セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

DEF CON 2014に参加してきた!!

カンファレンス・研修

忙しく時間が取れていませんでしたが、記事を更新します。

BSidesLVの後にDEF CON 24に参加してきました。

DEF CONは、米国で開かれている最大級のカンファレンスのひとつです。通常、BlackHatというカンファレンスと一緒に参加することが多く、様々な分野の講演やデモなどが行われます。また、Villageと呼ばれる特定の分野に特化したワークショップのようなものも多数行われ、興味のある分野について人脈を形成したり、理解を深めることができました。

DEF CON 24 での講演

以前、Advanced Practical Social Engineeringというコースを受講して、SE Village(Social Engineer Village)の存在を知り、CFPに応募したところ運よくAcceptしていただきました。

www.scientia-security.org

その講演については、別途記事を書きましたのでそちらをご参照ください。

www.scientia-security.org

 

参加の様子

DEF CON 24はParis・Bally'sで行われたのですが、非常に混んでいました。

Black Hat・Bsides終了後に行われる日程のため、両カンファレンスに参加していた人が集中する、かつDEFCONだけ参加する人も多数いたため、ものすごく混んでいます。カンファレンスの内容は、ほとんどが新しい内容が多数である一方、BsidesLVやBlackHatと同じ内容の発表も一部見受けられましたので、これらに参加できなかった人にはお徳かも知れません。

また、過去参加したAdvanced Practical Social Engineeringの受講生にも遭遇し、旧交を温め、色々と情報交換をする機会にもあり、非常に有意義なカンファレンスとなりました。

いくつかの講演をピックアップ

いつも通り、講演をいくつかピックアップしたいと思います。

Weaponizing Data Science for Social Engineering

Data Scienceを活用してSocial Engineeringに必要な情報を取得する手法に関するプレゼンテーションでした。機械学習などを使っておりOSINT系のサービス応用に有益そうな内容でビックデータ分析のソーシャル・エンジニアリングへの応用は今後ますます増えてくると思われます。Black Hat側でも講演された内容らしく、スライド論文はこちらに公開されています。

Six Degrees of Domain Admin

Veris Group ATD(Adaptive Threat Division)に関する発表で、グラフ理論を使ってアクティブ・ディレクトリの関係性を可視化して、それをペネトレーション・テストに生かしていこうという考え方と新しいツールBloodHoundを紹介していました。(グラフ理論というと大げさで、グラフによる可視化ぐらいに考えた法が良いと思います。)

Veris Group ATD(Adaptive Threat Division)のツールは非常に質が高いことが有名なので、これも今後のペネトレーション・テストの標準ツールとなっていくと思います。

BSidesでも講演されていたのですが、その様子がYoutubeに公開されています。

www.youtube.com

github.com

まとめ

今回初めてDEF CONに参加しましたが、非常にクオリティが高く、話を聞いた限りでもDEF CONにあわせてツールの公開などを進めている様子がよくわかります。但し、その一方BSidesLVに限らずBSidesシリーズもかなりクオリティが高い講演がそろっているのだと実感したのも事実です。DEF CONのブランドは強力なものがありますが、DEF CONだけをチェックしていればよいという流れは少し変わってきたのかなと実感します。

ペネトレーション・テスト関連ツール 2016

ペネトレーション・テスト ツール

先日つたない記事を書いたところ、(このブログとしては)すごい反響をいただきました(かなりこっそりやっていて誰も見ているとは思わなかったので)。ペネトレーション・テストにみんな関心があるんだなと思い、もうひとつ記事を書こうと思います。

 

www.scientia-security.org


今回焦点を当てるのは、米国でどんなペネトレーション・テストのツールです。色々な講演を聞いたりしていく中で、米国ではどんなツールが使われているのかその事情がわかってきたので、そのリストを公開したいと思います。

