close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 JUnit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 Wireshark パケットキャプチャ 管理職研修 部下育成 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 テスト技法 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud 栄養学 基本コマンド ウォーターフォールモデル ヘルスケア 論理設計 ニューラルネットワーク ハンズオン UML 顧客ヒアリング マウスで学ぶ Apache EC2 Lightsail M5Stack DevSecOps プロジェクト成果 画像認識 チャットポット コマンド レビュー 基本用語 自動構築 LPIC-1 サーバーサイドJavascript キャリア形成 ワークライフバランス インバスケット テック用語 GitHub Windows エディタ 教養 令和時代 RESTful API 物理設計 会社規模300名以上 データモデリング サーバーサイドJava Webサーバー基礎 Webサーバー応用 Watson IBMWatson Learning Topics OS モバイル コンテスト トレーニング手法 アーキテクチャ 人材モデル インフラ CI/CD Infrastructure as a Code チーム開発 制度づくり Special_Intro AI市場分析 研修ロードマップ 仕事術 デジタルトランスフォーメーション 財務分析手法 情報整理 PowerPoint 新しい研修 オンライン研修 見どころ紹介 統計分析 ディープラーニング G検定 情報処理技術者試験 販売管理 C# テスト計画 Linuxサーバー WEBサーバ構築 http/2 Postfix イーサリアム プロジェクト・メンバ 正規化 パケット実験 作業分解 トラブル調査 ネットワーク設計 Windows server 2016 ネットワーク機器 DX 管理職 最新動向 ポストコロナ時代 IoTデバイス マイコンボード センサ サーバー仮想化 仮想ルータ WAN インターネットVPN 若手エンジニア ITプロジェクト 人事面談 DX人材育成 Java基礎 ZAP 脆弱性診断 NWサービス構築 イノベーション・マネジメント ネットワークセキュリティ ストレッチ Google Cloud Platform 不動産業界 テレワーク(WFH) ドリル GCP ( Google Cloud Platform ) システム業界 PMS テレワーク ビッグデータ NoSQL OWASP CentOS8 ネットワーク技術 データ分析 デザインシンキング 保険業界 会議リーダー システムエンジニア 段取り術 プロジェクト原論 文章書き換え術 ノーコード No Code MongoDB Redis Cassandra 運用管理 Windows10 仮想マシン リモートワーク 働き方 生産性 IPSec Office セキュリティマナー ソフトウェア・レビュー ライフハック 新しい働き方 エクササイズ ビジネスモデルキャンバス 状況認識 ストレス 必須コマンド Web 今日わかる きほん 状況把握 意思決定 心の健康 IT書籍 書籍紹介 営業マン 類推法 クラス プロセス指向 PdM 共用 ウェビナーレポート 地方創生 GraphQL CSS OWASP ZAP セキュリティマネジメント 問題解決 ソフトウェア 新技術 雑談力 テスト見積もり Scala Go Rust Relay Cloud AI Kaggle ITエンジニア フレッシャーズ 経営戦略 事業戦略 マインドフルネス 基本情報技術者試験 ニューノーマル プロジェクト会議 メソドロジ 講師インタビュー システム障害 販売管理システム VMware セキュリティ事例 ケーススタディ インターネット通信 ビジネスマン 品質向上 提案 ロジック図解術 バーチャルマシン 対策事例 アスリート 国の動向 アンチパターン リモートアクセス 脳ヨガ 自律神経 整え方 組み立て方 コミュニケーション術 リーダー 新人 知っておきたいこと 対人能力 洞察力 一文作成 サッカー業界 グループワーク マネジメント手法 IT業界 Octave セキュリティ管理 IT ネットワーク機器の特徴 ネットワーク機器の仕組み 基本のキ プレゼンテーションの組み立て方 