IoTペネトレーションテストの十大問題(企画編)

サイバーセキュリティは、技術を売るよりも、どうやって使うかを企画する方が面白い。

When

TOE完成度問題

ペネトレーションテストは完成度の高い部品でやるべきである」という理想と「出荷後や出荷直前に脆弱性が見つかっても簡単には直せない」という現実。このふたつのギャップに由来する。本質的な解決は不可能な問題である。市場に出荷する1年前には、発見した脆弱性を修正をすることのできる最期の試作品となることもあるが、その後で不慮の事態によって変更が生じることもまたある。代替策として、初回起動時に強制アップデートをするという例があるが、これができる製品は限定される。

補題:修正の困難性

Webサービス脆弱性であれば、データセンターにあるサーバのプログラムを直して対応完了にできるだろう。それでも困難な問題といえるであろうが、台数の多いIoT製品のプログラムを直すのはそれとは簡単さが全く異なる。出荷後の修正が必要な場合はリコールに発展し、その費用は莫大である。リコールをせずに修正すると、当局からリコール隠しと指摘される恐れがある。

関連する問題:テストは計画的に

最期の試作品がリリースされてから、発見した脆弱性を修正することができるデッドラインまでの時間は、せいぜい1〜2ヶ月しかない。このため、ずいぶん前から計画的に実施する必要がある。黎明期においては急遽で実施が決まることも多く、関係者から叱られやすい。

How

②十分性問題

「どれだけのテストケースをやれば十分と言ってよいか?」という、ペネトレーションテストにおける究極の問題である。そもそもペネトレーションテストにおいては、テストケースの網羅性を保証するのは困難であるが、一方で不十分なテストも許されることではない。これはIoTに限った話ではないが、IoTのサイバーセキュリティテストはWebの世界に比べて未成熟であるため、十分性を説明する手段が確立されておらず、より重大な問題と言える。

補題:報告書の充実度
  • 発見した脆弱性だけを報告書に書いて、それで満足する評価者
  • 報告書すら書かず、分かったことをチャットツールに書いてそれで仕事は終わったとする評価者
  • 再現手法を読んでもやり方がまったく分からない報告書
  • 海外の評価者は、契約終了後の瑕疵を絶対に認めない。

等の一連の問題。彼らは手を動かすのは好きだが、報告書を書くのは嫌いである。

③何色ボックス問題

計画段階のかなり早い時期で必ず問題となることのひとつ。評価者から「事前にどのような情報を頂戴できますか?」と聞かれて顕在化する。情報の量によって、テストできる内容が変わるため重要な判断ポイントであるが、例えばマイコンファームウェアは評価者に提供できないことも多い。ブラックボックスかホワイトボックスかは決め打ちするしかないのだが、その理由の根拠を上司に問われて悶絶する。

Why

④必要性問題

主に費用に関わる背景から、ペネトレーションテストの必要性を問われる頻度は高い。やったほうが良いのは議論の余地がないが、その分の費用は最終的にお客様が負担することになる。法律で必須となっているわけではないので、実施するための確固とした理由がない。一方で、必須にされてもそれはそれで困る。

What

⑤どれ問題

複数のシステムを組み合わせた製品では、製品全体をテストするのが難しい場合がある。その場合に、全体のうちのどのシステムをテストすべきか、システム単位だけで全体はやらなくてよいのか、といった決めねばならぬ問題が生じる。

⑥バリエーション問題

通称、バリ問題。関連する一連の製品群において、複数のバリエーションがあるときに「最初に開発される製品が最も豊かな機能を有しているとは限らない」という事実に由来する問題。最初に最も豊かな機能の製品でテストできれば、以後に再テストの必要性はないが、往々にそうではないため、その度に再実施の検討が必要になる。そして、それは悩ましい。

TOE破壊問題

評価者は、評価対象の製品をおもちゃと同じと思っているかのようだ。少なくとも製品への愛情は有していないし、値段や価値はわかっていない。このため評価対象を貸す前に、破壊の可否を強く意識づけるべきである。評価対象に対して不可逆なテストをする前には、発注者に必ず確認をさせる。

関連する問題:何個いるねん

試作品の値段は高い。それを知らない評価者は、無邪気に好きなだけ数を要求する。一方で、数が少なすぎると、もし壊れた時にテストが途中で止まるリスクがある。

How much

⑧費用妥当性問題

コンペティタが少なく、且つどの企業も確固たる見積の根拠を有していないため、費用が営業担当者のひと声によって決まりやすい。見える化も難しい。

Who

⑨評価者選定問題

評価者のスキルを定量化するための指標がない。経済産業省が基準を公開しているが、IoT向けのものはない。海外において評価会社の一覧を公開しているものはあるが、日本にはない。「有名なところにやってもらったほうがいいんじゃないか」という有声を重視する風潮。あまり厳しい要求をすると、受注できる人がまったくいなくなるか、そこまでいかなくとも選択肢がなくなってしまう。などの一連の問題の総称。

