【IT】「ソニーの情報漏洩は起こるべくして起こった」情報通信技術研究会で専門家が総括
☆「ソニーの情報漏洩は起こるべくして起こった」情報通信技術研究会で専門家が総括☆
[2011/06/23]
斉藤 栄太郎=ITpro
「ソニーの情報漏洩事件は、夜の新宿で大切なものが入っている屋台を放置していたよう
なもの。まともなセキュリティ対策は何も施されていなかったとしか思えない」。こうぶち上
げたのは、情報セキュリティ大学院大学の名誉教授で、横浜市CIO補佐監を務めるセキュ
リティ専門家の内田勝也氏である。2011年6月22日夜、中央大学の後楽園キャンパスで開
催されたセミナー「6月度 情報通信技術研究会」でのヒトコマだ。
講師として登壇した内田氏は、2011年4月末以降立て続けに発生した、ソニーおよび関連会
社のネットワークサービスやWebサイトに対する不正アクセスと、それに伴う大規模な個人情
報漏洩事件について、各種報道やセキュリティ関連サイトなどから集めた様々な情報を長年
の経験に基づいて独自に考察し、同セミナーの場で披露した。
同氏はまず、今回のソニーの事件に関してよく耳にする「高度な技術を持つ侵入者によるもの
だった」という意見に対して、正面から異論を唱えた。冒頭で引用したコメントのように、情報漏
洩を許したのはソニー(グループ)のセキュリティ対策があまりにお粗末だったからに過ぎない
とし、「『あの大メーカーのソニー自身がそう言っているのだから』と日本のセキュリティ専門家
の多くはすっかりだまされているのではないか」(内田氏)と批判した。
(>>2以降に続く)
▽ソース:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/
▽画像:セミナーで講演する内田勝也・横浜市CIO補佐監
http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/20110623a.jpg
国内の暗号研究分野の第一人者である辻井重男・中央大学研究開発機構教授
http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/20110623b.jpg
[2011/06/23]
斉藤 栄太郎=ITpro
「ソニーの情報漏洩事件は、夜の新宿で大切なものが入っている屋台を放置していたよう
なもの。まともなセキュリティ対策は何も施されていなかったとしか思えない」。こうぶち上
げたのは、情報セキュリティ大学院大学の名誉教授で、横浜市CIO補佐監を務めるセキュ
リティ専門家の内田勝也氏である。2011年6月22日夜、中央大学の後楽園キャンパスで開
催されたセミナー「6月度 情報通信技術研究会」でのヒトコマだ。
講師として登壇した内田氏は、2011年4月末以降立て続けに発生した、ソニーおよび関連会
社のネットワークサービスやWebサイトに対する不正アクセスと、それに伴う大規模な個人情
報漏洩事件について、各種報道やセキュリティ関連サイトなどから集めた様々な情報を長年
の経験に基づいて独自に考察し、同セミナーの場で披露した。
同氏はまず、今回のソニーの事件に関してよく耳にする「高度な技術を持つ侵入者によるもの
だった」という意見に対して、正面から異論を唱えた。冒頭で引用したコメントのように、情報漏
洩を許したのはソニー(グループ)のセキュリティ対策があまりにお粗末だったからに過ぎない
とし、「『あの大メーカーのソニー自身がそう言っているのだから』と日本のセキュリティ専門家
の多くはすっかりだまされているのではないか」(内田氏)と批判した。
(>>2以降に続く)
▽ソース:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/
▽画像:セミナーで講演する内田勝也・横浜市CIO補佐監
http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/20110623a.jpg
国内の暗号研究分野の第一人者である辻井重男・中央大学研究開発機構教授
http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/20110623b.jpg
|
|
|
2 :ジジイ風のババア(110625)φ ★:2011/06/25(土) 00:14:13.44 ID:???
