IoTペネトレーションテストの十大問題(企画編)
サイバーセキュリティは、技術を売るよりも、どうやって使うかを企画する方が面白い。
When
①TOE完成度問題
「ペネトレーションテストは完成度の高い部品でやるべきである」という理想と「出荷後や出荷直前に脆弱性が見つかっても簡単には直せない」という現実。このふたつのギャップに由来する、本質的な解決は不可能な問題。市場に出荷する1年前に、発見した脆弱性を修正をすることのできる最期の試作品がつくられることもあるが、その後で不慮の事態によって変更が生じることは避けられない。代替策として、初回起動時に強制アップデートをするという例があるが、これができる製品は限定される。
補題:修正の困難性
Webサービスの脆弱性であれば、データセンターにあるサーバのプログラムを直して対応完了にできるだろう。それでも困難な問題といえるであろうが、台数の多いIoT製品のプログラムを直すのはそれとは簡単さが全く異なる。出荷後の修正が必要な場合はリコールに発展し、その費用は莫大である。リコールをせずに修正すると、当局からリコール隠しと指摘される恐れがある。
関連する問題:開発は計画的に
特にマルチメディアの部品は開発日程が延期されがち。テスト時期に機能が未実装のことがある。
関連する問題:テストは計画的に
最期の試作品がリリースされてから、発見した脆弱性を修正することができるデッドラインまでの時間は、せいぜい1〜2ヶ月しかない。このため、ずいぶん前から計画的に実施する必要がある。黎明期においては急遽実施が決まることも多く、関係者から叱られやすい。
How
②十分性問題
「どれだけのテストケースをやれば十分と言ってよいか?」という、ペネトレーションテストにおける究極の問題である。そもそもペネトレーションテストにおいては、テストケースの網羅性を保証するのは困難であるが、一方で不十分なテストも許されることではない。これはIoTに限った話ではないが、IoTのサイバーセキュリティテストはWebの世界に比べて未成熟であるため、十分性を説明する手段が確立されておらず、より重大な問題と言える。
Why
④必要性問題
主に費用に関わる背景から、ペネトレーションテストの必要性を問われる頻度は高い。やったほうが良いのは議論の余地がないが、その分の費用は最終的にお客様が負担することになる。法律で必須となっているわけではないので、実施するための確固とした理由がない。一方で、必須にされてもそれはそれで困る。
What
⑤どれ問題
複数のシステムを組み合わせた製品では、製品全体をテストするのが難しい場合がある。その場合に、全体のうちのどのシステムをテストすべきか、システム単位だけで全体はやらなくてよいのか、といった決めねばならぬ問題が生じる。
関連する問題:リバエン禁止条項
構成部品の納入元とリバースエンジニアリングを禁止する契約をしている場合、テストができない。
⑥バリエーション問題
通称、バリ問題。関連する一連の製品群において、複数のバリエーションがあるときに「最初に開発される製品が最も豊かな機能を有しているとは限らない」という事実に由来する問題。最初に最も豊かな機能の製品でテストできれば、以後に再テストの必要性はないが、往々にそうではないため、その度に再実施の検討が必要になる。そして、それは悩ましい。
⑦TOE破壊問題
評価者は、評価対象の製品をおもちゃと同じと思っているかのようだ。少なくとも製品への愛情は有していないし、値段や価値はわかっていない。このため評価対象を貸す前に、破壊の可否を強く意識づけるべきである。評価対象に対して不可逆なテストをする前には、発注者に必ず確認をさせる。
How much
⑧費用妥当性問題
コンペティタが少なく、且つどの企業も確固たる見積の根拠を有していないため、費用が営業担当者のひと声によって決まりやすい。見える化も難しい。
Who
⑨評価者選定問題
評価者のスキルを定量化するための指標がない。経済産業省が基準を公開しているが、IoT向けのものはない。海外において評価会社の一覧を公開しているものはあるが、日本にはない。「有名なところにやってもらったほうがいいんじゃないか」という有声を重視する風潮。あまり厳しい要求をすると、受注できる人がまったくいなくなるか、そこまでいかなくとも選択肢がなくなってしまう。よく言ってナレッジベース、悪く言って好き勝手にテストすることしかしない。ロジカルシンキングができない。読むひとのことを考えずに報告書を書く。途中で評価者が退職する。などの一連の問題の総称。
関連する問題:エコシステム未成熟問題
