第1回情報セキュリティ勉強会開催!!

2021.3.3 制度・イベント

皆さん、こんにちは!
駆け出しホワイトハッカーことQSUの竹井です!

最初に簡単な自己紹介をします!

竹井 悠馬 (たけいゆうま)
2020年新卒入社。Quality Design Scale Unit(通称:QSU)所属。
一人前のホワイトハッカーを目指して日々鍛錬を重ねてはいるが、花粉というマルウェアに感染し思考力サーバーがダウン中。
座右の銘「Genius is eternal patience.(天才とは永遠の忍耐である。)」

最近では、在宅ワークが主流化し、働く上でのセキュリティの重要性が世間的にも高まっていますよね。
みなさんのセキュリティへの意識や理解は大丈夫でしょうか?

世間のセキュリティへの関心の高まりや私自身がホワイトハッカーとしてセキュリティを守る立場にあるということから、社員向けに情報セキュリティ勉強会を開催しました。
勉強会で実施した内容はこちらです。

第1章 情報セキュリティとホワイトハッカー
1.情報セキュリティとは
2.ハッカーとは
3.ホワイトハッカーとは

第2章 ハッキングの基礎
1.ハッキングの基本フロー
2.さまざま偽装工作
3.ホワイトハッキングへの応用

当日は約3時間の勉強会にも関わらず、30名の方々が集まってくださいました!
全部をお伝えすることは難しいですが、割愛してCANTABILEでも簡単に情報セキュリティ勉強会の内容を紹介していきたいと思います!
できるだけ多くの方に正しいセキュリティの理解やそれに連なる、私たちホワイトハッカーの働きを理解いただければ幸いです。

情報セキュリティとは

厳密な定義はありませんがメジャーには、”コンピュータやインターネットを安全に、安心して使うための対策“というふうに認識されています。

近年では、情報セキュリティが急速に進歩しています。
その背景として、以下のようなことが考えられます。

1.急速なネットワークサービスの進化
2.使用者のリテラシー不足

1つ目の”急速なネットワークサービスの進化“についてですが、こちらは皆さんもご存知の通り、ここ数年でネットワークサービスと言ったスマホアプリやキャッシュレス決済などのサービスが急速に進歩していますよね?
その進歩にセキュリティ水準が追いついていないというのが大きな要因と思われます。

2つ目の”使用者のリテラシー不足“ですが、皆さんは小中学生の時に両親や当時の学校の先生から「インターネットは怖い物」という言われた覚えはありませんか?
当時はインターネットを使う前提として「怖い物だから気をつけて使おう」、あるいは「十分な知識を身につけてから使おう」という考えを少なからず持っていたと思います。
しかし、今はどうでしょうか?ありふれたネットワークサービス、当たり前になったスマホアプリを前に、危険性の有無を考える前に使用してしまう人が増えたのも、もう一つの大きな原因です。。

冒頭で、情報セキュリティとは”コンピュータやインターネットを安全に、安心して使うための対策“とお伝えしましたが、”対策“とは具体的にどのようなことなのでしょうか?
今回の勉強会では、この対策についてを深堀りしつつ、ホワイトハッカーについて、ハッカーとクラッカーの違い、ハッキングの基礎についてをお伝えしました。

CIAの宝箱

CIAとは、情報セキュリティの三代要件とも呼ばれる”機密性(Confidentiality)“/”完全性(Integrity)“/”可用性(Availability)“です。
CIAそれぞれの定義については以下の通りです。

機密性
 認められた人だけが情報にアクセスし、操作できるようにすること
完全性
 情報が正確で改ざんや削除などが行われていない、完全な状態であること
可用性
 情報へのアクセスを認められた利用者が、必要な時に問題なく情報を見たり、操作したりできること

今回の勉強会ではこれらの”CIAを宝箱“に喩えて説明しました。

図にあるように、宝箱を守るために6つの条件があります。
これらには先ほどのCIAが当てはまるのですが、勉強会ではそれぞれがどの条件に当てはまるか、参加者に考えてもらいました。

正解はコチラ!

1.宝箱に鍵をかける = 機密性
鍵をかけるという行為は、鍵を持った限られたもののみが情報という宝を得ることができる仕組みづくりです。つまりは”情報が漏洩しないようにする“に該当するため、機密性となります。

2.鍵穴に錆がないか点検する = 可用性
可用性を維持するうえで重要な考え方は、”いつ、どんなときでも、アクセス可能かどうか“ということです。
錆がないかの確認は、鍵の持ち主が訪れたときに、鍵穴に錆が詰まっていたがゆえに開錠できないということを防ぐことに該当します。つまり、可用性の維持ということになります。

3.宝物が本物であることの証明 = 完全性
こちらは簡単ですね。宝が本物であることの証明、言い換えれば”宝=情報が改ざんされていないかの証明“というふうに考えられるため、完全性の維持に該当します。