関連する問題:報告書の第三者開示

発注者が報告書を第三者へ開示するのに、事前に承諾を求める評価者がいる。競合他社への開示を躊躇することまでは同意するが、そうでもないのに開示されて困るようなテストをさせてはならない。

関連する問題:対策要否の判断が悩ましい

評価者からの指摘において、業界相場に比べて過剰な対策を推奨していたり、攻撃者による悪用が困難であったり、果ては事実と異なる推測で書かれていたりすることがある。そんな指摘であっても、発注者は報告書を読み込んで対策要否を考えなくてはならない。どうやら彼らには、指摘は多ければ多いほうがいいという勘違いと、0件では報告書を発行できないというプライドがあるらしい。しかもこの問題は、テストの終盤で明らかになるためタチが悪い。

Where

⑩運搬・輸出できないorたいへん問題

大きな製品や第三者が目にすることが許されない製品は、運搬が容易ではないため、テストする場所が限られる。そして、テスト中は社員の常時立会いが必要になる。
また、海外にいる評価者のために輸出を希望されることがあるが、輸出前に該非判定書類を作成するのは面倒で且つ時間がかかる。代わりに海外から人を呼ぶのは、渡航費や宿泊費のムダである。

モビリティ・サイバーセキュリティ・コミュニティをつくりたいので賛同者求む

コメント欄に2人以上書込みあったらやります。

コンセプト
産業報国
質実剛健
・全員参加

運営方針
・事務局は愛知県に設置
・営業活動を排除
・構成員は運営委員による招待制
・全構成員の実名と所属を共有
・運営委員は当面は自動車産業に従事する者に限定
・活動内容は構成員に限定公開

イベント開催ルール
・一日一議題に集中
有識者を講師に招いて車座を開催
・参加者は名札又はネームプレート必須
・構成員と講師のみ参加可
・全員一回以上発言必須
・遠隔会議を活用
・業務時間外に活動

重要インフラサービス障害

2016年度下期以降に発生した『重要インフラサービス障害』とみられる事例を収集します。ただし、網羅性はありません。

なお個人としては、"障害"という単語は民間企業では使わないようにと指導を受けているため、重要インフラサービス障害という呼び名は好きではありません。

2016-09-05 CAFISセンタ故障
2016-10-12 都内大規模停電
2016-11-04 JR東日本 高崎線運転見合せ
2016-11-08 博多駅前崩落
2016-11-11 ANA荷物搭載トラブル
2016-11-24 相模原市消防局 119番通報不具合
2016-12-04 埼玉県越谷市で車が電柱2本を倒して道路を塞ぎ駅伝大会が延期
2016-12-11 気象庁 ホームページコンテンツの更新不具合
2017-01-01 日本気象協会 川崎市土砂災害警戒情報誤配信
2017-01-02 米国税関 システム障害による入国手続き遅延
2017-01-27 JR九州鹿児島線 信号機故障(午前)、運行管理システム障害(午後)
2017-04-15 日本カードネットワーク決済トラブル
2017-05-27 British Airways ロンドン出発便が全欠航ー攻撃、一部で視聴不能
2017-06-29 カブドットコム証券がサイバー攻撃により36分間ログイン不可
2017-07-09 JAL国際線システム不具合
2017-10-23 JR東日本 宇都宮線信号故障
2018-01-26 コインチェック仮想通貨流出事件
2018-10-09 東京証券取引所システム障害
2018-12-06 都営浅草線全線運休
2018-12-06 ソフトバンク通信不具合
2019-02-02 日本カードネットワーク決済トラブル
2019-02-15 新幹線券売機トラブル
2019-06-01 横浜シーサイドライン逆走衝突事故
2019-06-07 大阪市システム障害

これらの作品のカテゴリーをなんというのか?

左ききのエレン 1 (ジャンプコミックス)

左ききのエレン 1 (ジャンプコミックス)

コネクト 1 (ヤングジャンプコミックス)

コネクト 1 (ヤングジャンプコミックス)

ブルーピリオド(1) (アフタヌーンコミックス)

ブルーピリオド(1) (アフタヌーンコミックス)

アリスと太陽 1 (ジャンプコミックス)

アリスと太陽 1 (ジャンプコミックス)

アクタージュ act-age 1 (ジャンプコミックス)

アクタージュ act-age 1 (ジャンプコミックス)

あったかい温泉がでる手水舎 まとめ

憧れの妹温泉旅行 由愛可奈 (MAXING美少女写真集) 神社やお寺にある手水舎に、温泉が引かれているところをまとめます。 湯量が豊富な温泉にしかできない贅沢ですので、必然としてよい温泉地に存在します。