伝え力 試験合格後 時短術 作成のコツ 導入事例 メンタルマネジメント メンタルヘルスケア DXプロジェクト プログラミング教育 プログラミング的思考 子供向けプログラミング データ定義言語 DDL モダンWebアプリケーション ドキュメント作成 Docker Compose Docker Hub AR VBAエキスパート試験 Azure メディア掲載 サーバーアーキテクチャ データ操作言語 DML NewSQL ソフトウェアセキュリティ 数学 VR アパレル業界 Kubernetes Power BI Android プロダクトオーナーシップ プロダクトオーナー 内製化 情報システム部門 Z世代 クラウドネイティブ 技術教育 Windows server 2019 XSS CSRF クリックジャッキング ビジネスパーソン VPC IAM AWS Fargete ECS 問題発見力 問題分析力編 Access 流通業界 金融業界 ネットワーク設定 トラブル対応 評価 ソフトウェア品質 クレーム対応 呼吸法 戦国武将 エンジニアリング 組織論 SpreadSheet GAS ゼロトラスト Express 3D Arduino 業務分析法 業務構造 経営者 ストレングスファインダー 発注者視点 情報セキュリティ 顧客体験 エンターテインメント お笑い オンライン学習 オンライン教育 学校教育 情報化社会 スポーツ デジタル戦略 ITフェスティバル2022 GoogleSpreadSheet GoogleAppsScript(GAS) SQL 問題分析力 メタバース NFT 資産形成 資産運用 Typescript WebXR 講師が注目する技術 プラクティス ローコード ホワイトハッカーに学ぶ Google Cloud LinuC レイヤ3スイッチ ホワイトハッカー ハッキング 脆弱性 ビジネススキル キャリア戦略 NFTアート リテンションマネジメント ゲーム制作 トラブル防止 システム外注 食事メソッド コード ソフトウェア設計 ドメイン駆動設計 人事評価制度 報告書 稟議書 契約書 Rails 業務自動化 価値 原則 睡眠 IT用語 DBA 炎上対策 2022年版 パフォーマンス パフォーマンス向上 Kubernetes入門 実践 チューニング 2020年代 2010年代 リモートアクセスVPN VPN構築 Railsの教科書 CCNA試験 ウェビナー 老後 人生設計 OSPF入門 Ruby on Rails 脆弱性対策 説明上手 説明力 システム障害報告 システム障害解決 いまさら聞けない 仕掛けから考える ネットワーク基礎 社会人 基礎知識 今日から変わる 睡眠マネジメント 仕事の成果を上げる 出るとこだけ 情報セキュリティマネジメント試験 狩野モデル 独学 若手向け 若手に受けてほしい ルーティング基礎 ルーティング実践 ネットワークエンジニア はじめての サイバー攻撃対策 2022 機械学習エンジニア 実演 AI基礎 Java開発 HTML Web基礎 JavaScriptフレームワーク Vue.js入門 明日から使える 最新テクノロジー 生産性向上 組織開発 PMBOK®第6版 リスクマネジメント 結合 副問合わせ Linux 実践演習 シェルスクリプト入門 マネジメント変革 押さえておきたい DHCPサーバー DNSサーバー VLANスイッチ レイヤ3 LAN NW技術 ローカルエリアネットワーク 知っておきたい 基本文法 Windowsプログラミング ネットワーク全体像 Git入門 GitHub入門 Pyhtonライブラリ プロジェクト QCD管理 Ruby入門 オブジェクト指向言語経験者向け PMBOK®ガイド第7版 ディープラーニング入門 グラフデータベース LinuC入門 サーバサイドJava入門 基礎編 応用編 AWS入門 AWSサービス ファイアウォール構築 Docker入門 データベース設計技術 オンプレミス オンプレ オンプレAD Windows Admin Centre データベース概念設計 Javaプログラミング 1日プログラミング特訓 AI開発 微分 線形代数 行列 統計検定 統計検定準拠 MySQL データベースメンテナンス データベース論理設計 ファイアウォール入門 副問合せ 顧客の売上アップ 売上アップ Azure入門 自分でつくる Docker実行環境 午後アルゴリズム問題 解き方のコツ FE シェルスクリプト実践 仮題で学ぶ 課題で学ぶ 現場 コミュニケーション管理 DX最新動向 DX推進人材 DX人材 Windows