なお、以下の2つの基準をもとに独断と偏見で選定しています。

  • 講演・ネットワークで知り合った専門家・ベンダーの話の中で、比較的よく名前が挙がったツールを選択する。(スマートフォン系は自分がそもそもをよくわかっていないので除外。)
  • 自分が知らなかったツールを選択する(3年前ぐらいからプロジェクト管理などに主軸が変化しているため、最新の知識がアップデートされていないことが多く、既に当たり前に使われているツールが含まれている可能性があります。)

紹介するほとんどのツールが利用経験があるわけではないので、これから評価していくつもりです。また、ツールを管理下にないネットワーク・サーバ・端末に行った場合、不正アクセスに該当する可能性がありますので、取り扱いにはご注意ください。

OSINT系ツール

OSINTというと、Maltagoでいいんじゃないのと思っていましたが、ほかにも色々あるみたいです。

Exploit系ツール

以下のリストを見てわかるとおり、PowerShell関連のツールが非常に多い、かつPost-Exploitationの攻撃コードが多いという印象です。

  • VEIL Framework

    • Veris Group ATD(Adaptive Defense Division)によって作られたフレームワーク。ペネトレーション・テストに必要な機能を多数提供してくれます。このフレームワークには、Veil-Evasionなど目的に応じて細分化されています。このフレームワークも多くのペネトレーション・テスターに愛用されていると聞きます。
    • 参考資料:BlackHat USA 2014 - The Veil-Framework 
  • Empire
    • Veris Group ATD(Adaptive Defense Division)によって作られたツール。PowerShellで作成されたPost-Exploitation Agentでよく利用されているツールです。
    • ちなみに、Mac OS Xに対応するためにPython版も作成されており、Empyreという名前で公開されています。
  • PowerSploit
    • PowerShellで作られたペネトレーション・テスト用のツール群です。前は、PowerToolsというツール群がVeris Group ATDによって開発されていたのですが、こちらに統合されたみたいです。
    • 例えば、PowerView(Reconディレクトリ)のGet-ExploitableSystemやGet-GPPPassword(Exfiltrationディレクトリ)などはとあるプレゼンテーションでも紹介されていました。(参考資料:Pentest Apocalypse詳細手順書
  • Responder
    • SpiderLabが開発した LLMNR・NBT-NS・MDNS poisoner。このツールは多くのペネトレーション・テスターが使っているらしく、ペネトレーション系の発表ではよく名前を聞きます。
  • Cobalt Strike
    • ペネトレーション・テストを支援してくれるツール。よく使われていると耳にするツール。Armitageと似たようなインターフェイスだが、ArmitageがMetasploitのフロントエンドとして機能するツールだが、Cobalt StrikeはよりAPTの監査やソーシャル・エンジニアリングを支援してくれる仕組みを持っている。
  • Nishang 
    • PowerShellで作られたペネトレーション・テスト用のツール群。PowerSploitとは別の系譜だと思われる。
  • NaishoDeNusumu
    • PythonでつくられたExfiltration Framework。
  • Mimikatz
    • Windows系の攻撃ツール。こちらもペネトレーションテストでよく使われていると聞きます。
  •  Parrot Security
    • Kali Linnuxに似たOSとして知られている。
  • その他(まだ出たばかりのツールや、気になるツール群を書いておきます。)

モバイル系ツール

モバイル系のツールを追加しました。

IoT系ツール

IoTのハッキングCTFみたいなもので使い方を教わったツール群。それ以外は、file・strings・Burp Suite・grep・findといつもと変わらないツール群でした。

  • binwalk(Firmware Analysis Tool)

インシデント分析系ツール

その他:PowerShell

こちらに来ると、ペネトレーション・テストをするためにはPowerShellが必須という印象を強く受けます。講演とかで「PowerShellを使っているか?」と問いかければ半数以上の人が手を上げているという感じです。Fortune 500に選ばれる企業のうち、95%が使っているという事実を考えれば、当然PowerShellを使えればペネトレーション・テストにも役立つのは自明ですが、ペネトレーション・テストの技術を深めていく上でPowerShellへの理解は外せなくなっています。

www.infosecurity-magazine.com

興味がある人は、Active Directory Securityのプレゼンテーションには目を通したほうがよいと思います。

まとめ

個人的には、PowerShellを使いここまで踏み込んだ監査が米国で行われているとは思いませんでした。ツール群をみて、Red Team Serviceはここまで踏み込むのかと思う一方、理解すべきツール群のトレンドがわかったため、少し勉強してみようと思います。