※>>1の続き
◆「CISO職をCIOの下に配置したことについても大いに疑問が残る」
そうしたソニーによるセキュリティ対策や事件発覚後の対応のお粗末さを如実に示す例と
して、講演で内田氏が挙げていたのが以下のようなポイントである。
・攻撃されたアプリケーションサーバーの既知の脆弱性をパッチも当てず放置していた
・ハッカーによってサーバーが再起動させられるまで不正アクセスの事実に気付けなかった
・関連会社で漏洩した一部パスワードについては、暗号化(ハッシュ化)を行っていなかった
・事件発覚後の記者会見で、基本的なセキュリティ知識を持っているかさえ疑われるような発
言を担当者がしていた
・再発を防ぐための新体制として、新設したCISO(最高情報セキュリティ責任者)職をCIO(最
高情報責任者)の下に配置した
・ハッカーコミュニティとの付き合い方のまずさ
例えば、サーバーが再起動させられるまで不正アクセスに気付けなかった件については、
「定期的にログ解析さえしていれば簡単に気付けたはず。そんなごく基本的なことさえして
いなかったことは明白」と喝破。関連会社で漏洩したパスワードのハッシュ化が行われてい
なかったケースについては、「国内では、2010年11月にサミーネットワークスのオンライン
ゲームサイトで不正アクセスがあり、約174万件の漏洩したパスワードがハッシュ化されて
いなかったという事件があった。あれ以降多くのネットサービスが最低限、パスワードのハ
ッシュ化をするようになっているのに、こうした過去の教訓からも何も学んでいない」(内
田氏)とバッサリ切り捨てた。
内田氏は、CISO職をCIOの下に配置したことについても大いに疑問が残る対応だとした。
「情報セキュリティが経営問題になる組織では、CISOはCIOの配下ではなく経営層により近
いところに設置すべきではないか。米国をはじめとする海外の常識からすれば考えられな
いこと」。ただし、「日本の場合、同様な考え方をしている企業は多い。“日本の常識=世界
の非常識”になりつつある」と、この件に関してはソニーに限った話ではないことも補足して
いた。
ハッカーコミュニティとの付き合い方についても、ソニーはあまりにもまずい対応をしてい
たと内田氏は指摘する。「PlayStation 3のJailbreak(ハードウエアハッキング手法)を開発
したハッカーであるジョージ・ホッツ氏(ハンドル名:geohot)を米国で訴えたり、関係するハ
ッカーの情報を入手したりしようとするなど、ハッカーコミュニティの相当な怒りを買っていた
可能性は高い。彼らとの全面的な対決姿勢が事件の引き金を引いたというのが、米国のIT
業界にいる有識者の大勢の見方となっている」。
(了)
◆「CISO職をCIOの下に配置したことについても大いに疑問が残る」
そうしたソニーによるセキュリティ対策や事件発覚後の対応のお粗末さを如実に示す例と
して、講演で内田氏が挙げていたのが以下のようなポイントである。
・攻撃されたアプリケーションサーバーの既知の脆弱性をパッチも当てず放置していた
・ハッカーによってサーバーが再起動させられるまで不正アクセスの事実に気付けなかった
・関連会社で漏洩した一部パスワードについては、暗号化(ハッシュ化)を行っていなかった
・事件発覚後の記者会見で、基本的なセキュリティ知識を持っているかさえ疑われるような発
言を担当者がしていた
・再発を防ぐための新体制として、新設したCISO(最高情報セキュリティ責任者)職をCIO(最
高情報責任者)の下に配置した
・ハッカーコミュニティとの付き合い方のまずさ
例えば、サーバーが再起動させられるまで不正アクセスに気付けなかった件については、
「定期的にログ解析さえしていれば簡単に気付けたはず。そんなごく基本的なことさえして
いなかったことは明白」と喝破。関連会社で漏洩したパスワードのハッシュ化が行われてい
なかったケースについては、「国内では、2010年11月にサミーネットワークスのオンライン
ゲームサイトで不正アクセスがあり、約174万件の漏洩したパスワードがハッシュ化されて
いなかったという事件があった。あれ以降多くのネットサービスが最低限、パスワードのハ
ッシュ化をするようになっているのに、こうした過去の教訓からも何も学んでいない」(内
田氏)とバッサリ切り捨てた。
内田氏は、CISO職をCIOの下に配置したことについても大いに疑問が残る対応だとした。
「情報セキュリティが経営問題になる組織では、CISOはCIOの配下ではなく経営層により近
いところに設置すべきではないか。米国をはじめとする海外の常識からすれば考えられな
いこと」。ただし、「日本の場合、同様な考え方をしている企業は多い。“日本の常識=世界
の非常識”になりつつある」と、この件に関してはソニーに限った話ではないことも補足して
いた。
ハッカーコミュニティとの付き合い方についても、ソニーはあまりにもまずい対応をしてい
たと内田氏は指摘する。「PlayStation 3のJailbreak(ハードウエアハッキング手法)を開発
したハッカーであるジョージ・ホッツ氏(ハンドル名:geohot)を米国で訴えたり、関係するハ
ッカーの情報を入手したりしようとするなど、ハッカーコミュニティの相当な怒りを買っていた
可能性は高い。彼らとの全面的な対決姿勢が事件の引き金を引いたというのが、米国のIT
業界にいる有識者の大勢の見方となっている」。
(了)
3 :名前をあたえないでください:2011/06/25(土) 00:28:40.35 ID:r9pos0Kq
どうせ在日社員が3流の怪しげな下請けに丸投げしてたんだろ
4 :名前をあたえないでください:2011/06/25(土) 00:36:13.12 ID:bFpdI+Gy
>情報セキュリティ大学院大学の名誉教授で、
>横浜市CIO補佐監を務めるセキュリティ専門家の内田勝也氏
だからあれほどウリの弟子を雇えとアドバイスしたのに無視しやがって
・・・てな感じ??