server Django データベース連携 インフラエンジニア最新動向 なんとなくわかるからもう一歩 アルゴリズム入門 アルゴリズム基礎 プログラム ハードウェア Javaアルゴリズム 1日特訓 現場でよく使う Rails入門 データベース障害復旧 Google Cloud Vision AI Dialogflow Cloud Functions Pythonプログラミング 社内資格制度 今日から使える 「仕掛け」から考える ITベンダー 診断ツール Webセキュリティ Webセキュリティ基礎 新任PM 新任PL テスト NW機器 独学できる Windows Admin Center プログラミング体験 Java開発者のための C#開発 RPA RPA入門 NWエンジニア NFT入門 だれにでもわかる サーバサイドJavq サーバサイドJava基礎 サーバサイドJava応用 炎上しないための AWSサーバ プログラム基礎 アセンブラ基礎 人工知能 ICT 課題解決 自律性 システム開発基礎 プロジェクト基礎 Webアプリ パターン別 アプリケーション開発 エンジニア初級 2022年からの 実用的な 発注 受け入れ Microsoft Office AI最新動向 良いSQL 悪いSQL データベース管理 インデックス Webの基本 NW管理 C#開発者のための ルータ TCP/IP通信 積分 数学基礎 NWセキュリティ 基本パターン JavaScriptでつくる DX時代 デザインシンキング入門 データ構造 PHPフレームワーク Linuxで学ぶ 速習 VLAN基礎 ゼロからはじめる jQuery入門 JavaScriptドリル Ruby on rails基礎 テストツール リレーショナルデータベース はじめて学ぶ データベースのしくみ 人生100年時代 令和 デザイン デザイン入門 現場ですぐに使える テーブル設計実践 情シス 外部設計 外部設計基礎 小規模ネットワーク Linux必須コマンド 違いを知ろう AWS CLI AWS CLI入門 CloudFormation NW設計 親子で作る メタバースプログラミング サーバー仮想化入門 DNSサーバー構築 秋冬版 IoT基礎 新人PM マネジメント研修 人を動かす 仕組みづくり イノベーション・マネジメント入門 心理的安全性 チーム チーム運営 3時間で学ぶ OS基礎 サーバー基礎 情報漏えい対策 プロジェクトマネジメント入門 組織改革 やさしいチームのつくりかた 簿記から学ぶ ビジネス基礎 データベースマネジメント 乃木坂46 乃木坂46に学ぶ マーケティング論 なっとく! LinuCレベル1 101試験 LinuCレベル1 101試験 ファイルシステム ディスク管理 データ分析基礎 一発OKを引き出す 資料作成術 プレゼン資料 クラウドサービス NW NW構築 SQL入門 目標達成マネジメント マネジメント基礎 目標管理 行動分析学 人の動かし方 組織の動かし方 科学的な Tableau MongoDB基礎 IoT実践 データ収集 データ自動収集 データ管理 技術者 SEのための 論理的思考 PM PL アルゴリズム再入門 GoFデザインパターン オブジェクト指向未経験者向け 令和版 失敗事例から学ぶ データベース構築 原価管理 業務連動 Access基本操作 クエリ活用 フォーム作成 レポート作成 実務事例で学ぶ 実務 知識活用 ネットワーク管理コマンド PCスキル 最強の習慣 ストレスフリー 作業効率化 Windows 11 webサーバ カラダとココロ ハワイアンストレッチ 身体のケア ストレス解消 パワーアップ リフレッシュ 1日で習得する ユーザ視点で考える 今知っておきたい UX向上 ユーザエクスペリエンス ユーザ体験 比べて学ぶ 仮想化 仮想マシンとコンテナ データサイエンスプログラミング データ視覚化 オリンピックコーチが伝える セルフマネジメントメソッド セルフイメージ 仮想環境 仮想環境で学ぶ セキュリティ実践 サーバーセキュリティ オンライン攻撃事例 質問技法 SE JavaScriptだけでつくる バッチ処理 テストデータ作成 ストアドプロシージャ バッチ テストデータ 実践編 デザイン力 テレワーク時代 収納術 インテリア術 サイバーセキュリティ 無線LAN Wi-FI 人事 BGP入門 ルーティングプロトコル 文系でもわかる 統計学入門 IPv6 IPv6入門 IPv4 人材育成 人が育つ仕組み 売れる仕組み マーケティング入門 セールスパーソン セールスマネージャー セキュリティ対策 