セキュリティの基本7原則

エッセイ

先日、Philadelphia InfoSec Meetupに参加してきました。今回は、Empower Security AcademyというWashington D.C.をベースとした人がセキュリティの基礎とAPI・Wiresharkについて話してくれました。

www.meetup.com

内容がビギナー向けなコンテンツでしたが、プレゼンテーションの中で触れられていたセキュリティの7原則が非常に新鮮だったのでそのことを書きたいと思います。(当然、セキュリティを仕事としている人であれば知っている内容ですが、7つ並べて見るとその重要性を再認識したため、あえて取り上げてみたいと思います。)

  1. Defense In Depth
  2. Least Privilege
  3. System Hardening
  4. CIA Triangle Triad
  5. Separation of Duties
  6. AAAs of Security
  7. Patch Vulnerable Systems and Software

Defense In Depth(多層防御)

詳しい説明は、多層防御 (セキュリティ) - Wikipediaに任せますが、ひとつの脅威に対して複数のセキュリティ保護対策を組み合わせることで、ひとつの対策が機能しない、もしくは適切に実装されていない場合でも複数の対策のいずれかで防がれるという考え方です。安全工学でも同様の概念があり、深層防御と呼ばれたり、スイス・チーズ・モデルと呼ばれることもしばしばあります。

昔、ペリメータ制御だけに頼ったセキュリティ対策を、チョコレートのM&Mに例えてM&Mモデルなんて呼ばれることもありましたが、これは典型的にDefense In Depthの考え方に反するものです。

Least Privilege(最小権限の原則)

詳しい説明は、最小権限の原則 - Wikipediaに譲りますが、システム・ユーザに対して必要となる最小の権限のみを付与すべきという原則です。これにより、通常の挙動・業務に支障をきたさない一方、万が一悪用されていても正当な業務で行える範囲に被害を局所化できるためです。とはいえ、実際問題として非定型の仕事をしている場合には、一時的に高い権限が欲しいときもあり、それを適切に運用する必要があるため、運用が非常に難しい原則だと考えられます。

System Hardening(システムの堅牢化)

システムの堅牢化に勤めるべきという考え方です。具体的には...

  • 必要最小限のポートのみオープンにする
  • 暗号化されていないメンテナンスポートは使わない
  • デフォルトのパスワードはきちんと変更する

などが挙げられます。最近のシステムは初期設定からある程度のセキュリティは担保されているケースが多いですが、各製品のベスト・プラクティスに従い適切に設定することを推奨します。

CIA Triangle Triad(セキュリティの3原則)

情報処理試験でおなじみの機密性・完全性・可用性です。

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)

セキュリティ施策を行うときにどこをゴールにすべきかを端的に表現しているもので、コンサルティングをするときに忘れてはいけない原則のひとつだと思います。個人的には、日本は可用性にすこし比重がかかりすぎていると思う一方、日本年金機構の標的型攻撃時に議論にでた「全遮断」の議論をこの原則で捕らえると、「可用性」を捨ててでも「機密性」を維持することを維持を優先すべきだという議論になるかと思います。

Separation of Duties(職務分掌)

簡単に言うと部門・個人の内容・権限・責任などの範囲を明確に定義し、不要に情報を与えたり、権限を与えたりしないことを意味します。これにより、会社の資産を守ったり、内部不正を防ぐことができます。

これを実現する手段がIAM(Identity Access Management)と呼ばれるもので権限・アクセスコントロールなどを整備するソリューションのことを意味します。

AAAs of Security(認証・認可・監査)

この英語の言い回しを知らなかったのですが、AAAとはアクセス・コントロールが兼ね備えるべき3要素を意味します。

  • Authentication(認証)
    • ユーザのアイデンティティ(本人性)を検証すること
  • Authorization(認可)
    • 認証に基づいて、権限を与えられたユーザのみがアクセスできるよう制御すること
  • Auditing(監査)
    • 認証・認可が適切に機能することを検証するため、認証・認可をログとして記録すること