>横浜市CIO補佐監を務めるセキュリティ専門家の内田勝也氏
だからあれほどウリの弟子を雇えとアドバイスしたのに無視しやがって
・・・てな感じ??
5 :名前をあたえないでください:2011/06/25(土) 00:45:05.22 ID:mQbcHfcB
PS3でキーが盗み取られた時点でやばいよねって言われてたけど
何も対策講じてなくてこのざまだからな。
あーやっぱりかって感じな流れになってただろう。
何も対策講じてなくてこのざまだからな。
あーやっぱりかって感じな流れになってただろう。
6 :名前をあたえないでください:2011/06/25(土) 00:52:46.55 ID:7vE0rp0L
あとだしジャンケぽん♪
7 :名前をあたえないでください:2011/06/25(土) 00:56:16.16 ID:jfmAEQ/G
後からなら何とでも言える。
この規模のサービスではログ見てても難しいし。
この規模のサービスではログ見てても難しいし。
8 :名前をあたえないでください:2011/06/25(土) 01:00:28.61 ID:cMFhIlyj
わかってるなら先に教えてやれよ
9 :名前をあたえないでください:2011/06/25(土) 01:09:39.51 ID:bFpdI+Gy
大学の先生は能書き肩書きで自治体の顧問とかアドバイザーに就任するけど
実務の役に立つことはめったに無い
大体はコネ企業の橋渡しとか、お手盛り企画の権威付けとか
まあそんな感じ
この職種で出来るヤシなら給料が一桁二桁違いでどこかの企業に居る
実務の役に立つことはめったに無い
大体はコネ企業の橋渡しとか、お手盛り企画の権威付けとか
まあそんな感じ
この職種で出来るヤシなら給料が一桁二桁違いでどこかの企業に居る
10 :名前をあたえないでください:2011/06/25(土) 01:19:14.95 ID:bFpdI+Gy
学校法人岩崎学園
1927年(昭和2年) 横浜洋裁専門女学院創立
1975年(昭和50年) 岩崎学園附属幼稚園開園
1983年(昭和58年) 情報科学専門学校開校
1989年(平成元年) 情報科学専門学校新横浜校開校、岩崎ファッション工科専門学校開校
1991年(平成3年)(株)アーク情報システムと資本提携
1998年(平成10年) 横浜リハビリテーション専門学校開校
1999年(平成11年) 岩崎ファッション工科専門学校を横浜デジタルアーツ専門学校に校名変更
2001年(平成13年) 横浜洋裁学院を横浜fカレッジに校名変更
2004年(平成16年) 情報セキュリティ大学院大学開学
2007年(平成19年) 横浜保育福祉専門学校・岩崎学園東戸塚保育園・品濃町放課後児童クラブ開設
1927年(昭和2年) 横浜洋裁専門女学院創立
1975年(昭和50年) 岩崎学園附属幼稚園開園
1983年(昭和58年) 情報科学専門学校開校
1989年(平成元年) 情報科学専門学校新横浜校開校、岩崎ファッション工科専門学校開校
1991年(平成3年)(株)アーク情報システムと資本提携
1998年(平成10年) 横浜リハビリテーション専門学校開校
1999年(平成11年) 岩崎ファッション工科専門学校を横浜デジタルアーツ専門学校に校名変更
2001年(平成13年) 横浜洋裁学院を横浜fカレッジに校名変更
2004年(平成16年) 情報セキュリティ大学院大学開学
2007年(平成19年) 横浜保育福祉専門学校・岩崎学園東戸塚保育園・品濃町放課後児童クラブ開設
11 :名前をあたえないでください:2011/06/25(土) 01:49:08.81 ID:2Ey4ZcCT
よく分からないんだけど
ハッキングした連中てのは、情報をどっかに売ってるの?