計画の立て方 脱TCP HTTP/3 HTTP/3時代 AWS認定資格 Amazon Web Services 作業自動化 顧客折衝 Webサーバー自動構築 JavaScriptコーディング JavaScriptコーダーのための エンジニアのための ここが危ない テレワークセキュリティ サイバー攻撃事例 相手が理解し納得できる プレゼン 図解活用術 図解活用 Webアプリケーション Webアプリケーションセキュリティ クロスサイトスクリプティング OSコマンドインジェクション PowerPointで作る 資料デザイン 見やすい資料 IT業界人 知っておくべき 目の疲れ 眼精疲労 新習慣 習慣 栄養 運動習慣 イノベーション IMS ISO56000 イノベーション・マネジメントシステム 顧客視点 デザイン思考 Excel初級編 オブジェクト指向基礎 Javaでオブジェクト指向 Vue3 Vueアプリケーション FE試験 リーン開発 情報システム 情報システム開発 開発手法 C#プログラミング 応用情報技術者試験 AP AP試験 情報漏えい事例 心理学 E-R図 PMBOKから学ぶ 新人エンジニア 0年目エンジニア Webサービス Webサービス基礎 スコープ・ベースライン スコープ記述書 WBS辞書 ステークホルダ 3Dオブジェクト 3Dプログラミング canvas WebGL Three.js 3D描画 Pythonによる ローコードAI開発 Pandas scikit-learn Pycaret データ前処理 AIエンジニア Windows server基礎 攻撃対策 攻撃手段 マルウェア マルウェア対策 攻撃監視 Power BI Desktop BI ERD SQLマスター SQL実践 特訓講座 Google Apps Script AWSベースサービス Amazon ECS Amazon Elastic Container Service リーダーが知るべき Dockerビルド Docker応用 Docker構築 自動ビルド 伝達力 プランニング ネットワーク仮想化 ストレージ仮想化 達意の文章 書く力 GCP GCP入門 クラウドサービス基礎 伝わる文章 Cloud IAM Cloud Pub/Sub GCP応用 GCPリソース連携 TCP/IPプロトコル Webページ作成 コーディング NW全体像 NW機器の仕組み NW機器の特徴 つながりで理解できる マイクロサービスアーキテクチャ RESTfulアーキテクチャ Web API設計 Web技術 Web API実装 無線LAN基礎 体調快調生活 酸素不足 ITキャリア アプリケーション登録 システム基本設計 システム設計入門 PoC 成果定量化 プロジェクトアンチパターン 要求管理 IoT人材 心理的安全性の高め方 webサイト webサイト制作 タイムマネジメント原理原則 時間管理 時間効率化 時は金なり 時はいのち ECRSの原則 JavaScript実践 JavaScript基本コード NW基礎 サブネット分割 コンプライアンス基礎 情報管理 ハラスメント 社会人基礎 ハラスメント防止 ネットワークセキュリティ基礎 NWセキュリティ基礎 NoSQL基礎 3C分析 セールス 簿記3級 顧客理解 Scratch Scratchで学ぶ プログラミング未経験者向け クイックツアー プログラミング言語の歴史 IT入門 ITの歴史 Ciscoルータ IPv6移行 IPv6ルーティング 小規模NW いちばんやさしい HTML/CSS入門 正規形 JSP サーブレット WindowsServerでつくる IIS Microsoft DNS Server 工数 係数モデル FP法 ボトムアップ法 WBS法 1日で学ぼう PostgreSQL DBA必見 AI活用事例 Gitコマンド バージョン管理ソフト NW設定 RDBMS基礎 レビュー技法 リーディング技法 超特訓講座 Git中級 Git応用 CLI 契約 著作権 アプローチ手法 アプローチ ソフトウェア開発 ユーザ視点 UXデザイナー 最強の週間 IT基本用語 LinuC Lv.1 ロジカル ITパスポート試験 若手エンジニアのための ゼロトラストセキュリティ 派遣 業務請負 知的財産 トヨタ生産方式 リーン開発で学ぶ フロントエンド開発 新価値創造 新価値創造プロジェクト 事業開発 デジタル変革 DB リレーションシップ Tableau基礎 データ可視化 データ可視化ツール クエリ データ加工 Access活用 Webアプリケーションフレームワーク 社内プレゼン 健康