Patch Vulnerable Systems and Software(パッチ・マネジメント)

システム・ソフトウェアは時間がたつにつれて、様々な脆弱性が発見され、セキュリティレベルは時間とともに低下する傾向にあります。そのため、適切にパッチを当てていくことでセキュリティ・レベルを維持することを示した原則です。様々なインシデントの多くも、既知の脆弱性を悪用することで攻撃が成立しますので、パッチ・マネジメントは重要です。

まとめ

今回は、セキュリティの7原則を挙げてみました。もちろん、これ以外にも守るべきことは沢山ありますが、これらの基本原則を忠実に守っていくことがセキュリティを高め、情報を資産を守る上でも重要なのではないかと思います。

(BlackHatに参加せず)BSidesLVに参加してきた!!

カンファレンス・研修

先日、BSidesLVに参加してきました。BSidesLVはBlackHatと同じスケジュールで開催されるカンファレンスです。

www.bsideslv.org

  • BSidesLV:8/2 - 8/3
  • BlackHat USA:8/3 - 8/4
  • DEFCON:8/4 - 8/7

BlackHatは同僚が調査に参加していること、参加費も安くないこと、またBSidesLVの様子を知りたいという好奇心に駆られ、こちらに参加しました。

結論からいうと、非常に面白いカンファレンスでした。BlackHatとほぼ同じスケジュールのため、いい講演はBlackHatに流れてしまい二流の講演しかないと勝手に危惧していたのですが、実際は質の高いカンファレンスでした。

私の個人的意見ですが、BlackHatが質が高い最高峰のカンファレンスという点には全く異論はないですが、内容はかなり学会に近しい印象があります。BSidesLVで話した人に聞いてみたところ、最近のBlackHatは商業化しすぎているというコメントをしている人もいました。一方、BSidesは過去の記事でも記載したとおりツールの発表や事例紹介などが行われ、BSidesの良さを維持していると思います。BSidesLVの参加者に話を聞いても、日々の業務の事例や工夫を知るには、BSidesLVのほうが良いという人が多くいましたし、ハッカー・カンファレンスらしさを求めてあえてBSidesLVを選ぶ人も多数いました。

BSidesLVの魅力:Undergroundセッション

BSidesLVの魅力は、参加費が安くて面白いセッションがある一方、別の魅力があります。それが、Undergroundセッションと呼ばれるセッションです。以下に、セッションの説明を記載します。

Underground - OTR talks on subjects best discussed AFK. No press, no recording, no streaming, no names. Just you and your peers, behind closed doors. Think about it.

今回のBSidesLVでは、ほとんどのカンファレンスが録画されて後で公開されるのですが、Undergroundsセッションだけは録画されず、電子機器の使用が禁止です。それどころか、スピーカーのプライバシー保護のため、スピーカーの名前、場合によっては講演内容すら公開されないという面白いセッションです(最悪の場合、手掛かりは講演タイトルだけです)。その代わり、かなり踏み込んだ内容のセッションばかりです。

その運営たるやかなり厳重で、部屋に入る前に電子機器(PC・携帯電話・スマートウォッチ)はすべて電源をオフにすることが指示され、会場に座れる人数(100名ほど)以上には入れてもらえません。一度、カンファレンスが始まるとドアは閉められ、基本的に出ることも許されません。やむを得ない事情で出る場合は、プレゼンテーションが中断され、スライドが隠された上で係員に誘導され退場します。再入場はもちろん許されません。もし、カンファレンス中に電子機器を使っていたり、電源を切っていないことが発覚したら、プレゼンテーションを中断、スタッフによる違反者探しが始まり、見つかり次第その場で退場させられます。(たぶん、顔を覚えられ、今後のUndergroudセッションへのアクセスも禁止されるようです。)

