久々にAIではなく、情報セキュリティの話。
イデオロギー左でも右でもなく、完全中立の技術的な観点からの話。
政治的な駆け引き、戦略的な話は一切抜き。
どちらより、どこの政党の味方でもなく、是々非々。野党に塩送ってあるわけでもなく苦言も。
この議論に出てくる専門家って右/左どっちかよりばかりで、客観中立の意見あまりないよね。
多くの人が知りたいのは同調圧力に流されるのでもなく、誰にも忖度しない利害関係一切抜きの客観的意見では?
国会でヤジが飛び交う、密室で重大事項が決まるのでなく、オープンな場でこういう高度かつ建設的な議論、討論をしてほしいのでそのための情報提供。
今のやり方に問題があるとすれば何でも反対、ヤジを飛ばすだけでなく、代替案は?
みたいのも野党には考えてほしいな
個人的意見。
「能動的サイバー防御はほぼ意味なし」
冷めた目で見ている。
税金の無駄!と思う人は独自に何かしてね。自分は面倒くさいから何もせず、遠巻きに見ているだけ。
この法案の審議は国会議員は一般人だから置いておくとしても、数多くのIT企業のセキュリティ専門家の目を通して、有識者会議で長時間審査したはず。
でも誰一人こんな初歩的なことに気づかず。
もうなんと言ったらいいのやら、、、
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/pdf/konkyo.pdf
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/index.html
大手コンサルも見抜けなかったかあ
知識だけでなく現場経験も重要
これだけいれば一人くらいおかしい!と気づいてた人はいたはず
でも同調圧力に押されor忖度で言い出せなかった人もいたかもね
イエスマンばかりで周りを固めると、どれだけ優秀な人他に集めても、集団でおかしな方に行く
攻撃する側の立場にたって考えれば、そうそうたる肩書きの有識者が大勢集まっても、セキュリティ分野はこんなレベル低いことしかできない。
日本ってチョロい国と高笑いだろうな
普段会議室の中でだけ机上の空論を話すだけでなく、現場の最前線見ている人ならば、「なんか変だぞ」と気づくはず。実際にヤフコメにも現場エンジニアと思われる人も能動的サイバー防御は不可能と書いていたし
有識者全員初歩的なこと見逃して責任重大
大勢の審議委員集めるだけでも人件費として、多額の税金使ったはず
ヤフコメで見つけたコメント。たぶん、エンジニアだと思うけど。
全く同感。
やられる前にやればいいという発想は、ミサイルが飛び交うリアルな軍事の話。
サイバーの世界はやり方がリアル軍事とかなり違うから、同じ発想は全くと言っていいほど通用しない。
サイバー攻撃。DDoS攻撃にしろ他の攻撃にしろ、他国から直接攻撃なんて今はローテクは99%使われない。だから先制攻撃なんかほぼ無理
直接攻撃だと攻撃を受ける側でIPアドレスを範囲指定で指定してフィルタリングすれば、一分もあれば簡単に防げる。
知能犯である攻撃側がそんな間抜けなことするはずない。
上の絵を見れば、攻撃者を先制攻撃すればいいという人も出そう。
でも攻撃者が踏み台PCに直接攻撃指示を出すのではなく、日本国内やアメリカに攻撃指示用サーバ(C&Cサーバー)を置いて本当の攻撃者の指示からタイムラグを置いて、C&Cサーバから直接攻撃指示を出したら、どうなる?
誰を先制攻撃すればいい?
C&Cサーバーなんてレアケース、考えすぎな話?
経済産業省所管IPAの情報セキュリティマネージメント試験で、近年サイバー攻撃は巧妙化してきているから気をつけろ!
と言わんばかりに最近試験問題に出る機会が急増。
個人的にもIPAの言うことはごもっとも、これに限らずIPAが言うことはまっとうなことがいつも多い と思っているけど。。。
経済産業省の外郭機関がこのサイバー攻撃に気をつけろ! と言っているけど
www.sg-siken.comhttps://www.ipa.go.jp/
ほぼ、「日本国内のPC」が踏み台でないかな
国内の悪意が全くない一般のPC多数から攻撃されるから、先制攻撃とか意味ないんじゃないかな?
「悪意のない踏み台にされた一般のPC多数」から攻撃されるわけだから、日本国内の協力者をあぶりだすために、通信傍受しても意味ないよ。
悪意のある日本国内の協力者からの攻撃ではなく、「悪意のない踏み台」がほとんどだから。
過去、多数DDoS攻撃があったけど、「えっ!自分が加害者だったの?自分のパソコン、スマホ経由で攻撃に参加してたの?知らなかった」と思う人が大半では?
