CSAジャパンブログページを新しいサイトに移動しました。
みなさま、どしどしコメントをお寄せください。
よろしくお願いします。
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
CSA Blogに「Poodle – How Bad Is Its Bite? (Here’s the Data)」の記事がアップされましたので、その概要を紹介します。(2014年10月17日)。記事については、以下のURLを参照して下さい。https://blog.cloudsecurityalliance.org/2014/10/17/poodle-how-bad-is-its-bite-heres-the-data/
POODLE (Padding Oracle on Downgraded Legacy Encryption)は、10月14日に報告された脆弱性で、クラウドサービスに大きな影響を与えるものです。Poodleの詳細なレポートが、Googleの3人のセキュリティアナリスト(Bodo Moller, Thai Duong, Krzysztof Kotowicz)によって作成されました。レポートは以下のURLより入手可能ですので、Poodleの詳細を理解したい人はこちらを参照してください。
Poodlsは、SSL v3あるいはSecure Sockets LayerプロトコルVersion3に影響を与えるもので、攻撃者がcookieをハイジャックまたは復号化できてしまうものです。これにより、パスワードなしにアカウントやセッションを乗っ取ることができてしまいます。 SSL V3自体は、すでに古いもので、TLSに置き換えられていますが、下位互換性のためにApache等のウエブーサーバでサポートされています。このフォールバック機能により、TLSで接続できなかった場合に、SSL v3で接続されてしまうことになり、この脆弱性の影響を受けることになります。
解決策としては、サーバ側でSSL V3プロトコルを無効にし、TLSv1.0以上で接続するようにすることです。もう1つ、企業のブラウザおよびプロキシー(フォワードプロキシー)で、SSL v3を無効にし、TLSv1.0以上を許可するようにすることです。別の対策として、OpenSSLが出しているパッチ(CVE-2014-3566)を適用し、TLS_FALLBACK_SCSVを有効にする方法があります。ただし、このパッチは、サーバとクライアントの両方に適用されている場合に有効になるため、どちらかが適用されていない場合にはSSL v3にダウングレードしてしまう可能性があります。したがって、これはTLSに対応していない(SSL v3で 接続しなければならない)サーバにどうしてもアクセスしなければならないケースで、社内システム等で攻撃者から狙われる可能性の無い環境である場合の処置 と考えた方が良いようです。これは、パッチを適用する必要が無いということではなく、パッチを適用することは推奨されますが、根本的な対応は、あくまでSSL v3を無効にすることです(このパッチの内容等については、こちらのubuntuの情報を参照)。
現時点(記事が出された時点)で、まだ61%のクラウドサービスがPoodleの脆弱性に対応していないということです。クラウドプロバイダの早急な対策が必要とのことです。
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
9月に開かれたCSA Congress 2014について、CSA(U.S.)のブログに4つの主なトピックについてレポートされましたので紹介します。原文は、以下のURLになりますので、合わせて参照してください。
https://blog.cloudsecurityalliance.org/2014/10/01/csa-congress-recap-roundup/
日本クラウドセキュリティアライアンス 業務執行理事 勝見 勉
さて、CSA Congress 2014の報告 第2弾になります。
オープニングで音楽が鳴り終ってまず登場したのが、総合司会の方。IAPPのえらいさん(No.2か3)なのですが名前は聞き取れませんでした。イベント全体の進行役。偉い人。にしてこれです。アメリカはcasual。日本みたいに〇〇端麗なMCの登場ということはまずありません!!むしろ、そこそこの地位の人がspeakerを紹介する、というのが礼儀のようです。CSA主催のイベントの場合は、その役はいつもJim Reavisです。
ところで服装について言えば、TシャツGパン姿もいる中で、スーツにネクタイの人もいます。最近の日本ならあり得そうな「短パン」は、でも、全然いませんでした。(全体で300-400人集まっている中で)基本的にプロトコルがないかというと、日本よりは「あり」だと、私は見ています。参加者への案内メールには、服装にも触れています。今回の場合は「go sport!」。
