やかんです。
今日は東大工学部開校科目の集中講義(サイバーセキュリティ4)をメモっていこうと思います。
不適切な内容があればお知らせください。
午前講義メモ
- 技術面の脆弱性面白いな。
- 外部公開サーバと組織内専⽤サーバをネットワーク単位で分離する必要がある。公開用の脆弱性をついて組織内のサーバーにアクセスされたら困る。
- 「⼗分な帯域確保や帯域制限が⾏われていないネットワーク」ってなんだ?
- サイバー攻撃の歴史を辿る上で、世界史とか日本史とかの基礎的な知識って重要だな。地理も例外ではない。
- これ面白い
- ネットワークの帯域について
- 「本学のウイルス対策ソフトウェア提供サービスなどを利⽤」しておこう。
- https://www.nc.u-tokyo.ac.jp/internal-only/antivirus
- ↑Trend Micro Apex Oneを使おう。
- adobe acrobatについての脆弱性
- JPCERTを見ればいいのか。
- NVD
- ↑CVSSの値が高いものを調べられたりする。
- SIEM とは、ログの一元管理をするシステムのこと。
- ゼロトラストセキュリティについて
- https://www.nri-secure.co.jp/service/zerotrust
- CVEのニュース
- 東大には全学セキュリティファイアウォールがある。
- UTokyo VPNについて読みもう。
GCメモ
- Google とGoogle cloudって別なんだ。
- googleでサービス作る時は、最終的に10億人が利用できるようなものを目指す必要があるのか。
- google cloudはgoogleのサービス。ただ、日本においては会社単位で分かれているらしい。
- google cloud japanの人は六本木にいるんだ。googleの人は渋谷。
- google の project loon
- default to openっていいな。
- googleの理念的な?
- think 10x, fail well(fail first), default t open, psychological safetey
- google含めテック系企業は週3出社がルールっぽい。アフターコロナでも。火水木。
- 責任共有モデルについてはAWSについて勉強したときも出てきたよな。
- 当然、流行っていないサービスは攻撃されない。
- 最初、セキュリティは後回し。
- googleの場合は、セキュリティから考え始めていたから優秀らしい。
- hacking google
- CPUの脆弱性というものが存在するらしい。
- ことなるユーザーのデータをCPUの挙動からみることが可能だったり。
- フィッシングの高度化って深刻だよな。
- alpabet
- gmailによるサーバーでのメールの振り分けはtensorflowで行われているんだ。
- これはフィッシングメールの高度化に対応してはいるよな。
- でもそうか。この振り分けは電力の無駄使いとも言えるよな。
- クラウドサービスはアプデ不要とも言える。
- セキュリティサンドボックスおもしろいよな。
- 例えばメールを使用した際に、gmailとかクラウド提供のものを利用しないという選択はありえない気がするよなあ。ログが残るし。
- コンテキストアウェアアクセス
- 多要素認証は、制限時間ありの番号を利用したりするが、その番号が漏れたら危険。制限時間があるとはいえ、ログインされる可能性は十分にある。
- cf. ジャーナリストに対してGoogleはハードウェアキーを無料で配布していたりする。すごいな。
- モバイルデバイスは、それはそれで新しい論点な訳か。
- スクショとか。
- OSが、守るべき情報についてはスクショできないようにしている。
- 「リンクを知っている全員に共有」って、クエリパラメータでパスワード的なものを指定しているだけなんだ。
- 指定したユーザーのみに共有する場合はdbで設定しているのかな?
- クラウドベンダーは基本的にいかなるデータにもアクセス可能?
- エンプラ契約してるユーザーについては、まずデータが広告利用される事がない。データの「所有権」はユーザーに帰属する。
以上、google workspaceの話だった。次に、google cloudの話。こっちの方が聞きたい。
- クラウドを使うことで、リスクが上がることもあると?
- 確かに、ブラックボックスの領域は広いよな。自分で作るわけではないから、全てを把握する事ができないと。
- データセンターの場所って特定できるんだ。千葉にあるらしいけど、それはわかっていい事なのか?
- google cloudが、物理サーバーについてめっちゃケアしてくれている。
- https://japan.zdnet.com/article/35106366/
- ↑クラウドユーザーがいじるのは仮想化された次元から。土台となる物理サーバーがウイルスに感染していたりしたら、その後何をしてもキホに身がない。
- ん?カーネルまでgoogle がやってくれているのか?
- 小さいサービスでも、ユーザーがID/PASSを使い回していた場合、それが総合的な大きい損害につながる場合もあるのか。
- その場合、責任はどこに生じるの?損害賠償的な。
- reCAPTCHA
- https://www.google.com/recaptcha/about/
- ↑マウスカーソルとかの移動、ページの描画からクリックまでの時間等色々考慮した上で、人間を判断している。
- ログインについて、「買い物とかのサービスを利用しないでいきなりログイン画面に飛ぶ」とかは怪しいと判断する。
- 読みにくい文字の話おもしろ。ユーザーの読みにくい文字を読もうとする努力を古い文献の解読に利用すると。
- google mandiant
- https://cloud.google.com/blog/ja/products/identity-security/google-completes-acquisition-of-mandiant
- mandiant:脆弱性の調査にめっちゃ強いらしい。あるいは、事後調査。コンサルしたりもするらしい。
- assured workloads
- コンプライアンス。
- これに従って対策を進めると、セキュリティについていい感じにまとめる事ができるよ、みたいな。
- ガイドライン的なやつだ。
- 例えば「クレカを登録する系のサービスは最低限これを守りましょうね、実装しましょうね」みたいな基準。
- Titanを使う場合は、結局その送信データが詐取されてしまうのではないか?
午後講義メモ
- 「政府機関等のサイバーセキュリティ対策のための統一基準群」
- 情報資産をライフサイクルで捉えるとわかりやすいな。
- ポートスキャンの種類と仕組みの話面白いな。
- SYNスキャン
- TCPコネクトスキャン
- UDPスキャン
netstat –anコマンド
疑問
- 「CVE やCVSS の情報を定期的にモニタする」って、どの程度の組織なら実現できるんだ?小さい組織はそんなこと余裕ないよね。
- 大事なのはわかるが、面倒すぎないか。
- テレワークにおけるエンドポイント型防御って、意味あるのか?
- 法人についてサイバーセキュリティは大企業の課題である印象です。そこで例えば、GCPやAWSでサービスを小さく展開している小さい企業(スタートアップとかベンチャー)は、最低限どの程度セキュリティにコストをかけるべきでしょうか?もちろん、一概には言えないと思うんですが。
- セキュリティのベストプラクティスとかを用意している。
- ↑これを読んで取り入れるのがいいだろう。
- 暗号化とかよりも、ACLをまず考える。ACLがザルだと意味がない。
- adminにしがちだけど、やっぱりadminは一人の方がいいよね。
- 攻撃者としてはネットワークに侵入できた場合、具体的に何が可能なの?
やりたいこと
- DNSについてについて
- ファイアウォールについて、わかったつもりになっていることをしっかり理解したい。
- UTokyo VPNについて読む。
ソケットとかポートとかについての授業があれば取りたい。
感想
長い。。明日からはオンラインとオンデマンドを使い分けつつ受講しようと思います。
メモ終了です。最後までお読みいただき、ありがとうございます。