サイバーセキュリティの最前線を学ぶ! ~今すべきセキュリティ対策とは~|SEカレッジ ウェビナーレポート

calendar_month2022-12-08 公開

本日のテーマは、「サイバーセキュリティの最前線を学ぶ! ~今すべきセキュリティ対策とは~」です。

このテーマを日本でも数少ないホワイトハッカーである 阿部 ひろきさんに講演いただきました。

セキュリティ最前線、ホワイトハッカーというビビットな言葉から、映画の題材にもされそうな奇想天外なハッキングの手口、クールな防御策のような話を想像したのですが、意外や意外、大変失礼ながら「とても地味な対策」が中心でした。

ですが、それこそがホワイトハッカーらしい矜持だったのです!

「セキュリティは予算豊富な大企業だけがやればいいのでしょ」と思っているトップを動かしたい方や、限られたリソースでいい感じに効くセキュリティ対策をお探しの方には必見です !!

講演者 紹介
阿部 ひろき

合同会社ビーエルケー・スミス代表執行社員 CEO / 一般社団法人 IT キャリア推進協会 技術顧問 / 株式会社デジタルハーツ セキュリティラボ技術顧問
現在は北海道在住。 地元では剣道・居合道の指導も行う。
20 年以上にわたる情報セキュリティ業界の経験と現在も第一線の現場に立ち続けるノウハウにより技術支援と教育を行う。 ホワイトハッカー認定資格 CEH (Certified Ethical Hacker : Ethical は “倫理的な” という意味) 取得。
主な著書
ホワイトハッカー入門(インプレス刊)
Linux サーバセキュリティの対策とポイント (ソフトバンククリエイティブ刊)
入門講座 UNIX (ソフトバンククリエイティブ刊)
Linux サーバセキュリティの対策とポイント (ソフトバンククリエイティブ刊)

今、日本で起きているサイバー攻撃の実態について

―― 今日のウェビナーは阿部さまのご講演のあと、質疑応答という形式で進めます。
では、阿部さま、よろしくお願いします。

まず、今、日本で起きているサイバー攻撃の実態について見てみましょう。

IPA が毎年発表している「情報セキュリティ 10 大脅威の 2022 年度版」から上位 3 位をピックアップしました。

昨年順位 個人 順位 組織 昨年順位
2 位 フィッシングによる個人情報等の詐取 1 位 ランサムウェアによる被害 1 位
3 位 ネット上の誹謗・中傷・デマ 2 位 標的型攻撃による機密情報の窃取 2 位
4 位 メールや SMS 等を使った脅迫・詐欺の手口による金銭要求 3 位 サプライチェーンの弱点を悪用した攻撃 4 位
「情報セキュリティ 10 大脅威 2022 」 より

個人では、フィッシングによる個人情報の詐取、ネット上の誹謗中傷デマ、そしてメールや SMS (ショートメッセージサービス)を使った脅迫詐欺といったお金を要求するものです。

組織では、トップのランサムウェアに続き、標的型攻撃による機密情報の窃取、サプライチェーンの弱点を悪用した攻撃です。

最近ではランサムウェアによる病院の被害がニュースになっていますが、ランサムウェアで比較的多いのは、データを暗号化して使えない状態にして、データを使いたいならお金を払えというものです。

組織の中の 2 番目にある標的型攻撃は、不特定多数に攻撃をばらまくのではなく、ターゲットを決めて、ターゲットの情報を収集して、ターゲットに合ったメールを作ったり、もしくはその脆弱性を調べて攻撃する手法です。 その場合、必ずターゲットに対する情報収集が行われ、最近では、公開情報の中から情報を収集するテクニックが使われているのが特徴です。

3 つ目のサプライチェーンの弱点を悪用した攻撃は、ターゲットではなく、ターゲットのサプライチェーンの中にある取引企業やチェーンの弱いところをつく攻撃です。

ハッカーではなく単なる犯罪者による攻撃が増加

こうした脅威に関するレポートから読み取れる傾向として、攻撃者の目的そのものの変化が挙げられます。

従来は、組織に保管されている情報を自分たちの組織の利益のために盗み出す、いわゆる産業スパイや諜報組織による攻撃、あるいは自分たちの力を誇示するために攻撃を行う、いわゆるハクティビストによる攻撃がメインでした。

最近の傾向では、インターネットなどネットワークを介して行うサービスが普及したため、単なる犯罪者が簡単に利益を得る目的でサイバー攻撃をするようになっています。

もちろん、従来型の攻撃がなくなったわけではありません。 主に国家的な諜報機関、それからイラク、北朝鮮、中国、ロシアといった国からの攻撃が、より組織的に大胆に行われるようになってきています。

こうして見ると、組織と個人とも同じような攻撃が行われ、組織やサービスの規模の大小を問わず、サイバー攻撃を受けることが当たり前になったことがわかります。 つまり、ネットワークに接続して、さまざまなサービスを享受する側、もしくはサービスを提供する側は、サイバー攻撃の対策が必須になりました。

これから企業がすべき対応と対策とは

では、ここからは対策の話をします。

基本的には 2 つです。

一つが、「専門的で高度なスキルを持った人材」の育成、支援です。 育成が間に合わない場合は、アウトソースも視野に考えるべきでしょう。

そして 2 つめとして、一番大事なのが、「危機意識の共有と個人のセキュリティレベル向上」です。 まず、自分たちが今、触れているネットワークというサービスがどのような危険を孕んでいることを正しく知ること。 そして、それに対して個人のレベルでしっかり適切な対策をすることが必要です。