ほかにもあったら教えてください。

場所 所在地 最寄り駅
川湯神社 北海道川上郡弟子屈町 JR釧網本線川湯温泉駅からバス
北向観音 長野県上田市 上田電鉄別所線別所温泉駅
諏訪大社上社本宮 長野県諏訪市 JR中央線上諏訪駅からバス
八剱神社 長野県諏訪市 JR中央線上諏訪駅
諏訪大社下社秋宮 長野県諏訪市 JR中央線下諏訪駅
湯前神社 静岡県熱海市 JR東海道線熱海駅
熊野神社 静岡県足柄下郡湯河原町 JR東海道線湯河原駅
修禅寺 静岡県伊豆市 伊豆箱根鉄道駿豆線修善寺駅からバス
下呂温泉神社 岐阜県下呂市 JR高山線下呂
三朝神社 鳥取県東伯郡三朝町 JR山陰線倉吉駅からバス

シャチハタで資格ロゴを名刺にスタンプする(CISSP版)

f:id:ozakira:20180728223915j:plain:right 私がいま専門にしている情報セキュリティの分野では、自分が取得した資格のロゴを名刺に印刷することがよくあります。

Googleで画像検索すると出てきます。例えばこんなかんじ。右上のロゴがそれです。

引用元:2010年、5つの思い出――Gumblarからキャンプまで:川口洋のセキュリティ・プライベート・アイズ(31) - @IT

しかし、わたしが所属している会社では、名刺に入れられる資格が限定されています(弁護士など3個くらい)。情報セキュリティの資格ごときでは、印刷してもらえません。はじめはロゴをシールにして、名刺に貼るのを考えましたが、シールは意外と値段が高いですし、枚数が多いと貼るだけで一苦労。断念していました。

そんなある日、シャチハタで自分の印鑑を買ったとき、「ロゴを浸透印でつくって名刺に捺せばいいじゃん」と思いついたわけです。さっそくシャチハタで調べると、ピッタリの商品がすぐみつかりました。

f:id:ozakira:20180728225842j:plain

商品名は「スクエアネーム12」です。

Bタイプなら文字だけでなく、マークなどが自由に指定できます。インキの色も、CISSPのロゴと同じ緑色があります。完璧です。

f:id:ozakira:20180728225307p:plain

さっそく注文してみた。

Webで注文することも考えましたが、スクエアネーム12のBタイプが注文できるWebサイトが見つからなかったので、実店舗に行って店員のお姉さんにお願いしました。「画像検索で"CISSP"と検索すると出てくるやつ」といえば大丈夫でした。

大きさは、ロゴが縦横 1cm x 1cmの大きさになるようお願いしたのですが、ハンコ屋さんから「浸透印はにじみやすいので、細い文字だと潰れてしまうかもしれない」とのコメントがあり、スクエアネーム12の最大サイズである1.2cm x 1.2 cmになりました。

わたしの最寄りのハンコ屋さんでは、2,419円でつくれるそうです。

数日まって、できたのがこちら。

f:id:ozakira:20180728232159j:plain

f:id:ozakira:20180728232202j:plain

いい感じですね。

この資格のロゴを知っている人なら、このいい感じさがより伝わるはずです。

浸透印ですから、何枚でも連続で捺せます。名刺だけでなく、いろんな所にスタンプし放題です。

まとめ

今回つくったCISSPのロゴは、まさに「シャチハタにしてください」とでもいうようなカタチです。姉妹資格のSSCPも同じようなカタチですし、インクも朱色でつくればイケそうです。資格をとった人へのプレゼントにもなりそうですね。

他の資格でも、同じようなことができそうです。ハンコ屋さん、一儲けできまっせ。

今回の資格のロゴは保有者であれば利用ができるので問題ありませんが、そうでない画像は著作権や肖像権の問題があるので注意がいりそうですね。

岐阜県三大アンタッチャブルプロブレム

青い珊瑚礁[松田聖子][EP盤]
岐阜県においてお土産を選ぶときに、お店の人には訊いてはいけないことを理解した上で、身内においてはネタにすべきトークテーマがある。よく似た概念としては、麺界の永遠のプロブレムである、名古屋における山本屋の味噌煮込みうどんや、福岡における長浜ラーメン的な位置付けといえる。

いずれも老舗だからこその悩みであり、なんともすばらしい。

すや v.s. 川上屋

中津川といえば栗きんとん。栗きんとんといえば中津川。岐阜県民に限らず、愛知県民や三重県民も含め、東海の人間は秋になると栗きんとんの禁断症状がおきる。さらに「恵那寿や」と「恵那川上屋」を加えると問題がより複雑化する。

金蝶堂 v.s. 金蝶園

大垣名物の金蝶饅頭を売る店が、駅にほど近い狭い範囲に複数存在する。店の名前もよく似ている。しかも金蝶園の方は、名前が同じ別会社が2つ存在する。さらにややこしいことに、そしてそれぞれが暖簾分けをしており、大垣以外の地にも金蝶饅頭を扱う店がある。

松浦軒本店 v.s. 松浦軒本舗 v.s. かめや

東海道中山道から外れた岩村という狭い地域にカステラ屋が3軒集中している。日本100名城の城下町くらいしか売りがなかったが、2018年のNHK連続テレビ小説『半分、青い』でロケ地となり、ほんの少しだけ盛り返した。