【視聴メモ】第214回 「何を今更」と「つもり」ならないクリアランス！スペシャル！

本記事は第214回 「何を今更」と「つもり」ならないクリアランス！スペシャル！の個人的な記録メモです。抜け漏れ等ある可能性もありますので、気になる方は必ず本編をご確認ください。
https://www.tsujileaks.com/?p=1717

文中太字（）は筆者の感想/ツッコミ/補足です。

冒頭

視聴者からの案のアイキャッチの画像がウケた。辻さんとしても好き。アニメのオマージュであるが、根岸さんは何のオマージュかわかってない。

相談事。ご飯食べると眠い。どうしてる？辻さんは仮眠ができない体質。（この話をしているとき根岸さんは眠そうにしゃべっているｗ　あくびした？おつかれさまです。）

セキュリティのアレはオンライン？→もう４年くらいオンラインで実施している。
最初っからオンラインだと、話のカットインのタイミングがよくわからないとか、話の温度感の切り替えが難しいことがあるよね。そういうの無視してガンガンしゃべれる人には、オンラインいいかもね。

X（旧Twitter）の音声通話とビデオ通話の話

背景

2024/2/29に全ユーザで使えるようになりました。通話した相手に自分のIPアドレスがバレます、ということでメディア各社が危険性を報じている。

IPアドレス（グローバルIP）がバレることのリスクは人によって異なる。他の情報と組み合わせて、いろいろわかるケースを考えると、センシティブ度が高い。（でも別に隠すような情報を普段からアップしていないなら問題ないともいえる。）

誰にでもバレるわけではなく、自分からかけた相手にだけバレるらしいので、公開範囲は限定されている。（後段の話で着信を受話してもダメらしいことが述べられている。）

対策

―機能を使わない人は、オフにする（デフォルトオン）
―通話できる相手を制限する。（自分のアドレス帳をXにアップロードさせてることで制限できるけど、それはそれでリスク感じる）
―エンハンスドコールプライバシーをオンにする（通話がP2Pではなく、Xのサーバを経由することになる）→Xは暗号化がエンド２エンドではないので、Xのサーバで複合化できちゃうかも？

議論の発展

これXだけの話か？シグナル、テレグラム、ワッツアップなどはどれもXと同じ仕組みなので、同じ問題をはらんでいる。通話品質向上のために、P2Pを使う必要がある。FACETIMEやMessengerもP2Pで、設定を変えることすらできません。

どっちから通話したとしても、受話（電話に出た）段階でグローバルIPがバレる。要は出なければ良い。気になる人は。
（じゃあ　IPアドレスが分かれば別のアプリからも通話できるのかな？ちょっとコールの通信を弄ったりと高度な作業が必要ですが。）

菱機工業　２０２０年のランサムウェア被害ついて　（２０２３年のセミナーで講演）

背景

LockBit2.0の被害にあった。3.0でも対応が似てくるので取り上げます。
12/17午前１時ごろに攻撃があり 22日にリーク。12/17 SSL VPN経由で侵入された。６時８分に暗号化された。初報のリリースを当日中に出した。3/17までに計８回のリリースを会社から出した。（取引先への支払い可能状況を共有していた点〇）
８報目は、本復旧とできうる限りの対応をした旨を届ける。

原因/影響

VPNがEOL過ぎたものを使っていた。
ADに参加していたサーバはほぼやられていた。物理PCが１２台、VDIが７０台やられた。夜間はほとんどのPCはシャットダウンしていたが、夜間作業用のVDIがやられた。（全体の３割くらい）
バックアップについては、USBハードディスクに残していたので、ローカルドライブ扱いで繋がっており暗号化された。NASでバックアップした東京と新潟は無事でした。全体の６割程度が暗号化されました。

復旧

ネットワーク上のどの端末が感染しているかわからなくて、復旧が遅くなった。（既存のネットワークが信用できない）

クローズドネットワークを作って、そちらに復旧していった。ERP、人事給与システムについては、バックアップが使えたので、それをもとにクローズドネットワークに復旧。（これができるくらい小規模ならいいが、大企業はきつい）