ペネトレーションテストに代表されるテストや評価は、新興サイバーセキュリティ企業にとってとっかかりにしやすいサービスである。さらに、サイバーセキュリティの専門家を名乗る者が、コメントとして「ペネトレーションテストが必要」と言いやすいがため、業界のガイドラインに書かれやすい。一方で、新興企業のサービス提供レベルは一般に低い。品質にかかる企業内ルールがない。また第三者であるがゆえに、各製品の開発者においては常識や共通認識とされる知識を有さない。これにより、ガイドラインでは必要と謳われるのにも関わらず、実際にはサービス提供側の体制が整っていない状態が生じる。
第三者開示
発注者が報告書を第三者へ開示するのに、事前に承諾を求められることがある。競合他社への開示や、「○○社に評価してもらっています」と公表されるのを躊躇することまでは同意できる。一方で、そうでもないのに開示されて困るようなテストをしてはならない。
再テスト時の評価者
初回のテストで脆弱性が発見された場合に、修正後の再実施において同じ評価者がテストする必要かあるかという疑問が生じる。答えは、テストの位置づけによって決まる。通常は、初回のテストの際に、再現性手順を評価者が示していれば、開発者にも再実施できるので、同じ評価者による再実施は必要ない。ただし、監査の位置づけでテストする場合に限っては、再実施も開発者以外の評価者が実施するべきである。またこの場合は、評価者が誰なのかを社外に公告できることが条件である。
関連する問題:対策要否の判断が悩ましい
評価者からの指摘において、業界相場に比べて過剰な対策を推奨していたり、攻撃者による悪用が困難であったり、果ては事実と異なる推測で書かれていたりすることがある。そんな指摘であっても、発注者は報告書を読み込んで対策要否を考えなくてはならない。どうやら彼らには、指摘は多ければ多いほうがいいという勘違いと、0件では報告書を発行できないというプライドがあるらしい。しかもこの問題は、テストの終盤で明らかになるためタチが悪い。
重要インフラサービス障害
2016年度下期以降に発生した『重要インフラサービス障害』とみられる事例を収集します。ただし、網羅性はありません。
なお個人としては、"障害"という単語は民間企業では使わないようにと指導を受けているため、重要インフラサービス障害という呼び名は好きではありません。故障といえばよいのでは?
2016-09-05 CAFISセンタ故障
2016-10-12 都内大規模停電
2016-11-04 JR東日本 高崎線運転見合せ
2016-11-08 博多駅前崩落
2016-11-11 ANA荷物搭載トラブル
2016-11-24 相模原市消防局 119番通報不具合
2016-12-04 埼玉県越谷市で車が電柱2本を倒して道路を塞ぎ駅伝大会が延期
2016-12-11 気象庁 ホームページコンテンツの更新不具合
2017-01-01 日本気象協会 川崎市土砂災害警戒情報誤配信
2017-01-02 米国税関 システム障害による入国手続き遅延
2017-01-27 JR九州鹿児島線 信号機故障(午前)、運行管理システム障害(午後)
2017-04-15 日本カードネットワーク決済トラブル
2017-05-27 British Airways ロンドン出発便が全欠航ー攻撃、一部で視聴不能に
2017-06-29 カブドットコム証券がサイバー攻撃により36分間ログイン不可
2017-07-09 JAL国際線システム不具合
2017-10-23 JR東日本 宇都宮線信号故障
2018-01-26 コインチェック仮想通貨流出事件
2018-09-06 北海道胆振東部地震による大規模停電
2018-10-09 東京証券取引所システム障害
2018-12-06 都営浅草線全線運休
2018-12-06 ソフトバンク通信不具合
2019-02-02 日本カードネットワーク決済トラブル
2019-02-15 新幹線券売機トラブル
2019-06-01 横浜シーサイドライン逆走衝突事故
2019-06-07 大阪市システム障害
2019-09-09 台風15号による大規模停電
2020-02-23 名古屋高速道路の事務員の新型コロナウイルス感染による料金所閉鎖
2020-02-23 日本IBMデータセンタの電源障害で住信SBIネット銀行/地方銀行のサービス停止
2020-1-01 東証/名証/札証、終日全銘柄取引停止
あったかい温泉がでる手水舎 まとめ
神社やお寺にある手水舎に、温泉が引かれているところをまとめます。 湯量が豊富な温泉にしかできない贅沢ですので、必然としてよい温泉地に存在します。
