2024/07/04 12:58
OkBuddyBaldur
雑に括れば国防とかと観点として近いのが世知辛いのよな…
2024/07/04 14:53
nmcli
関われば関わるほど、この仕事はとにかく綱渡りしてるだけって思える
2024/07/04 15:03
erya
これな。KADOKAWA叩いても始まらないんだよ。総理大臣を防犯のため24時間防弾ガラスの中に入れますか?って話。悪いのはハッカー側でしかない。
2024/07/04 15:24
sametashark
完璧は無理で理解はするが、戦争の前哨戦クラスの攻撃を受ける想定がない作りと運用体制から、サービスとユーザーを守るためにどこまでできるかの段階に立ったところ。専門家は挫けそうになっても白旗あげてはダメだ
2024/07/04 15:45
sevenspice
国家資格取る暇あるならその時間でパッチ当てる作業してたほうがセキュリティ的には良いことがこの業界の悲しいところね…(資格持ちがいるところは企業規模も大きい傾向があるから狙われやすいというデバフ)
2024/07/04 15:46
fujifavoric
ゲームのチート対策とかもだけど、頑張ったところで金にもならんのが本当にタチ悪いよな
2024/07/04 15:52
yabu_kyu
まあそうなるわな
2024/07/04 15:54
x100jp
ランサムウェア野郎とかフィッシング詐欺野郎とか、人類の敵すぎる。牢屋に100年ぶち込みたい。
2024/07/04 15:54
timetrain
こうなるとロシアや中国を焼き尽くすのが適切な対応なのでは、ということにもなってくるだろうな。サイバー戦争がリアル戦争の引き金にもなりかねんし
2024/07/04 16:12
petronius7
サイバー攻撃対処演習と称して、全社の業務を全て紙ベースで回す訓練をやらせれば、役員に「セキュリティにリソースを回さんとアカン」という認識が浸透するのでは?
2024/07/04 16:25
tattyu
金曜日にアラート云々の部分、今回別にそうだったとは限らんよね。なんか主語がデカくなって無いか。この手の対策は金にならんていうがそれで廃れた物は結構ある。人類はWWWを捨てる時が来たのだ。
2024/07/04 16:30
keidge
攻撃側が圧倒的有利かつ楽な状況。当然銀の弾丸などない。仕方ないのでガチガチに閉じれば、利用者から文句を言われる。従って、セキュリティ担当はどんどん消耗していく。
2024/07/04 16:33
cad-san
EUのCyber Resilience Actの適合規格であるIEC 62443にはセキュリティー対策レベルが4段階あって、最上位は『悪意を持った専門集団もしくは国家による標的攻撃』標的攻撃の対策は規格を満たすだけでも非常にハードルが高くなる
2024/07/04 17:00
hanajibuu
俺も支援士持ちの情シスだけど完全同意。偉い人にうちは大丈夫か?と聞かれたからサイバー保険加入を提案した。
2024/07/04 17:16
dot
こういうのは圧倒的に攻撃側有利で、ウィザード級に狙われたら終わりだし、絶対に抜かれないようにするよりも、抜かれてもダメージが最低限に収まるようにダメコンできるようにする方が良さそうな気がする。
2024/07/04 17:20
lein4921
白旗を上げるような企業は淘汰されて、対策できるまでの規模に集約されたほうがユーザーにとってはいいんだよね。
2024/07/04 17:26
rokasouti
サービスの規模が大きくなればなるほどセキュリティを求められ、しかしながら不便さを利用者は許容せず、両立できるだけの圧倒的実力者を雇用できるサービスは実質的にトップシェアのある企業くらいしかなくなる末路
2024/07/04 17:41
inamem9999
終わりのないディフェンスのみってところが精神にくる
2024/07/04 17:50
rider250
一昨日のBSで専門家が「独企業はすぐハッカーにカネ払う。90%以上が払う。日本企業は30%くらいしか払わない」と言っててドイツ人アホか?と思ったが、そうか独企業はもう「抗っても仕方ない」境地に至ってんのか。
2024/07/04 17:51
kz14
KADOKAWAの件についてはなんの情報も開示されていない以上評価することはできない。これを破られたらしょうがないと言われる状況かもしれないし意外と稚拙な穴があったかもしれないし。
2024/07/04 17:53
tomoP
放火は低コストで被害甚大だからこそ罪が重いのだから、サイバー犯罪もとてつもなく重くすべきだと思う
2024/07/04 17:53
notio