グループウェアやオンプレミスサーバなどは、１月まで復旧できなかった。

メールサーバはオンプレではなく外部だったので、早く復旧できた。

バックアップは１０TBを超えているので、バックアップがなかなかリストアが終わらなかった。結局直つなぎして復旧したケースもあり、今でも一部のデータは必要になったときにバックアップに探しに行くことにしている。

ぜひリストアのテストを１回もやっていない会社はやってください。というのが一番のメッセージ。

こういうのあったらよかったな/あってよかったな

―クリーンな代えの利くネットワーク。閉域網でしか基幹系のネットワークが使えない期間が続いたので、それを動かすためのネットワークを持っていられたらよかったなと思う（でもコストすごいことになりそうな。クラウド？）

―仮想マシンを大量に復旧するためには、仮想マシンのリソースが大量に必要になるので時間がかかります。（元のやつを残しつつという話になると、膨大になる。クラウドで解決するのが良い？）

―古いノートPC１００台くらいがあって活用できた。古いiphone。インターネットとかメールシステムにアクセスするのに使えた。（でも普段からこういうのが使える状態ってのは良くないような。。。）

―ChatBotが顧客の問い合わせ対応をしてくれた。

―安否確認システムの転用：全員に連絡事項を伝えるためのグループウェアの代わりとして使えた。

事後のアクション

数千万円レベルの対策を行った。EDR, Immutable Back up , SDP, 侵入検知のサーバ監視サービス　などなど
（よくある議論で、「こんなにお金がかかるのであれば、なかなか普段からできない」という話がありますが、起きてから構築のほうが急ぐ分だけ費用が掛かりますし、取られたお金は犯罪者の資金源ですから、社会的な責任の観点からも事前に対応すべきですね。ちなみに菱機工業さんは身代金を払っていないと思われる。（未確認））

その他

ウイルス対策を無効化されたらしい。
バックアップは昼間に取ったほうがいいよ、とのアドバイス。攻撃は夜間に発生しがち。（この辺はいろいろ判断がわかれるかと思います。）
自分たちくらいの会社の規模が一番狙われている。が、やられるまではまさかうちが攻撃されるとは思っていなかった。

セキュリティクリアランスの制度

創設に向けた法案が閣議決定された。（まだ決まっていないスタート段階です。）

セキュリティクリアランス制度はすでに法制化されたものが実はある。特定秘密保護法の中でクリアランスの制度は行われている。

しかしこれは防衛とか外交、テロとかの非常に限定された情報の保護に限っている。昨今の情勢（経済安全保障）を鑑みた、広い意味でのセキュリティクリアランスの制度策定が必要。（G7で日本だけない）

じゃあ　このセキュリティクリアランス制度の中で語られる保護されるべき情報って何？→重要経済安保情報。（なんそれ？）→重要経済基盤保護情報であって、公になっておらず、かつ動意によって日本の安全保障に支障のある情報

→具体的には、どんな分野の情報が入るかは今後の議論です。

重要経済安保情報の例・・・「サイバー関連情報」。サイバー脅威やサイバー脅威にかかる情報は保護の対象。ということでカンゴさんが取り上げた。

重要経済安保情報以外でも、一定の保護が必要な情報についてはしかるべき保護がされるべきでは　という提案も出ている。（結構民間の対応についても影響が出そうである。ってかこれちょっとヤメテ）

ところで、クリアランス制度ということは、誰かの適性を図るもの。適性を図るときは、どういう情報で適性を図るのか。→家族情報や犯罪歴、飲酒の状況、経済状況などを集め評価する。

特定秘密保護法でも話題になりましたが、クリアランスを持った人が情報の取り扱いを誤ると罰則（拘禁刑）となるかも。
（一定以上の情報を扱うには民間でも必要になって、ちょっと間違えたらお縄に就くようになるって、これはセキュリティ人材育ちませんがな）

アメリカでもあったが、情報の搾取が国家間のやり取りで民間を巻き込んで起こっているので背景はわからないでもないが・・・どこまで制限を受けるのか、運用が回るのか　という観点で、懸念がある。

認定と期間は１０年くらいらしいので、一度通った人が唆されたり、変容したりするケースについてどうするつもりだろうか。

今後も要チェックです。

以上