また、参加者はペンとノートによるアナログな方法のみメモを取ることが許され、当然その内容の公開は許されません。ルールに従い、その内容をここに書くことはできませんが、かなり魅力的な講演が多く、30分前に並んでも入れないカンファレンスもありました。(最初このルールを知らず、いくつかセッションを見逃してしまいました。)

いくつかの講演をピックアップ

いつもの通り、Underground以外のセッションで面白いものをいくつかピックアップして紹介したいと思います。ちなみに、スケジュールとビデオは以下の場所から確認することができます。

bsideslv2016.sched.org

www.youtube.com

Beyond the Tip of the IceBerg

Citrixに勤務する人によるFuzzingの話でした。Fuzzingに関する難しさについて解説をした後、遺伝的アルゴリズムを使って最近のFuzzingに関する話をしていました。主には、AFL(American Fuzyy Lop)というツールを利用した話中心で、RDPに対するFuzzingのデモなどが行われていました。

興味がある人は、詳しくはビデオを見てください。(2:16:00ぐらいから発表されます。)

www.youtube.com

How Commodity Programs Are Evolving Into Advanced Threats

CyberReasonのCISOに関する講演でした。タイトルをそのまま見ると、標的型攻撃ではない無差別型の攻撃がどのように標的型攻撃(APT)に変化するかということを論じるという内容でしたが、とあるブラック・マーケットの分析に比重が行われています。(このマーケットにおいて掌握された端末が売買されているため、それを利用することでAPTに脅威が変化していくという論理展開でした。)

ブラック・マーケットの分析を詳しくみることは少なく、具体的な手法がわかったため非常に面白い発表でした。興味があるかたは上記に貼り付けられている動画の4:15:00ぐらいから発表されますのでご覧ください。

The emerging threats posed by augmented reality gaming

IngressとPokemon Goにまつわるセキュリティ・プライバシー周りの話です。Ingressを中心に通信内容を解析して、どんな問題があるか詳細な分析を行っていました。C2DMが終了後も使われていることを指摘していたり、どんなプライバシデータがサーバに送信されているかが分析しており、その緻密さが目立つプレゼンテーションでした。Pokemon Goのセキュリティを知りたい人は一度見ておくと良いと思います。

上記に貼り付けられている動画の5:15:00ぐらいから発表されますのでご覧ください。

Powershell-fu: Hunting on the Endpoint

最近流行しているPowerShellを使ってThreat Huntingできるフレームワークを作成したという話でした。意外と面白いコンセプトなので、興味がある方はプレゼンテーションの資料をご覧ください。

www.slideshare.net

www.youtube.com

Hunting high-value targets in corporate networks

PCIのペネトレーションなどを実施している人たちが、企業ネットワークからどのように高付加価値なターゲット(クレジットカード)を見つけるかというテーマで解説を行っていました。少し古いですが、同じプレゼンテーションを見つけたので、興味がある人は以下を参照してください。

なお、個人的には、「スキャンして出てきた結果を検証するのはペネトレーションテストとは言わない」といっている点同感できる点で、面白かったです。

www.youtube.com

Building an EmPyre with Python

Veris Group ATD(Adaptive Threat Division)の発表でした。ATDはVerisフレームワークと呼ばれるペネトレーションテスト用のフレームワークを開発したチームでPowerShell関連のツールを中心にかなり色々なツールを開発している有名なグループです。

彼らが開発したツールのひとつにEmpireという比較的アメリカでは有名なPost-Exploitationツールが存在します。

www.powershellempire.com

github.com

今度は、Apple OS Xなどに対応するためにEmpireのPythonl版であるEmpyreを作ったというプレゼンテーションでした。

github.com

細かい点については、資料をよんだほうがわかりやすいので、こちらを参照してください。

www.slideshare.net

まとめ

BSidesLVは非常に面白いカンファレンスでした。普段は東海岸のカンファレンスを中心に参加していますが、西海岸に来ると少し雰囲気も変わりますし、トピックも変わりますのでそういう意味で色々と学びが多いカンファレンスでした。