それとも抜き出したらそれで満足して終わりなの?
ハッキングした連中てのは、情報をどっかに売ってるの?
それとも抜き出したらそれで満足して終わりなの?
12 :名前をあたえないでください:2011/06/25(土) 01:50:16.56 ID:bFpdI+Gy
(株)アーク情報システム
代表取締役会長 岩崎 幸雄(学校法人岩崎学園 理事長)
1987年(昭和62年)株式会社アーク情報システム創立。資本金35,000千円
1988年(昭和63年)資本金 98,000千円に増資
1991年(平成3年)学校法人岩崎学園情報科学研究所と事業提携
資本金3億600万円に増資
1996年(平成8年)「CD革命/Speed」販売開始
1997年(平成9年)「CD革命/Virtual」販売開始
「CD革命/R」販売開始
1998年(平成10年)「CD革命/VT」販売開始
「CD革命/EX」販売開始
1999年(平成11年)「HD革命/Backup」販売開始
2000年(平成12年)「TDAP III LT」の販売開始
2003年(平成15年)メールサーバー用ウィルス駆除ソフト「ProScan」販売開始
2007年(平成19年)スパムメール対策ソリューション「SpamSniper」販売開始
代表取締役会長 岩崎 幸雄(学校法人岩崎学園 理事長)
1987年(昭和62年)株式会社アーク情報システム創立。資本金35,000千円
1988年(昭和63年)資本金 98,000千円に増資
1991年(平成3年)学校法人岩崎学園情報科学研究所と事業提携
資本金3億600万円に増資
1996年(平成8年)「CD革命/Speed」販売開始
1997年(平成9年)「CD革命/Virtual」販売開始
「CD革命/R」販売開始
1998年(平成10年)「CD革命/VT」販売開始
「CD革命/EX」販売開始
1999年(平成11年)「HD革命/Backup」販売開始
2000年(平成12年)「TDAP III LT」の販売開始
2003年(平成15年)メールサーバー用ウィルス駆除ソフト「ProScan」販売開始
2007年(平成19年)スパムメール対策ソリューション「SpamSniper」販売開始
13 :名前をあたえないでください:2011/06/25(土) 01:53:36.48 ID:O/e91sIe
> 米国をはじめとする海外の常識からすれば考えられないこと
ウィキリークスにダダ漏れのアメリカ基準ですかw
ウィキリークスにダダ漏れのアメリカ基準ですかw
14 :名前をあたえないでください:2011/06/25(土) 02:12:08.85 ID:bFpdI+Gy
NTTの電話帳
個人名と住所まで載ってる
知ってる人が電話帳や104で電話をかけてくるなんて年に1度も無いのに
・・・良い時代だったんだな
悪用してキャッチの電話掛けてくるとか
選挙の広報に無差別に使うとか迷惑だったわけだが
それでも電話をかければ履歴が残るので犯罪に使うにはハードルが高いと思ってたんだが
・・・
振り込め詐欺
ほとんどがNTTの電話帳を使ってるんだよね
ハックした個人情報で新たな犯罪の可能性があるのか?
嫌な時代だな
個人名と住所まで載ってる
知ってる人が電話帳や104で電話をかけてくるなんて年に1度も無いのに
・・・良い時代だったんだな
悪用してキャッチの電話掛けてくるとか
選挙の広報に無差別に使うとか迷惑だったわけだが
それでも電話をかければ履歴が残るので犯罪に使うにはハードルが高いと思ってたんだが
・・・
振り込め詐欺
ほとんどがNTTの電話帳を使ってるんだよね
ハックした個人情報で新たな犯罪の可能性があるのか?
嫌な時代だな
15 :名前をあたえないでください:
英語が出来れば専門知識はいらねぇ。
グローバル社員が必要だから・・・(採用担当)
グローバル社員が必要だから・・・(採用担当)