近年はランサムウェアの支払いをするのがトレンドで、日本は逆行しているらしい。サイバー保険料が値上げすることになっているのはこのトレンドもあるけど、そもそも保険から支払われている側面もあるっぽい。
2024/07/04 17:54
lionsage
わかりみ。面白くも金にもならない制約たくさんあるタワーディフェンスゲームやってるようなものだしな。
2024/07/04 17:56
ko2inte8cu
ニッポンのミナサーン、セキュリティは、大金持ちで人材豊富なGAFAに任せましょう、ガッファッファ! てな感じかな。
2024/07/04 18:02
Yasu2030
それなら不要なユーザー情報取ろうとするなとは思う 本当にその情報必要なの?って情報を企業は欲しがりすぎてる
2024/07/04 18:03
hecaton55
これは本当にそうで、単純に狙われていないのでセーフというレベルなんだよな
2024/07/04 18:07
nakamura-kenichi
まあしゃーないw。セグメントもリスク分散も無しにドーン!ドーン!とインフラ設置した後は現場のご都合運用やねんからそらそうなる。危ないし後々どうしようも無くなるで言うてもアホの言うままにしとるからなw。
2024/07/04 18:12
mmddkk
ウチは大丈夫、と胸を張れる企業・組織はあるのかな(そういう組織は逆に危なそう)。運用の徹底とかではなく、技術の進歩でなんとか対応できないものか。そのうち本当に重大な危機に陥りそう。
2024/07/04 18:21
the108simulacra
そやな。1万回防いでも1回抜かれたら終わり。やってられんやろな。
2024/07/04 18:25
minamihiroharu
サイバー犯罪、検挙の話をあまり聞かないし罪もそう重くないし、攻撃目標はいくらでもいるし成功時の収穫は大きいしで、もう才能あるセキュリティ技術者は闇稼業の方が遥に安定して稼げる、って世界なのかもね。
2024/07/04 18:29
Karosu
定期アップデートを実施するのはいいけど、アップデート後ソフト動かなくなったら困るから、すぐにアップデートが常識でも触れない。
2024/07/04 18:33
cl-gaku
“「うちはちゃんとやってるから大丈夫」って自信を持ってる人なんて一人も居ないと思う。みんな水際で塹壕戦を戦っている。明日は我が身。”
2024/07/04 18:36
Shinwiki
ちゃんと運用やってるとこはあります。つーかコメント書いてる間にも再生はじめるクソ動画広告なんとかなんねーの?w
2024/07/04 18:39
augsUK
無差別テロや通り魔対策を完全にやるような話で、本気で狙うときは未公表の脆弱性使うしどうしようもない。ただセキュリティ関係で雇用されてる人はそこに責任があるわけで
2024/07/04 18:47
lli
売り上げが1円も上がらないのに対策には相当かかるもんねぇ
2024/07/04 18:49
mame_3
誰が悪いかに関わらず「被害」に対しては「補償」がされなくてはならない。最優先されるべきは末端の被害者でありサイバー攻撃にあった企業が被害者であってもその利用者の被害の補償が免責されることはない。
2024/07/04 18:53
ghrn
セキュリティの基礎は資産の確認から。
2024/07/04 19:01
sinomasu
悪いのはハッカー側とかそんなの関係ないんだよ、安保ちんだろ 個人情報を持つものは厳格に保管する義務があるんだよ 盗まれたカドカワが賠償責任を負う義務がある
2024/07/04 19:17
oshishosan
はー心の底から脱IT業界してて良かったと思える記事(ゴミですが本心)
2024/07/04 19:38
ryun_ryun
被害に遭ったらうちは悪くないと主張するなら、ユーザーにいろんな規約同意させるのもやめたらええのに。客の個人情報をグループ会社のセールスに使うなよ、特に携帯電話会社
2024/07/04 19:44
knitcapmann
常に知識をアップデートさせて、いくつあるかわからない(無いかもしれない)穴を探して回る仕事なんですよね。それも本来業務とは別に。報酬を幾ら貰えば割に合う?
2024/07/04 19:57
dosnaka
BGPですごく臭いとこのASを解決する努力をしないと
2024/07/04 20:17
shoh8
セキュリティ対策は賽の河原。費用対効果なんて試算できない。くわばらくわばら
2024/07/04 20:21
dorje2009
一部同感だけど白旗あげる企業に金銭周りは絶対預けたくない。 "再起動した時点でその故障が顕在化するということもある"からパッチ適用&再起動をしないのなら物理障害時のフェールオーバーを諦めてるってこと?