4.暗闇では宝物が光るようにする = 可用性
何度も言いますが、可用性で重要なことは”いつ、どんなときでもアクセス可能かどうかです!
つまり、暗闇でも光るようにするという工夫は、暗闇(どんなときでも)でも宝箱を探し出し、鍵穴に鍵をさせるような可用性を維持する対策に該当します。

5.宝箱を頑丈な素材で作製する = 機密性
結局のところ、宝(=情報)を鍵を持った適切な人だけが見れるような対策となるので機密性が該当します。
もしも、宝箱が段ボールのような水や耐久性に弱い材料で作製されたものだったら、劣化した部分から情報が駄々洩れになってしまいますからね。

6.宝箱が開けられた回数の表示 = 完全性
最初に宝箱を開けてから一度もあけられていないかがわかれば、中身の宝(=情報)が改ざんされていないことが証明できます。また、中身をすり替えてやろうとする悪い奴らの行動抑制にもつながるため、こちらは完全性を維持するための対策と言えます。

いかがでしょうか?ちょっと難しい言葉も、このように具体例を用いて考えてみると理解がしやすいですね!!

ホワイトハッカーとクラッカー

ハッカーと聞くと、皆さんは何をイメージしますか?
何かと悪いイメージを持つ方も多いですよね。実際に私もエンジニアとして働く以前は、ハッカーはインターネットを悪用した犯罪者を表す言葉だと思っていました。
しかし、実際にところは異なります!!
ハッカーとは”優れたコンピュータスキルを持ち、ソフトウェアやハードウェアの仕組みを理解し、作成や調査ができる人“と定義されています。
一方でシステムに不正アクセスしたり、機密データを盗む人は”クラッカー“と言います。

また、ハッカーやクラッカーにも様々な種類があります。

その中でも、私たちホワイトハッカーはクラッカーを上回るスキルを持ち、クラッカーからのあらゆる攻撃手段に対抗できる知識が必要です。
これらはホワイトハッカーになるために大切なことでもありますが、特に大切なことは他にあります。
それは”倫理観“です。

凄腕のホワイトハッカーにもなると、彼らが持ち合わせるスキルはクラッカーの技術を大きく上回ります。
そのため、彼らはいつでもクラッカー側としてサイバー攻撃を行うことも容易です。
ではなぜ、彼らはクラッカーに染まらないのでしょうか?
理由は簡単です。ホワイトハッカーには倫理観という名の”正義感“を常に持ち合わせているからです。

この倫理観はホワイトハッカーになる上で、技術や知識以上に大切なものだということをお忘れなく!!

アクティブ・ラーニングでより理解を確実に!

今回の勉強会の内容は、私が日頃勉強として愛読している「ホワイトハッカー入門 阿部ひろき (著)」を参考に開催しました。
というのも、社員の方はもちろん多くの方に情報セキュリティについて理解を深めてほしいということはもちろんですが、同様に自分自身の復習や理解の定着にもつなげたかったからです。

そこで重要になってくる考えが”ラーニング・ピラミッド“の”アクティブ・ラーニング“です。

ラーニング・ピラミッドをみてみると、学習定着率は単に読書を行うより、その読書した内容を他人に教えたり、自身が実体験をすることで高まります。
特に、”グループ討論“、”自ら体験する“、”他人に教える“と言った項目を”アクティブ・ラーニング”と言います。

今回の勉強会は、他人に教えることで自身の理解度を深めつつも、グループ討論や自ら体験するような演出を組み込むことで、参加者の皆さんの理解が深まるように努めました。
実際に当日はハッキングを利用して悪さをするクラッカーの視点に立ってもらい、3~4人のグループ単位で議論を実施してもらったり、章の最後には穴埋め問題に答えてもらったりと工夫を重ねました。

まとめ

引き続き、情報セキュリティ勉強会は実施していく予定です。
参考書が全部で11章の構成になっているので、全部の章を勉強会で紹介することが目標です。
とはいえ、開催することが目的ではありません。
あくまでも、参加していただいた方々のセキュリティ知識が深まり、実際にプロジェクト先でも役立つことがゴールだと思っています!

ぜひ、皆さんもこの機会に、情報セキュリティについて理解を深めてみてはいかがでしょうか?

【Re:Cypher】Road To ホワイトハッカー!

2021.1.27

竹井 悠馬 (たけいゆうま)
2020年新卒入社。Quality Design Scale Unit(通称:QSU)所属。
一人前のホワイトハッカーを目指して日々鍛錬を重ねてはいるが、花粉というマルウェアに感染し思考力サーバーがダウン中。
座右の銘「Genius is eternal patience.(天才とは永遠の忍耐である。)」