ほかにもあったら教えてください。
場所 | 所在地 | 最寄り駅 |
---|---|---|
川湯神社 | 北海道川上郡弟子屈町 | JR釧網本線川湯温泉駅からバス |
北向観音 | 長野県上田市 | 上田電鉄別所線別所温泉駅 |
諏訪大社上社本宮 | 長野県諏訪市 | JR中央線上諏訪駅からバス |
八剱神社 | 長野県諏訪市 | JR中央線上諏訪駅 |
諏訪大社下社秋宮 | 長野県諏訪市 | JR中央線下諏訪駅 |
湯前神社 | 静岡県熱海市 | JR東海道線熱海駅 |
熊野神社 | 静岡県足柄下郡湯河原町 | JR東海道線湯河原駅 |
修禅寺 | 静岡県伊豆市 | 伊豆箱根鉄道駿豆線修善寺駅からバス |
下呂温泉神社 | 岐阜県下呂市 | JR高山線下呂駅 |
三朝神社 | 鳥取県東伯郡三朝町 | JR山陰線倉吉駅からバス |
シャチハタで資格ロゴを名刺にスタンプする(CISSP版)
私がいま専門にしている情報セキュリティの分野では、自分が取得した資格のロゴを名刺に印刷することがよくあります。
Googleで画像検索すると出てきます。例えばこんなかんじ。右上のロゴがそれです。
引用元:2010年、5つの思い出――Gumblarからキャンプまで:川口洋のセキュリティ・プライベート・アイズ(31) - @IT
しかし、わたしが所属している会社では、名刺に入れられる資格が限定されています(弁護士など3個くらい)。情報セキュリティの資格ごときでは、印刷してもらえません。はじめはロゴをシールにして、名刺に貼るのを考えましたが、シールは意外と値段が高いですし、枚数が多いと貼るだけで一苦労。断念していました。
そんなある日、シャチハタで自分の印鑑を買ったとき、「ロゴを浸透印でつくって名刺に捺せばいいじゃん」と思いついたわけです。さっそくシャチハタで調べると、ピッタリの商品がすぐみつかりました。
商品名は「スクエアネーム12」です。
Bタイプなら文字だけでなく、マークなどが自由に指定できます。インキの色も、CISSPのロゴと同じ緑色があります。完璧です。
さっそく注文してみた。
Webで注文することも考えましたが、スクエアネーム12のBタイプが注文できるWebサイトが見つからなかったので、実店舗に行って店員のお姉さんにお願いしました。「画像検索で"CISSP"と検索すると出てくるやつ」といえば大丈夫でした。
大きさは、ロゴが縦横 1cm x 1cmの大きさになるようお願いしたのですが、ハンコ屋さんから「浸透印はにじみやすいので、細い文字だと潰れてしまうかもしれない」とのコメントがあり、スクエアネーム12の最大サイズである1.2cm x 1.2 cmになりました。
わたしの最寄りのハンコ屋さんでは、2,419円でつくれるそうです。
数日まって、できたのがこちら。
いい感じですね。
この資格のロゴを知っている人なら、このいい感じさがより伝わるはずです。
浸透印ですから、何枚でも連続で捺せます。名刺だけでなく、いろんな所にスタンプし放題です。
まとめ
今回つくったCISSPのロゴは、まさに「シャチハタにしてください」とでもいうようなカタチです。姉妹資格のSSCPも同じようなカタチですし、インクも朱色でつくればイケそうです。資格をとった人へのプレゼントにもなりそうですね。
他の資格でも、同じようなことができそうです。ハンコ屋さん、一儲けできまっせ。
今回の資格のロゴは保有者であれば利用ができるので問題ありませんが、そうでない画像は著作権や肖像権の問題があるので注意がいりそうですね。
岐阜県三大アンタッチャブルプロブレム
岐阜県においてお土産を選ぶときに、お店の人には訊いてはいけないことを理解した上で、身内においてはネタにすべきトークテーマがある。よく似た概念としては、麺界の永遠のプロブレムである、名古屋における山本屋の味噌煮込みうどんや、福岡における長浜ラーメン的な位置付けといえる。
いずれも老舗だからこその悩みであり、なんともすばらしい。
すや v.s. 川上屋
中津川といえば栗きんとん。栗きんとんといえば中津川。岐阜県民に限らず、愛知県民や三重県民も含め、東海の人間は秋になると栗きんとんの禁断症状がおきる。さらに「恵那寿や」と「恵那川上屋」を加えると問題がより複雑化する。
金蝶堂 v.s. 金蝶園
大垣名物の金蝶饅頭を売る店が、駅にほど近い狭い範囲に複数存在する。店の名前もよく似ている。しかも金蝶園の方は、名前が同じ別会社が2つ存在する。さらにややこしいことに、そしてそれぞれが暖簾分けをしており、大垣以外の地にも金蝶饅頭を扱う店がある。