2024/07/04 20:41
evans7
消費者側も意識を高くして怪しい企業にデータを渡さないように気をつけていても最終的には自治体から漏れるからな。もう80億人分のデータを流出させて全人類イーブンの状態から始めないか?
2024/07/04 20:42
red_kawa5373
「海外は」とか言ってる人は、大英図書館のサイトが被害を受けて、1年近くたった今でも復旧してない事例を知ってるんだろうか? current.ndl.go.jp
2024/07/04 21:01
misomico
水と情報は一番低いところから漏れるので、対策は永遠に終わらない
2024/07/04 21:13
donovantree
現場の人が白旗あげたので、「国はマイナンバー(カード)で個人情報を集約して一括管理するなんて危険な事をゴリ押ししている。怖いわーマイナンバーカード誰だよ安心安全だとか言ってたやつ。」と言っても良いのか。
2024/07/04 21:28
son_toku
SLAとコストの関係がマネジメント層に理解されてないだけでは。適性にコストをかければ脆弱性対策は可能。
2024/07/04 21:33
umakoya
国外から攻めてくるんだから自衛隊守ってくれと投げたい気分。サーバはAWS環境でWindowsで月例パッチあてて、責任を外部化してます。
2024/07/04 21:38
birisuken8574
じゃあもうネットを使わないしかないんじゃないか?
2024/07/04 21:42
snare_micchan
セキュリティは「投資」に出来ないのも痛いところ。投資効果を算出出来ず経費にしか成り得ないので、正社員の待遇をむやみに上げられないことに似た企業会計問題が付いてくる
2024/07/04 21:48
natu3kan
コストセンターだし、優先度の低い脆弱性の為に頻繁にシステム止めてたら商売人ならないってなると、保険に加入しかないか。
2024/07/04 22:08
tomiyanx
システムを極力シンプルにして守るべき場所を減らす 或いは大量の偽物の情報を本物の情報混ぜると攻撃者を混乱させられないかと思ったり
2024/07/04 22:12
Lat
設計次第だよ/WAFの下でサーバーを冗長構成で運用して、脆弱性診断も定期的に回してスコア化されたレポートを参考に問題の対応すれば良い。メンテは冗長を解除して片方ずつすればサービスを止めなくてもいけるよ。
2024/07/04 22:17
namita
これはインターネットビジネスを恣意的に敷居を上げまくってると言った方が正解
2024/07/04 22:22
hunglysheep1
単純に人手不足って側面はあると思う、まず経営者は情シスの残業時間を減らして、さらに余裕ができてまともなチェックができるようにした方が安全という
2024/07/04 22:25
asagisann
気持ちは分かる一方で、支援士取った程度(セキュリティの世界で言うと普通免許取得レベル)で勝手に匙投げんなとも思う
2024/07/04 22:35
matorico
そんな大きな会社ではないけど同意しかない。上は角川を見て「うちはどうなってるのか。報告しろ」と言ってくるがかといってToDOと見積を出すと「そんなに情シスに人は裂けんしな」「予算がなあ」とか言い始めるし
2024/07/04 22:47
nappy1120
だから管理しやすいシンプルなアーキテクチャにしていくことが最高のセキュリティになるのよ。この人が嘆いてることを解決する手段は全部ある。モダンなアーキテクチャに移行できない嘆きそのもの。
2024/07/04 22:47
cha16
匙を投げるのは勝手にすれば良いけど、自分の氏名、本籍、住所、生年月日、クレジットカード番号、cvc、全裸写真が流出するとしても、決して身代金は払わないでね。
2024/07/04 22:51
pinossos
自社だけがセキュリティ重視したらその分不利になる上に、有象無象の攻撃は防げても全力で狙われたら無理というクソゲー
2024/07/04 23:31
togusa5
"情報安全確保支援士(登録セキスペ)も持っていて素人ではない" ただ資格持ってるだけの素人じゃねーか
2024/07/04 23:38
toro-chan
残念ながらその通りとしか言いようがない。まぁ普通の対策はちゃんとするんですがね。。その上で、実質上運用が追いついてない。
2024/07/04 23:44
tekimen
サイバーセキュリティって負けの歴史だものなって
2024/07/04 23:47
lets_skeptic
うちのシステムも毎日怪しい活動は見える。対策はしてるけど、明日は我が身の危機感はある。
2024/07/04 23:53
rgfx
なのでセキュリティとは部門ごとの最小特権の法則の徹底を日頃から怠らずにやってくことがメインなんだなあというのが「猫とCISSP www.amazon.co.jp 」を流し読みしての感想。
2024/07/04 23:56
hatomugicha
その規模でSOC入れないのなんでなんって聞いちゃいかんのかな