それでも初日のIAPPのaward、締めの全体集会でのCSAのawardは、渡す側はスーツにネクタイ。受け取る側は、ネクタイありもいましたが、おおむねジャケットノーネクタイ。この会議はそれほど過激じゃないと言えるでしょう。私に賞を手渡してくれたJim Reavis(CSAのCEO)は、トラブルかあって急きょ自宅からスーツを取り寄せたとか。FedExの迅速さと「私の奥さんは私の靴のサイズを分かっている」こととをたたえて(ノロ気て?)笑いをとっていましたが。
服 装でもうひとつ面白いのは、夕方のパーティ(会場内で立食・スナック程度)になると、女性の多くはいつの間にかドレスに着替えて現れること。時には男も派 手なボウタイなどして登場する奴もいますが。ひんしゅく覚悟で言うと、きれいな女性ほどよりきれいになって登場したりしますね。
さて、少しマジな話。でももう一つトピック。
プログラムでKeynote speakerとして紹介されていた、Adrienne Hall, General Manager, Trustworthy Computing, Microsoft Corp.が突然キャンセル。理由は皆さん、今なら察しが付くかもしれませんが、MSの突然のリストラ発表にありました。Trustworthy Computing (TWC)部門の解散と一部解雇および配置換えが行われたためでした。これは18000人リストラ計画の一環と読めますが、MSにおけるソフトウェア品質の元締め、少なくともそのシンボル的存在であったTWCの閉鎖は、ショッキングなニュースでした。Jim Reavisも、MSで何があったのか、と心配していました。
関連して、ZDNet Japanはその記事の中でこう指摘しています(記事の内容については、こちらを参照してください)。「折しも、問題のある月例パッチ(セキュリティに関連するものと関連しないものの双方)がコンシューマーの元に届けられるという事態が増えてきていると考えられる点について、多くのITプロフェッショナルの間で懸念が高まってきている。」Jim同様、私も心配です。
さて、続報は準備でき次第お伝えします。
なお、プログラムとプレゼンファイルはこちらにあります。ご参考までに。https://privacyassociation.org/conference/iapp-privacy-academy-2014/https://privacyassociation.org/conference/iapp-privacy-academy-2014/sessions/#1BAF591D-4633-40E3-912F-B513FC585871
日本クラウドセキュリティアライアンス 業務執行理事 勝見 勉
CSAとして、Congress(秋に行う、教育プログラムを含んだグローバルカンファレンス)は5回目のはずです。昨年まではフロリダ州オーランド(Disney Worldで有名)で、MIS Training Instituteがorganizerとなって実施されてきましたが、今年はIAPP(International Association of Privacy Professional)との合同で、IAPP Privacy Academy & CSA Congress 2014 として、場所もシリコンバレーの中心、San Jose Convention Centerに移っての開催です。
16,17日とpre-conference eventがあり、18日と19日がメインプログラムとなっています。
17日と18日には、コンファレンスプログラムが終了後、展示エリアでのdinnerまでの間の5 minutes mixer hourが行われました。これは日本でいえば集団お見合いイベントに似ていて、長いテーブルを挟んで向かい合わせに座った人同士が自己紹介したり、共通関心領域やビジネスの可能性を探ったりする場で、5分経つと椅子を一つずつずれる、ということで、多くの出会いを演出する趣向です。1時間もやるので、ロスタイムを入れても10人ぐらいとは話ができるわけで、なかなか効率の良い「商談発掘の場」と言えそうです。
オープニングキーノートのトップバッターは、Judith Donathという、ハーバードのフェロー、前MITメディアラボ・ソーシャルメディアグループのディレクターという経歴の女性でした。プライバシーについての考察でした。60年 前のカフェのスナップ写真を紹介し、皆正装してお茶を飲んでいると指摘。そこから人々はどんどんカジュアルになる、つまり「公」と「私」の境・垣根が低く なる方向に行き、一方「公」におけるセキュリティ目的の監視は激しくなる、という中でプライバシーはどう担保されるのか、という切り口での考察でした。
ア メリカでは、「個人情報」よりもプライバシーが強く意識されています。逆に言うと個人情報、特に個人識別情報については、全くオープンです。この会議の配 布資料にも、参加登録したすべての人の氏名と所属がリストとして入っています。私の個人的感覚からは、こちらがまともに見えますが。
ということで、物理・サイバーを含むセキュリティを確保するための公的部門の役割と、そのために収集されるプライバシーにかかわる情報の保護と利用は、ますます複雑な、いろいろの考えが錯綜する課題となりそうだ、という感じで聞いていました。
