
使用するパソコンはこちらで受講中のみお貸し致しますが、持参いただいても結構です。
(ただし、壊れた時の保証は致しかねます)
・備考:入退出は自由です。(飲食可)

=========================
お問合せ先
一般社団法人鹿児島県サイバーセキュリティ協議会
鹿児島県霧島市牧園町高千穂3617-167
0995-78-8180
info@kagosec.net
ーーーーーーーーーーーーーーーーー

新規事業のお知らせ

新規事業のお知らせです。

4月より霧島市の「ミヤウチラボ(https://www.cafe-momo.com/blank-3)」にて、毎週月曜日に不登校児向けの無料のプログラミング教室を開講致します。

つきましては、
4月6日午前11時より30分程度、ミヤウチラボにて説明会を開催いたしますので、ご興味ございましたらご参加ください。
※この日は説明会を行いますので講義はございません。

【プログラミング教室概要】
場所:ミヤウチラボ
住所:〒899-5121 鹿児島県霧島市隼人町神宮3丁目3−1
日時:毎週月曜日10:30〜13:30
料金:無料(保護者の同伴が必要な場合は、別途500円コワーキングスペースの利用料が掛かります)
対象:不登校児(小・中・高)もしくは18歳以下で保護者の同意があること
内容:簡単なプログラミングから実践的な内容までお子様にあったカリキュラムを用意致します。
使用するパソコンはこちらで受講中のみお貸し致しますが、持参いただいても結構です(ただし、壊れた時の保証は致しかねます)
その他:入退出は自由 飲食可
定員:3名(増員する可能性もあります)
講師:西川 彰
主催:一般社団保人鹿児島県サイバーセキュリティ協議会

【講師プロフィール】
西川 彰 1984年、神奈川県鎌倉市生まれ
一般社団法人鹿児島県サイバーセキュリティ協議会 代表理事
鹿児島工業高等専門学校 情報工学科 非常勤講師
プログラミング歴16年、フリーランス歴11年

【お問い合わせ】
nishikawa@kagosec.net
もしくは
0995-78-8180
まで

この事業は、2020年4月よりプログラミング教育が小学校で必修化するに伴い、
やむを得ない事情で不登校にならざるを得なくなってしまった子を対象とし、
学校で学んだ技術を悪用させないため、また、技術を学ぶことによって、
人生を再スタートする機会となることを目的として行います。

西川個人としての想いではございますが、いじめをする側(加害者)が学校に残り、
教育を受け続けることができる一方、いじめられる側(被害者)が不登校になり、
教育を受けられず、そのまま引きこもりになり、
やりなおす機会も与えられないまま大人になっていく現状をどうにかしたく、
このような事業を企画いたしました。

なお、掛かる費用や使用する電子機器に関しましては全て
西川個人が負担もしくは所有しているものを使い、
会費を含め、当団体からの負担は一切ございません。

一般社団法人鹿児島県サイバーセキュリティ協議会
代表理事 西川 彰 拝

Micro Hardening v2@オンラインに参加しました

3月21日に私(西川)と菊永がMicro Hardening v2@オンラインという競技に参加いたしました。

本来は山口県宇部市で開催予定でしたが、新型コロナウイルスの影響でオンラインでの開催となり、
ランダムに分けられたチームのメンバーとは一度も顔を合わせることなく、
また、自己紹介することなく、競技に挑みました。

結果的には、西川のチームはメンバーにも恵まれ、最終結果17チーム4位で防御点1位、SLA(Service Level Agreement)1位タイで、菊永のチームは11位でした。

Micro Hardeningとは 1回45分の競技を複数回繰り返すものです。
必要な知識や技能は下記の通りです。
・仮想環境に接続して ECサイトを守る
・サーバソフトウェアや各種ミドルウェアの知識
・SSH 経由での Linuxコマンドによる対応

競技中には様々な攻撃が行われ、競技参加者は事象を把握し、攻撃経路の特定や、一時的な対策や恒久的な対策をとり、対応していきます。

普段の業務も同じですが、攻撃経路をまず特定できないと恒久的な対策が取れません。
そのためにログを見たり攻撃の痕跡を辿ります。
ここで大事なのは普段必要なログを取っていますか、また監査していますか
ということです。気付くことができないと何も始まりません。