2024/07/05 00:02
zakinco
日本は伝統的にサイバーノーガード戦法で戦ってきたからなあ。
2024/07/05 00:19
a96neko
サーバー管理者やセキュリティ担当者には、業務負荷が高すぎてなりたくないよ
2024/07/05 00:26
ya--mada
今回のSSHの話で、こんな反応をしているなんてバカのかな?CVE-2024-3400 PAN-OS GPのRCEで危機感訴えろよ、アホか。
2024/07/05 00:45
n_231
完璧な防護は無理だから、どこかで線を引いてそこまではちゃんとやるべきで、白旗上げるとはだいぶイメージ違う。 / メンテ遅らせると角川のようになる確率が毎秒上がりますよ、みたいな話はしやすくなりそう
2024/07/05 00:51
yamazakicker
今回の件でルールだけ厳しくしていく情シスにいままでブーブーいってたまにルール破ってすみませんでした ってなった
2024/07/05 00:55
asitanoyamasita
『平時は穀潰し扱いだし、万が一防衛線を抜かれたら焦土になるし...』おつらい
2024/07/05 01:17
dogusare
歯医者に行かない人の心情(おれ)問題化しないと対処しないしその段階ではもはや。有給と同じで国がサービス停止を伴うメンテを年何回やれを強制してもいいかも。個々の問題ではもはや無い。防衛に手間を割くべき。
2024/07/05 01:24
m7g6s
まあ結局スタンドアロンまたはアナログが最強ってはっきりわかってんだよね。だがそれじゃ立ち行かないのが現代社会というもので
2024/07/05 01:29
sleepyuzura
セキュリティは万能ではない、という常識がもっと世の中に広まってほしい。普段パスワード平気で使い回してるのに、カドカワの件についてあれこれいう輩が周りにもいっぱいいる
2024/07/05 02:46
ssfu
テロ国家相手だと弱小国は勝ち目ないのがなあ。
2024/07/05 02:51
fusionstar
仮に狙われたら大ダメージではあるけど今は狙われていないし現状で (リスクを見て見ぬ振りして) 普通に使えているというインフラの改善維持に経営層がどれだけ金と人と時間を割いてくれるんだってことよね。
2024/07/05 04:34
nakakzs
正直「絶対に漏洩しない」はかなり難しいので、「漏洩してもダメージがかなり低く抑えられる」システムにした方がいいかなと。もちろん身代金払うという意味ではなく、バックアップとか解析困難の暗号化とか。
2024/07/05 04:49
zubtz5grhc
お前の検証漏れのせいでないの?システム全停止する必要ある?やるなら客先上司が納得する説明と報告書を。それより進捗中の主要案件はどうなってる?というかあんたコストと作業時間かけすぎてるよね?まあ無理。
2024/07/05 05:31
ot2sy39
元ツイの人、bioに登録番号を書かずに情報処理安全確保支援士(登録セキスペ)名乗っていいのか?
2024/07/05 06:15
Muucho
なので全国の市町村のシステムを統一とかヤバいのよ。バラバラにしとけば被害が限定的で済む。フロッピーやCDーRもランサムで一気に吹っ飛んだりしない面で優秀。突破されないことも大事だけどされた時の被害の軽減も
2024/07/05 06:35
ebibibi
サービス系はクラウドのマネージドサービス。VPNなんか使わない。ゼロトラスト。エンドポイントもクラウドで分析。多要素認証、パスワードレス。接続毎にリスク評価してリスクあれば個別切断。データ自体暗号化。
2024/07/05 06:47
Dursan
確かに、鬼滅アニメ柱稽古編の派手柱さんの最後の課題(一流の忍者が暗闇から襲ってくるのを撃退する)みたいなもんだよなぁ
2024/07/05 07:06
amatou310
せやな…という気持ちしかない
2024/07/05 07:12
koroharo
まさにこれ。
2024/07/05 07:21
prograti
機器メンテでデータセンターの中で年越ししたことがあるので運用が大変なのはすごく分かりますね。そうしなくて済むように少しずつ改善していくしかないのですが
2024/07/05 07:50
clapon
「もし被害を受けたら…」ではなく「いつ被害を受けるか」という攻撃される前提で考える必要があるね。だから最近はマネージドで専門業者に委託する傾向が進んでるね。中途半端に自社で対応するとキツそう
2024/07/05 07:50
wasai
実際これだからなあ
2024/07/05 07:56
omioni
一応洪水や工業製品の極低頻度の故障に対しては統計的手法で対応してたはず ただセキュリティ分野だと保険料の話になりそうなのが・・・ www.denso.com
2024/07/05 08:07
homarara
なんかこのツィートだと、一部上場企業がシステム運用の専任部門じゃなくて個人頼みで回してるように読めるんだが。こんな悩みは中小企業向けでは?