そのため、組織ではセキュリティポリシーが非常に重要になります。 そしてセキュリティポリシーは作って終わりではなく、守られなければ意味がありません。 ただ現在はコンサルタントや社内の専任担当者が作ったセキュリティポリシーをエンドユーザに押し付けているのが現状です。 これをエンドユーザレベルが守りやすいように工夫して見直すことが必要です。

これからこの 2 つを詳しく説明します。

情報セキュリティ人材は圧倒的に不足している

IPA の資料で見ると、情報セキュリティの人材の不足は如実に現れています。 またベンダー企業とユーザー企業を比較すると、主にユーザー企業側の不足がわかります。

セキュリティ人材育成の最前線 ~ NICT におけるセキュリティ人材育成事業 ~ より

国も手を拱いているわけではなく、各関係省庁において、さまざまな人材育成のための施策を行い、頑張っているのですが、現状でも上記のような状態です。

そう言っている間にも、ユーザー企業におけるセキュリティの重要性は、さらに増します。 このため、企業でも高度な専門人材を育成する必要があります。 IPA から「セキュリティ人材育成ガイド」が公開されているので参考にするとよいでしょう。

また、その育成も時間がかかるので、本当に高度な部分はアウトソースしたとして、その高度な専門人材とのつなぎ役として、企業の中に業務内容とセキュリティをしっかり理解した上で適切に推進する人材が求められています。

エンドユーザー層がセキュリティホール?

続いては、エンドユーザー層への取り組みです。

特に、個人も組織もマルウェアによる被害が多発しています。 攻撃者がマルウェアを使う目的は、攻撃の基点にすることです。

逆に言えば、この最初の基点となるマルウェアを防げれば、その後の侵害にならない攻撃がたくさんあります。 そして、エンドユーザーの失敗をなくせば emotet など流行しません。


マルウェアの感染ルートは、

  • 「ファイル添付」
  • 「ダウンロード」
  • 「直接インストール」
  • 「公開されているサービスの脆弱性」

根本的にはこの 4 種類しかありません。

では、対応策として何が考えられるのか。

真っ先に挙がるのが、アンチウイルスソフトとフィッシングの検知ツールですが、ただし、これらの過信は禁物です。 これらで見つけられるのは、攻撃性が低く、攻撃者のスキルが低いようなものばかりです。 例えば emotet は暗号化してアンチウイルスをパスしてきます。

ですので、これを入れておけば対策としては大丈夫とは絶対に思わないで、あくまでエンドユーザーの危機意識が先と考えてください。

また、標的型攻撃ではターゲットを絞り、十分情報収集を行った上で、取引先を名乗ったり、場合によっては、アドレス帳に入っている人からのメールという風に見せかけてメールを送ってきます。 メールの送信元を偽装することは、簡単にできます。 とは言え、添付ファイルやダウンロードに関しては、ユーザーが何かしない限り、何も起きません

つまり、いくら組織側でセキュリティ対策を頑張っても、ユーザーの注意力いかんで簡単に侵害されてしまいます。

 

最後となりますが、このウェビナーのタイトルから最新攻撃への対策を期待されているところ、原始的な対策ばかりを紹介しましたが、やはり日本に一番足りてないのはこのエンドユーザの危機意識だと考えています。

乗り物を乗るのに道路交通法が必要なのと同じなように、ネットワークに接続するなら情報セキュリティのルールを守る必要があるのです。

まとめ

最新のサイバー攻撃からその対策まで、国内でも数少ないホワイトハッカーである 阿部 ひろき さんに解説いただきました。

講演中もお話のあった病院の被害や頻発する標的型攻撃のニュースがでる一方、無意識的に「官公庁、大企業、大規模サービス向けだから、ウチはそこまで対策の必要はないかな」と思っていました。 これはかなり甘い認識だということを痛感しました。

その中で、手っ取り早く対策できるのが、エンドユーザーのセキュリティ意識を上げながら、セキュリティポリシーを守りやすくするという提案は、確かにコスト的にも見合ったものですね。

派手なクラッキングとそれに対するクールな対策ではなく、地味でも実効性の高い提案にするところが、ホワイトハッカーの矜持なのかも知れません。

 

SE カレッジ ウェビナーは旬のテーマをもとに継続して開催しています。 ぜひご参加下さいませ!

 


SEカレッジについて

label SEカレッジを詳しく知りたいという方はこちらから !!

SEcollege logo
SEカレッジ
IT 専門の定額制研修 月額 28,000 円 ~/ 1 社 で IT 研修制度を導入できます。
年間 900 講座をほぼ毎日開催中!!

午前免除 FAQ

タグ一覧