次に対策や対応をとりますが、
一時的な対応や恒久的な対応などの選択を迫られます。
この辺、好みもあるかもしれませんが、
西川個人は一時的な対応(とりあえずやってみるなど)があまり好きではないので恒久的な対応でないものを入れたくないという気持ちがあったりして、
無意識的にチームには迷惑をかけていたかもしれません。

詳細はこれから様々な場所で開催されますので書けませんが、
今回のバージョンでは業務の仕様を把握すること”も”重要になっていた気がします。
終了後の他のチームの対応内容を共有いただけましたが、
業務仕様をきちんと理解して対応していたチームが、
スコアを伸ばしていて、そうでないチームはスコアが伸びていなかったように見受けられました。

もちろん、対応自体が正解かは私にはわからないので、あくまでも個人の感想なのですが、
実際に業務においてやるべき対応というのが今回含まれていたように感じます。
そういったところも踏まえてMicro Hardeningは素晴らしい競技であるように思います。

正直、個人的にはまだまだ防げる攻撃がありましたが、
当日の緊張感で頭が回らず、
やり残したことがたくさんあるので別の機会にもう1度参加したいと思っています。

また、このご時世ですので、タイミングを見計ってになりますが、
鹿児島でも開催していただけるよう調整するつもりです。
その際は鹿児島の皆様も是非ご参加いただければと思います。

最後に、無償でこのような貴重な機会を作ってくださった
株式会社川口設計 川口様には心より御礼申し上げます。

2019年10月25日(金)情報セキュリティセミナー「事例から学ぶ情報セキュリティ」を開催します

情報セキュリティは重要とはわかりつつも何から手をつけて良いかわからなかったり、どのような対策が有効なのかわからなかったり、考えれば考えるほど悩みは付きません。そこで今回は、実際に取り組まれている情報セキュリティ事例を元に参加者の皆様に学んでいただく機会を企画しました。

セミナー詳細 10月25日(金) 14:00〜17:30  
13:30開場
14:00〜14:05会場案内
14:05〜14:50楽天株式会社 サイバーセキュリティディフェンス部 ジェネラルマネージャー 福本 佳成氏 
THE FIGHT AGAINST CYBERCRIME
~ 最近のサイバー攻撃の現状とインシデント対応事例の紹介 ~
14:50〜15:15総関西サイバーセキュリティLT大会/アルティメットサイバーセキュリティクイズ主催 池田 耕作 氏 
わかっちゃいるけど後手に回ってしまう中小企業のセキュリティ対策
15:15〜15:40総関西サイバーセキュリティLTスタッフ 野波 成 氏 
脆弱性診断の高頻度化への取り組み
15:40〜16:00休憩
16:00〜16:45京セラコミュニケーションシステム株式会社 セキュリティ事業部 インテグレーション課 課責任者 熊坂 渉 氏
中小企業も他人事ではない!働き方改革推進!クラウド活用におけるセキュリティ対策
16:45〜17:30株式会社ラック エバンジェリスト / 株式会社川口設計 代表取締役 川口 洋 氏
中小企業が実施するべきサイバーセキュリティ対策

場所:TKPガーデンシティ鹿児島中央 2F 桜島プレミアム
住所:〒890-0053 鹿児島県鹿児島市中央町26-1 南国アネックス
参加費:無料
定員:100名(先着)
主催:一般社団法人鹿児島県サイバーセキュリティ協議会
後援(予定含む):鹿児島県、特定非営利活動法人ITコーディネータ協会
お問い合わせ info@kagosec.net, 0995-78-8180

お申し込みは下記 Googleフォーム よりお願いいたします。
個人情報保護方針はコチラからご確認ください。

お申し込みはこちら

高校教職員の方に対し、学校関係者が意識するセキュリティリテラシーと題して講演を行いました

段落

昨年同様鹿児島キャリアデザイン専門学校様から講演依頼を受けまして、
高校の教職員の方に対し、学校関係者が意識するセキュリティリテラシーと題して当団体理事の鶴田が講演を行いました。

当日の様子はこちらからご確認ください。