ケビン松永@Canary_Kun大手SIerで15年間システム開発に従事し、現在は独立してITコンサルをやってます。零細法人経営者 | 意識高い系よりは尿酸値高い系 | 3児の父 | 大家クラスタ | 多重債務力167M、加重平均金利は197bp
「情報処理安全確保支援士」保持者による指摘
ケビン松永@Canary_Kun自分は情報安全確保支援士(登録セキスペ)も持っていて素人ではないんですが、セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。技術的には対策が打てたとしても、運用が追いつかない…。そんな気持ちを連ツイします。x.com/yuri_snowwhite…
2024-07-03 08:08:27白”雪姫”@yuri_snowwhite一応、セキュリティ担当としておおっぴらには言ってないことなんだけどたまにはきちんと言おうかな。今回のSSHの件然り、カドカワの情報漏洩然りなんだけど、1:定期的に脆弱性対応してましたか?発生してても、運用上停止・メンテナンスできないからと言って、適用を先延ばしにしてませんでしたか?2:IT関連部署の人達が声を上げてるのに聞き取っていましたか? すぐに適用をと言っているときは本当にすぐに適用が必要です。3:対象脆弱性をちゃんと分析していましたか? 分析によっては「ちまたでは最高にヤバいけど、うちの設計なら最低限、この期間は防げるのでこの計画で対策していきます」みたいな話も出来ます。この辺は、自動化されてても目視チェックやアラートチェック、フィードチェック、情報収集が必要な一番難しいところなのだけど、やれてないこと多いです。皆さんも情報収集でうちは平気とかじゃ無くて、この機会にサポート期限、設計状態など気にしてみましょう。#セキュリティ対策のあれこれ
2024-07-02 14:33:34ケビン松永@Canary_Kun一部上場企業グループの情報システム部とかになると、大きなシステムが数十〜3桁以上、サーバー(VM)も数百以上、基幹ネットワーク機器も3桁以上、余裕であるわけですよ。そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくるわけですよ。pic.twitter.com/c2ZumOTSAZ
2024-07-03 08:14:22ケビン松永@Canary_Kun金曜日の夕方にそんな情報が展開されても「は?」なんですよ。緊急でパッチ当てろとか言われても無理なんですよ。土日だってシステム動いてるから気軽に止められないんですよ。そもそも、どの機器が対象かを洗い出すのに骨が折れるし、サービス停止や再起動が必要なのかどうか分からんのですよ
2024-07-03 08:16:59ケビン松永@Canary_Kunハード関連なんて、稼働中はデータをメモリに読み出して動いているから、一部が壊れていても動き続けていて、再起動した時点でその故障が顕在化するということもあるんですよパッチのせいでシステムが動かなくなるなんてことも余裕であるんですよ。なので、どこまでテストやる?とか悩ましいんですよ
2024-07-03 08:20:07ケビン松永@Canary_Kun金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさそういうレベルではない頻度で、Micorosoftがカジュアル重大なセキュリティ脆弱性のアナウンスしてくるんよ。
2024-07-03 08:22:21ケビン松永@Canary_Kun一方で、経営者レベルから見ると、セキュリティ脆弱性対策を頑張ったところで、会社の売り上げが増えるわけじゃないので、マジでお荷物なコストでしかないのよ。せっかくITにお金使うなら攻めのITに投資したくて、セキュリティ対策は本当に後ろ向きなコストでしかない。
2024-07-03 08:24:51ケビン松永@Canary_Kun緩いセキュリティ運用をしていても、とりあえず普通にシステムが動いていれば、直近で困るわけではないからね。耐震性に問題がある建物でも、現時点で崩落してるわけじゃなければ大丈夫。普通に住める。大きな地震さえ来なければ。情報システム部にとってのサイバー犯罪も同じです。
2024-07-03 08:28:09ケビン松永@Canary_Kunほんと、日本全国の情シスはKADOKAWAの件を見ていてヒヤヒヤだと思うね。「うちはちゃんとやってるから大丈夫」って自信を持ってる人なんて一人も居ないと思う。みんな水際で塹壕戦を戦っている。明日は我が身。