続報は、準備でき次第お伝えします。
なお、プログラムの詳細はこちらを参照してください。https://cloudsecurityalliance.org/events/csa-congress-2014/
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
CSA(米国)は、第2回Hackathonを9月開催のCSA Congress 2014で開始することをアナウンスしました。
これは、CSAが公開するパブリッククラウドに対して、世界中から参加者が侵入を試み、見事侵入に成功して目的の情報を入手した場合には、CSAが$10,000の賞金を差し上げるというものです。
このパブリッククラウドは、Software Defined Perimeter (SDP)によって守られています。第1回のHackathonは、今年の2月のRSA Conferenceで行われ、5日間に世界中(中国、ロシア、米国、ブラジル、ルーマニア、ハンガリー、アルゼンチン、香港、英国、チリ、韓国、その他)から100,000以上のアタックが行われましたが、誰も成功しませんでした。
CSAでは、SDP Working GroupでSDPの研究を進めており、セキュリティが非常に重要である企業や政府機関によって業界標準として広く採用されるように進めています。
第2回Hackathonの詳細につきましては、英語になりますが、以下のURLを参照してください:
みなさまも挑戦してみてはいかがでしょうか。
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
CSAのブログに、2014年8月4日にアップされた“THE 20 TOTALLY MOST POPULAR CLOUD SERVICES IN TODAY’S ENTERPRISE”について、その概要を報告します。詳細(英語)につきましては、以下のURLを参照してください。また、詳細なレポートもこのウエブページの最後にポイントされていますので、合わせて参照してください。
このブログでは、もっとも人気のあるクラウドサービスについて、企業向けおよびコンシューマ向けのそれぞれについてのサーベイの結果を記述しています。サーベイは、Skyhigh Networks社が、200以上の企業の1050万人の従業員に対して行っています。
なお、実際のTop20のリストについては、上記URLを参照してください。ここでは、ブログに書かれている特長/傾向について記述します。
もっとも人気のある企業向けクラウドサービスTOP5
以下の4つのベンダーが、レガシーのオンプレミスのソフトウエアをクラウドに移行するのに成功している:
以下の3つのプロバイダが、数十億ドル(数兆円)を達成している:
Top4カテゴリーは以下である:
もっとも人気のあるコンシューマ向けクラウドサービスTOP5
上位を占めるプロバイダ
Top3カテゴリー
なお、コンシューマ向けアプリケーションを企業で使用する場合、Data Lossのリスクがあるということを本ブログでは指摘しています。このData Lossは、マルウエアによって引き起こされるもので、注意が必要とのことです。
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
7月30日に行われた掲題の勉強会の内容について概要を報告します。
まず、日本HP社の吉田豊満さんからCCSK資格について、試験内容、および、日本HPさんで行われているCCSKトレーニングについて説明がありました。
① CCSK Foundation (座学)
② CCSK Plus (AWSを使った演習)
次に、ラスカウスキー 照美さんによる、CCSK試験の内容、CCSKトレーニングの内容の説明がありました。ラスカウスキーさんは、情報セキュリティコンサルタントとして25年くらいの経験があり、トレーニングも行っています。
① 試験内容 Internetでの受験となる。情報を見ながら行うことが許されている。したがって、横にCSAのガイダンス、ENISA、Googleを開いて行うことができる。ガイダンス等を読んでおくことで、質問の該当箇所がどこかがわかるのがよい。なお、Internet接続が確実なところで受験するのが良い。途中で回線が切れたりした場合には、試験自体が終了となってしまうため。
② 合格への近道トレーニングを受講するのは有効。 CSAガイダンス、ENISAリスクレポートを読む。トレーニングを受けたら、速やかに試験を受ける。
最後に、諸角よりCCSK体験談を説明しました。CCSK対策のポイントとしては、以下の5点があります。
なお、勉強会の資料は、CSAジャパンのウエブサイトより公開されています。こちらを参照してください。
ブログを開始します。CSA-JCメンバーによるクラウドセキュリティに関する情報を、ここから発信します。
また、CSAのBLOGから、興味深い内容について翻訳あるいは解説付きで公開します。
日本クラウドセキュリティアライアンス 理事 諸角昌宏