これは以前から指摘している↓
DDoS攻撃、およびその他サイバー攻撃を排除する方法はただ一つ。
「怪しいソフト、IT機器をすべて日本国内から排除すること」
アップデートすれば、今は全く問題ないソフト・IT機器でもすぐに攻撃、盗聴機能等を追加できる。アップデートでいくらでもあとから調整できるというのがソフト、IT機器の特徴。
だから、証拠の有無関係なし。
疑わしいものは全部排除すべきということにせざるを得ない「国家情報法」という善良な中国国民や企業を世界中から差別や排除させる法律がある。
別に差別する気はないけどね、ネットワークとつながらないほかの国にはないアイデア商品は「すごい優秀なアイデアだな」と感心しながら使っているけど、情報機器は国家情報法があるから一切使ってない。
(3coinsで売っている中国製品はコスパがいいだけでなく、他の国にはない面白いオリジナルなアイデア商品多いよね)
情報の心配さえなければ、この中国製品のアイデアはいいね! というものも少なくない。ベンチャー企業的な面白いアイデアも少なくないね。
日本で例えれば、大手電機メーカー的商品ではなく、アイリスオーヤマ的商品が多い。
でも、「国家情報法」が怖いから一切使わない。
もったいないね。民間企業はせっかく面白いアイデア出してるのに。
まあ、内政干渉になるから、国内の人がその法律なくすように動くしかないけどね。
動かなければ世界中でネットワークに接続する機器は排除されるだけ。
この記事で指摘済↓
だから最初の導入時にセキュリティチェックを徹底的にやればいいよね、、、と思うのはネットワークとつながっていない白物家電時代の発想。
あとからオンラインアップデートでいくらでもかえられるなら政治的にできるかどうかということを完全に無視して考えると、
「信用できる企業、製品かということを一切無視して、特定国の排除をする一択。
だって、法律(国家情報法)や国の体制(ロシアだとプーチンの命令に従わないと命が危ない)がそうなっているから、特定の国全排除とかそんなことしたくないのに、そうせざるを得ない」
日本が外交で、そのような法律をなくすように動けば日本にとっても中国一般国民にとってもいい方向に向かうけど波風立てるようなこと、絶対政府がするはずない、、、だから国は頼りにせず民間が自分たちでやるしかない
というのが自分の考え。
国、、、まぁ事務職の人はわからないにしても、たぶん、ブレーンとして大手IT企業をコンサルにつけているはず。
そこでさえここまでお粗末なアイデアしか出てこないとは情けない。
ではどうすればいいの?
っていうと、100%DDoS攻撃等を防ぐ方法はない。
WAF (Web Application Firewall)を導入すればある程度攻撃は軽減できるのかな
it-trend.jpWAFは通信のさらに上のレイヤー、アプリケーション層のデータ通信の中身まで見てパターンマッチングで不正な通信をブロックするファイアウォール
ただ、ゼロデイアタックみたいなチェックすり抜けやWAFの処理能力を超える飽和攻撃もあり得るから100%とは言い切れない。ないよりましレベル。
パターンマッチングでなくても、似たような挙動をするものを自動的にブロックするものでも、FRRやFARみたいな誤認によるすり抜けor正当な通信排除は起こりうる。
WAFのチェックが甘すぎても厳しくしすぎても✖バランスが難しい。
本人拒否率(本人棄却率)と他人受入率、等価エラー率の測定 | 「AIのちからを簡単に」東海顔認証
あとはサービスによりけりだけど、管理用サーバーのおとりのハニーポットサーバーを置くのもある程度効果あるんじゃないかな?
もっと言うとサイバー攻撃を事前に察知するためにメール監視するのは意味が全くない。
「メール監視されるならメール以外の手段でスパイ仲間と情報やり取りしよう!」
↑ ハッキング方法思いつくほどの知能犯なら簡単にそう思うよね。
メール以外の手段、、、、秘匿性の高いメッセンジャー以外でも、どこかの掲示板に隠語でやり取りしたり(ダークウェブ上掲示板含む)「ニイタカヤマノボレ」が攻撃開始の合図みたいな それは機械が自動的に読み取って攻撃実行、、
特定のサイトにファイルを置いたら攻撃開始の合図、ダークウェブに、、、やる気になればいくらでも山の数ほど、メール以外の連絡方法がある。
メールサービス提供者に開示義務化したところで、メールサーバ自分でたてれば済むだけの話。どこか日本の法律が及ばない海外のFTPサーバーやクラウドにガチガチの暗号かけたファイルを置くだけでもいいし。
監視無理では?
サイバー攻撃を防ぐためにメール盗聴というメリットは全くなくなり、残ったのはデメリットといわれる監視社会だけ そんな意味が全くないシステム開発に税金数百億円投入(数千億円?)・・・・
こういう適切なことを言える人/会社が日本には少ないなー
政府の方向が違う!と突っ込みを入れるのはメディア、野党の役割だと思うけど、オールドメディアも野党も技術レベルが低いところが多いためか、こういう突込み全くないし。。。。