2024/07/05 08:24
hazardprofile
本当の運用コストみたいな
2024/07/05 08:52
tyhe
未発見、未修正の脆弱性を使われたらもうどうしようもなくね、とかは思ったりする。
2024/07/05 08:59
n_y_a_n_t_a
正解らしきものはあるけど対応はできないというジレンマ。対策をしないということは実は縦スクロールSTGの弾幕の中をバリアなしで突っ切っている状態かもしれないんだよな。
2024/07/05 09:27
poipoi3
情報処理安全確保支援士って何?と思ってググったらセキスペ(情報セキュリティスペシャリスト)の後継の資格なのか、なんかわかりにくい名前になったのね
2024/07/05 09:30
ys0000
でもまあホントに白旗上げるわけにもいかんからな。ブルーグリーンデプロイや脆弱性スキャナによる全台定期診断、LB振り分けなど駆使して、即時アップデートが出来る環境をちょっとずつ進めていくしかないよね。
2024/07/05 09:33
Falky
本当にそう
2024/07/05 09:51
mouki0911
現場としての気持ちはわかるけど、経営者が金をかけるかどうかだけじゃないんか。しょうもない根回し会議に時間(=金)かけてないで、ITなくして事業成り立たないなら金かけよ?
2024/07/05 09:57
takeda25
「熊から逃げるときに、熊よりも速く走る必要はない。隣の友達より速く走ればいい」。業界内で最低レベルのセキュリティーにならないように気をつけたら被害に遭う確率は低くなると思うよ。
2024/07/05 09:58
SHA-320
皆大企業のことだから想像しにくいのだと思う。新卒一人暮らしが防犯のためにガードマンを雇えるのか?みたいな話だと思ってる。
2024/07/05 10:34
kootaro
昔みたく漏れる前提でインターネットしないと/あたり前のインフラになり、みんな企業を信用し過ぎ/俺の個人情報ぐらいもれてもかまわんよ!(FANZA除く)
2024/07/05 10:44
osakana110
社内で出来ることしつつ、サイバー保険に入ってリスク移転するしかない。 インシデントあっても忙しすぎてセキュリティ企業は一見さんお断りが増えてるらしいし。 損保ジャパンは保険に入れば仲介してくれるらしいし
2024/07/05 10:51
ounce
セキュリティは「何も起こさない」ことが仕事だが、何も起きなければ知識のない経営者からは単なる金食い虫だと思われるという問題がある。サッカーのゴールキーパーくらい守っている様子が可視化されないものか。
2024/07/05 11:14
differential
わかる/むしろインシデント発生後の経営の動きの悪さは気になる。自己発生後の手順がなかったんだろうか。元弊社は元同僚からべそべそ泣きながら作ってて頻繁に見直してバージョンが凄いことになってるらし
2024/07/05 13:12
deep_one
システムがややこしすぎるのである。
2024/07/05 14:28
rt24
泣ける
2024/07/05 15:45
Akkiesoft
わかりがありすぎた。セキュリティ対策のため緊急メンテで停止!あとでまたアクセスせえ!みたいなのが気軽にやれるようになればいいんだけどなあ。
2024/07/05 16:06
lycolia
無数の依存ライブラリを真面目に全部アップデートしていくのは恐らく不可能だと思う。AWSやGitHubでも対応が後手になっているのは見かける
2024/07/05 21:04
mumei-0
“「情報処理安全確保支援士」保持者による指摘”
2024/07/05 22:19
h5dhn9k
塹壕は裏切らないけどねぇ……。多分、もっと革新が遅ければ対応のしようもあるのだろうけど……。保守、運用、改良、一貫性を同時に行うのは無理ですわ。生物でもウイルスとか細菌しか無理じゃない? 単細胞。
2024/07/06 23:20
tmatsuu
SREがGoogleから降りてきて広まったように、GAFAレベルの企業がセキュリティに対してどういうアプローチをしているのかが詳らかにされればええんかな。まぁその一端がゼロトラストだったりするんだろうけども。
2024/07/07 17:39
poad1010
この記事をおすすめしました