やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

KobeSec_01 勉強会@KDL

IT 日記

こちらの勉強会に参戦してきました。
https://kobesec.connpass.com/event/371573/
新たに発足した会で、今回が初のイベント。
兵庫県警によるサイバーセキュリティへの取り組みとGSXさんによるセキュリティ人材の講演の2本立てです。

1. オープニング

  • 勉強会の趣旨
  • Discord紹介

2. 最近のサイバー犯罪の情勢について

  1. 兵庫県警察サイバーセンター

    • 元は生活安全課の組織だったが独立組織になった
    • 主な業務:犯罪捜査、技術解析、人材育成、防犯対策

  2. 最近のサイバー犯罪

  3. 県警の取り組み

    • 国際的な取締りの推進
      • 各国機関との連携
        • インド警察
        • 日本警察
        • Microsoft
        • 日本サイバー犯罪対策センター
      • 24時間365日対応(オンラインカジノも見るよ)
    • 県内各地でセミナーやってます(この辺にスケジュールあるよ)
    • サイバー犯罪捜査官(任期付き警察官)制度
      • 企業から推薦
      • 体力訓練とかはない!
    • 25歳から58歳まで可能な中途採用枠あり(募集要項はたぶんこれ
      • 条件:IPA試験レベル3以上合格でCSIRT等セキュリティ業務経験がある
      • その他:盾捌きや訓練なし!

3. セキュリティ人材の不足状況と人材育成方法について

  • 世界で400万人、日本で11万人不足している(2023年データ)
  • エンジニアだけでなくマネジメント(CISO)も不足している
    • CISOの設置率:1万人以上65.3%、1000人未満だと35.4%
      • 大半の企業がCISOを置く余裕がない
      • 1万人以上企業でも専任は1割くらいしかいない
      • 任命されたところで何をすればいいかわかっていない名ばかりCISOのケースもある
    • セキュリティ人材は、全従業員数の「0.5%以上」を確保すべき
      (日本サイバーセキュリティイノベーション委員会:「社内のセキュリティリソースは「0.5%以上」を確保せよ」より)
      • 日本で0.5%以上確保しているのは稀
  • 相手を理解せずに防御のスキルは磨けません
    • 敵を知り己を知れば百戦危うからず(孫子の兵法)
    • 攻撃者もサプライチェーンでビジネスしている
      • 攻撃者も分業制
        • 攻撃実行者
        • マルウェア制作者
        • 悪いリスト業者(これが最も流行ってる)
        • ダークWeb運営者
    • 攻撃者も生成AIフル活用
      • ディープフェイク(デモ付き:これは引っかかりそうになるわな・・・)
      • 素人はマルウェア作成にAIを使うが、犯罪者はほぼ手動で作る傾向がある
        • AIだと後のカスタマイズがしんどい
        • 犯罪者は自分の力を誇示したい
    • インシデントは件数も被害額も増える一方
  • 人材ギャップは埋まらないのか(人材育成できないのか)
    • 体系的にセキュリティを学んでいない
    • 自分たちで教えられない
      • どの資格を取得すればよい?
      • セキュリティ人材の種類 SecBok
        • 2016年版2021年版(これが最新?)
        • プラス・セキュリティ人材(◯◯エンジニア+セキュリティ)をめざすべし
  • 日本は身代金は払わないと言っているが、有価証券報告書の内容からして実際には3割程度を払っている可能性がある(統計的根拠はないので真偽不明)
    • 攻撃者は売上の5%程度を狙ってくる
    • 身代金を払うと、対応しているセキュリティベンダーが撤退してしまうので絶対ダメ
      (セキュリティベンダー側から見ると、払った時点で反社の片棒をかつぐことになる)

4. クロージング