格言から考えるセキュリティ

エッセイ

今日はすこし趣向を変えて、格言からセキュリティを考えてみたいと思います。

私がセミナーで講演をする際には、よく格言を色々引用することが多いのですが(そしてあまり好まれないのですが)、色々と示唆に含む発言も多いので個人的に好きなものを列挙してみようと思います。

孫子の『兵法』より

彼を知り己を知れば、百戦して危うからず

セキュリティの研修(特に海外)で必ず引用されるといっても良い孫子の格言です。

最近ですと、敵を知るためにCTI(Cyber Threat Intelligence)という概念が現在登場していますし、己をするためにCSC(Critical Security Control)などでも#1と#2にてデバイスとソフトウェアの棚卸しをすることが推奨されています。*1

Kevin Mitnick "The Art of Intrusion"

The adage is true that the security systems have to win every time, the attacker only has to win once.

セキュリティ・システムは常勝を義務づけられ、攻撃者は一度勝つだけで良いという格言は的を射てる。

 この格言、ソーシャルエンジニアリングで有名なケビン・ミトニックの本で紹介されていたもので個人的に好きな格言です。セキュリティ担当者の大変なところは、一度でも情報漏洩が起きてはいけないという前提があるため、非常に難しい立場におかれていることをあらわす格言だと思います。

John Lambert(Microsoft Threat Intelligence Center)

Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win.

防御側は点で考え、攻撃者はグラフで考える。これが成り立つ限り、攻撃者は勝ち続けるだろう。

元ネタは、Microsoft社のThreat Intelligence Centerに投稿されたブログのタイトルなのですが、攻撃者は防御側の想定するような方法で攻撃してくれることはなく、あらゆる手段を使って攻撃をしてきます。それを踏まえた警句になると思います。(ブログ自体はもう少しグラフによる可視化とかの話なのですが)

その観点からすると、RedTeam型の総合型ペネトレーションテストは、防御側が想定しない方法で侵入することを試行するため、有益なのだと考えられます。

blogs.technet.microsoft.com

ビスマルク

Ich ziehe es vor, aus den Erfahrungen anderer zu lernen, um von vorneherein eigene Fehler zu vermeiden.

自分の間違えを避けるため、私はむしろ他人の経験に学ぶのを好む。 

よくセキュリティ事例の研究する際に引用されることが多いのですが、他社のインシデントは研究するに値する非常によいリソースです。インシデントの詳細が公開された際には、ぜひ詳細を取得して自社に対して机上評価を行うことをお勧めします。

かのシャーロック・ホームズもこんなことを言っています。

There is a strong family resemblance about misdeeds, and if you have all the details of a thousand at your finger ends, it is odd if you can’t unravel the thousand and first.

悪事には類型というものがあるので、もし過去の1000件の事件を詳細に知っていれば1001件目の事件を解決できないなんて考えられないよ

さすがに1000の事例研究を個別でしていくのは現実的ではないですが、多くの事例を研究することにより、新しい手口でも未然防止・被害最小化につながる部分があると考えられます。そもそも、新しい手口は往々にして過去の手口の組み合わせである場合や、精緻化したものが多いですので、他社の事例は積極的に活用していくべきだと思います。

Alexander Pope “An Essay on Criticism”

To err is human, to forgive divine

過つは人の常、許すは神の業

あまり聞きなれない格言だと思いますが、もともとはイギリスの詩人アレキサンダー・ポープが残した言葉で、『批評について』というエッセイでに書かれています。この言葉の前半部分は1999年にアメリカの発表された医療事故とその防止策に関する報告書のタイトルとして採用されたため、以後有名になりました。ヒューマン・エラー分析などでは非常によくでてくるキーワードです。

特に最近の標的型攻撃は人間の心理を巧みに利用した攻撃(InfoSec Handlers Diary Blog - Managing CVE-0)が多いですので、そのことを前提とした対策をすべきという意味で参考になる警句です。ヒューマン・エラー分析の手法などは色々と参考になる部分があると考えられます。

