【イベントレポート】キヤノンイメージングシステムズ × NINNO ACCADEMIA IoT・Web開発者向けSecurity Seminarを開催しました
こんにちは!NINNOの広報担当です。
6月20日、NINNO ACCADEMIA(ニーノアカデミア)のスポットセミナーにて、キヤノンイメージングシステムズ株式会社から二名の講師をお招きしたセミナーを開催しました!
セミナーは、IoT・Web開発でセキュリティの知⾒が欲しい⽅、セキュリティに興味のある⽅を対象に、情報セキュリティの基礎、セキュリティリスクに対する考え方、脆弱性の種類などを分かり易く解説する、といったもの。
私自身、情報セキュリティについて興味はありつつも全然詳しくなく、難しいイメージを持って参加したのですが、「なるほど!」と思う話が多く、とても勉強になるセミナーでした!
今回はこのセキュリティセミナーの様子をレポートしていこうと思います!
NINNO ACCADEMIA(ニーノアカデミア)
新潟県内外の大手企業・スタートアップ・ベンチャー企業がデジタル、DX、イノベーションなど多様なプログラムを提供する場。社会人、学生などあらゆる人がスキリング、リスキリング、リカレントなど様々な目的で集い、学ぶことができる。
情報セキュリティの基礎
五十嵐博之さん
情報セキュリティを学ぶ上で、まず理解しなければいけない「情報セキュリティの原則」について、キヤノンイメージングシステムズの五十嵐さんからお話がありました。
情報セキュリティの原則とは、「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3つの要素のことで、それぞれの頭文字からCIAと略されています。
①機密性(Confidentiality)
許可された個人またはエンティティのみがデータにアクセスできる
※エンティティとは、「実体」「主体」などともいい、情報セキュリティにおいては、情報を使用する組織および人、情報を扱う設備、ソフトウェアおよび物理的媒体などを意味する。
②完全性(Integrity)
許可なく情報を変更できない
③可用性(Availability)
許可された個人またはエンティティが必要な時に許可された方法で情報にアクセスできる
情報セキュリティはこの3つが保たれていることが重要ですが、
「中でも一番大切なのは何だと思いますか?」
という五十嵐さんからの問いかけに、会場で一番多く手が挙がったのは①の機密性でした。
(ちなみに私も機密性を選びました)
日本人は機密性を選びがちのようですが、五十嵐さんは③の可用性が最も重要だと考えているとのこと。
それは一体なぜでしょうか。
五十嵐さん
「例えば、普段私たちがよく使用するECサイトですが、システムダウンで使えなくなってしまったら困りますよね。ユーザーは利用することができなくなり、ECサイトを提供している人は利益を生み出すことができなくなってしまいます。
そんな時に、許可された個人やエンティティが許可された方法でアクセスすることができれば、お手上げ状態になることが回避できるという訳です。」
なるほど〜!
聴きながら自然と頷いていました。
CIAについてある程度理解できたところで、「ATM利用時において侵害されると影響を受ける要素を考えてみよう」という内容でミニ講習が行われました。
専門用語が並ぶと一見難しい話のように感じますが、身近なものに例えられると一気に理解が深まりますね。
答えとしては、
C(機密性)・・・暗証番号や、使った金額・振込先など取引情報の漏洩
I(完全性)・・・生体認証の他人受け入れと本人拒否、入出金の不一致
A(可用性)・・・システムダウン(ATM取引停止)
などでした。
答えを聞いてみると、確かに可用性の受ける影響が一番インパクトが強い気がします。
情報セキュリティに関する話は難しい内容が多いですが、この「情報セキュリティの原則」について理解するだけでも充分だと、五十嵐さんはおっしゃっていました。
脆弱性について
情報セキュリティのお話に必ずと言っていいほどセットで聞く「脆弱性」。
脆弱性とは、OSやソフトウェアなどにおける情報セキュリティに影響する欠落のことです。つまりCIAに対するバグのこと。
主な発生原因は、
・設計上の欠陥
・開発者が意図的に入れたもの
・セキュリティ対策への予算不足
・システム開発の技術不足
などなど。
脆弱性による情報漏洩、データの改ざん、システム停止や破壊などの損害を防ぐために、まずは脆弱性について知ることが大切です。
脆弱性の種類
坂井孝生さん
セミナーの後半は、キヤノンイメージングシステムズの坂井さんから脆弱性の種類とその内容、対策方法などの説明がありました。
「SQLインジェクション」、「クロスサイトスクリプティング」、「オープンリダイレクト」・・・など、全部で10種類の脆弱性の説明がありましたが、ここからは専門用語も多く、少し難しかったため頭をフル回転させて必死で聞いていました。
初めて聞く単語が多い参加者の方もいたようで、一生懸命メモを取る姿が多く見て取れました。
脆弱性と言っても、一つではなく本当にたくさんの種類があるんだなと感じました。
脆弱性を理解するために、脆弱性の種類を識別するための共通の基準を示した「共通脆弱性タイプ一覧 (CWE)」や、このCWEをベースに、危険度が高い脆弱性タイプをランキングとして取りまとめた「CWE Top 25」などがあります。
興味がある方はぜひ調べてみてください。
脆弱性の階層構造や悪用されることが多い脆弱性のランキングを理解することによって、対策を打つことができます。
脆弱性診断の必要性
脆弱性診断とは、診断基準に基づいて、システムに潜在するセキュリティ上の問題点の有無を網羅的に診断し、リスクの可視化や必要な対策の洗い出しを行うことです。
診断方法は、
・脆弱性スキャナーによる自動診断
・エンジニアによる手動診断
の2種類。
セキュリティ被害は、
・機会損失
・ブランドイメージの失墜、信用の低下
・対策費用の負担
・賠償請求費用
・メディア対応
など、ビジネスへの影響が甚大です。
被害を事前に防ぐために、脆弱性診断は現状のセキュリティリスクを可視化し、必要な対策を関係者が判断する有効な手段です。
脆弱性診断の概要と必要性を理解することはもちろんですが、開発工程によっても必要となる診断が変わってくるので、その種類や実施内容を把握することも大切です。
普段私たちが風邪をひかないよう手洗いやうがいをするように、情報セキュリティリスクも前もって対策することが大事だと感じました。
まとめ
全体を通して、やはり難しい内容でしたが、面白いと感じる部分も多く、とても勉強になりました!
身近なものに例えて説明していただいたり、セミナーの合間に参加型のミニ講習が挟まれていたことによって、聞くだけでなく考える時間も多く、より理解が深まりました。
ニーノアカデミアでは定期的にセミナーやイベントを開催しているので、ぜひチェックしてみてください!
興味のある分野や知らなかった分野の知識を身につけることができるので、私も引き続き積極的に参加していきたいと思います。
次回のイベントは、7月19日(金)に「NINNO ACCADEMIA 2024 Kickoff Meetup」を開催予定です!
ニーノアカデミアの今年度プログラムの発表と交流会イベントを行うので、講師や参加者との交流を深め、今後の継続的な情報交換の基盤づくりの場としてお役立てください。
お申し込み・詳細は下記ホームページから!
皆様のご参加をお待ちしております!