2024-07-03 08:32:24ケビン松永@Canary_Kun(正直な気持ちとして、企業の管理職としてその戦いを続けていくのは無理なので、ワシはその戦いから降りたという気持ちもある。ミッションクリティカルなシステムを守り続けられない。いまは外部委託要員で、プロジェクトのルールに基づいて、自分のPCを守るのが責任であり、善管注意義務の守備範囲)
2024-07-03 08:36:36ケビン松永@Canary_Kunドローンの飽和攻撃を受け続けているみたいな状態で、どれだけ防衛費と人員を割けばええんや...。平時は穀潰し扱いだし、万が一防衛線を抜かれたら焦土になるし...。という情シスの悲哀を代理でつぶやいたら、めっちゃコメント集まってきてて笑える(泣ける)
2024-07-04 09:17:49
指摘が秀逸すぎる
白"雪姫"@yuri_snowwhite@Canary_Kun連ツイ、拝見しました。おっしゃる通りなんですよね。ただ、日本の承認ワークフローの多さも問題無いのかなとは思ってます。このフィールド(セキュリティという意味で)にいる限りは明日は我が身というのを忘れないで業務に当たらないと怖いですよね。ある意味最前線かと!
2024-07-03 10:13:19【AI×ICT】テックトークナビゲーター@TechTalkNAVI@Canary_Kun現状が綺麗にまとまっていて凄い経営者側からすると売上にもならないのに毎度会議やってセキュリティ気にしてられないとはいえ、現場レベルでは毎度上に判断して貰うしかない特に中小なんかは営業や社員でパソコン詳しい人といった専門外の人を担当にしたりするんで最初から勝負にならない(泣
2024-07-04 01:53:08永井宏樹 Hiroki NAGAI@hirohiro37このポストした方の指摘が秀逸でセキュリティ対策とBCPを役員から情シスまで意識出来るまで教育しないと無理だろうなと思います。x.com/Canary_Kun/sta…
2024-07-04 09:55:29みんなの反応
hevokei@hevokei1@Canary_Kun ハッカーからしたらこのレベルの人も素人に毛が生えたレベルだろうし、正直狙われたら終了としか思えない。スタンドアロンか紙と電卓でするしかないです。
2024-07-04 07:30:34もちぷらす@mochi_plus一つ思うのは、今まで、システムを良いアーキテクチャ、管理しやすい作りにするかどうか、という事について、今まであまり本気じゃないところが多かったのかなと今回の件を契機に、ようやくシステムの作りの良し悪しの話が可能になっていく気がするx.com/canary_kun/sta…
2024-07-04 09:40:59修行者ひゅーず@ML2310_2354コンピュータにおけるセキュリティってそもそも善意のプログラマが悪意のプログラマより十分に多いことを前提として成り立っているから、その前提が崩れたとき我々は再び紙とペンで事務作業をするしかなくなるのかなあx.com/Canary_Kun/sta…
2024-07-04 01:46:57あわせて読みたい
「ソフトウェア工学は失敗している」のか?
37349 users30なぜソフトウェアは高くなるのか
2662 users作者のオススメ
「俺のエンジニアキャリアは信じられないぐらい劇的に変化した」この体験を元に「キャリアに大きく影響を与えた本」を質問したところ、皆から続々と回答が集まる
blackstaragent194108 users4
Microsoftの専門家「ウォーターフォールは一切メリットがないのでやめておきなさい」アメリカでは、アジャイルやスクラムの進め方が「常識」としてソフトウェア開発の場で浸透している話
blackstaragent242211349 users177
サイゼリヤ元社長「日本の会社は、なぜシステム開発を外部のシステム会社に丸投げして適当に現場をヒアリングさせるという方法を取るんだい??」→システム内製化は単純ではない話
blackstaragent428271418 users126「わし詳細設計書書くのやだよ」システム開発で細かければ細かいほど仕様変わった時の変更が爆増してメンテコスト爆上がりする。かけるべきコストはそこじゃない話に賛否両論
blackstaragent8485243 users42