PSYCHO-PASS #13 「深淵からの招待」 より

だが考えてもみたまえ。もしシステムが完全無欠なら、それを人の手で運用する必要すらないはずだ。(中略)いかに万全を期したシステムであろうと、それでも不測の事態に備えた安全策は必要とされる。万が一の柔軟な対応や、機能不全の応急措置。そうした準備までをも含めて、システムとは完璧なるものとして成立するのだ。

ソリューション(製品)の強い自動防御の機能などを積極的に活用する一方、インシデントに大して万全を期すためには人の手による柔軟な運用が不可欠です。個人的には、セキュリティ担当者にはシステムが大半の攻撃を防御してくれている間に研鑽に努め、有事の際に柔軟な対応ができるように備えてもらいたいと考えています。

その他:悪魔の辞典

アンブローズ・ビアスの書いた『悪魔の辞典』という書籍をご存知でしょうか? 

新編 悪魔の辞典 (岩波文庫)

新編 悪魔の辞典 (岩波文庫)

 

言葉を痛烈な皮肉やブラックユーモアで再定義したもので、シニカルなユーモアがあって個人的には結構好きなのですが、これのセキュリティ版がないかなと考えています。(ちなみに、ビジネス版はあり、これもかなり面白いです。)

ビジネス版 悪魔の辞典 (日経プレミアシリーズ)

ビジネス版 悪魔の辞典 (日経プレミアシリーズ)

 

ここでは、世の中のセキュリティ研究者が言っている「悪魔の辞典」風定義をいくつがご紹介しようと思います。

PDF

PDF = Payload Delivery Format

マルウェア解析で有名なSANS講師Lenny ZeltserのTwitterで見つけました。(言ったひとは違う人?)確かに、PDFが標的型攻撃に多数悪用されたことを考えると納得ですね。

f:id:security_consultant:20160813104330p:plain

セキュリティ診断と攻撃者について

You don't have to pay for a security assessment - someone is already doing it free. Difference is whether or not Krebs delivers the report.

セキュリティ診断にお金を払う必要なんてない。誰かが既に無料でやってている。違いは、Brian Krebs氏がレポートを書いてくれるかどうかだ。

攻撃コード開発やCTI(Cyber Threat Intelligence)のSANS講師として知られているMalware Jakeの定義です。Brian Krebs氏は、Krebs on Securityというブログでセキュリティニュースをいち早く報道することで有名な人ですが、日本風に言えばpiyolog氏が書いてくれることになるんでしょうね。

f:id:security_consultant:20160813104433p:plain

BYOD

BYOD = Bring Your Own Disaster

Permitting personally owned computing assets on your corporate network can present an unquantifiable risk to your sensitive information. Such system may not have appropriate security controls in place to present malicious activity or malware from gaining access to critical data

nuixというベンダーにもらったトランプにかかれていましたが、面白かったので引用しました。確かに、個人の端末を持ち込ませるなんて...というのは合意しつつ意外と利便性の高い考え方ではあるんですよね。

全く関係ないですが、ペンシルバニア州ではアルコール類の販売が非常に厳しく、よくBYOB(Bring Your Own Bottle)と呼ばれお酒を買って店に持ち込んだりします。

CSO (Chief Security Officer)

CSO = Chief Scapegoat Officer

情報セキュリティ統括担当役員のことをCISO(Chief Information Security Officer)とかCSO(Chief Security Officer)といいますが、情報漏洩が発生してしまった場合、その責任を取って首になるケースも多いことも多いことからChief Scapegoat Officerと呼ばれることも多いそうです。

まとめ

いくつか格言をもとにセキュリティを考えてみましたが、セキュリティという分野は色々な分野の知見を借りてきて対応する必要があると考えられます。心理学・安全学・社会学・組織行動論などの知見を総合的に活用したセキュリティを考えられると面白いと思います。(大学のセキュリティ関連のプログラムを見ていると、その傾向が見受けられて非常に良いことだと思います。)

*1:個人的には、兵法三十六計 - Wikipediaが好きで昔研究していたこともあるのですが、これのセキュリティ版とか作れないかなと思っています。