★☆★JNSAメールマガジン 第290号 2024.6.28☆★☆
2024/06/28 (Fri) 15:30
★☆★JNSAメールマガジン 第290号 2024.6.28☆★☆
こんにちは
JNSAメールマガジン 第290号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
Japan Digital Design株式会社 VP of Security 唐沢 勇輔様に
ご寄稿いただきました。
【連載リレーコラム】
暗号の2030年問題をご存じですか?
Japan Digital Design株式会社
VP of Security 唐沢 勇輔
2030年問題とは
2030年問題は、量子コンピューターが実用化レベルに到達し、現行の暗号技術が
破られるかもしれないという問題のことを言います。量子コンピューターが進化
し現実的な脅威になる時期は諸説ありますが、米国NISTが2030年までに2048bitの
公開鍵が破られるという可能性を指摘したことから、「2030年問題」と言われて
います。
量子コンピューターがもたらす脅威
量子コンピューターは、従来の電子で動くコンピューターとは全く異なる動作
原理を持つ次世代コンピューターです。最新のスーパー・コンピューターでも
事実上解けない計算 領域でも、理想的な量子コンピューターが実現すれば解ける
ようになるといわれています。この量子コンピューターが効率的に解くことが
可能な問題の中に素因数分解や離散対数問題といった数学問題があり、この数学
問題の計算困難性に依存して安全性を保っている公開鍵暗号が脆弱になると
いわれているのです。(公開鍵暗号方式は、暗号化と復号とに異なる2つの鍵を
用い、発行元しか知らない秘密鍵で暗号化し、誰でも入手できる公開鍵で複合
する方式です。一方、暗号化と復号に同一の鍵を用いるのが共通鍵暗号方式で
ありこちらは影響が少ないと言われてます)
PQC(耐量子暗号)の登場
この問題に対策として期待されているのが、PQC(Post-Quantum Cryptography)
と呼ばれる耐量子暗号技術です。PQCは、量子コンピューターを用いても効率的に
解読することが困難な数学問題に基づいて設計されており、2030年以降も安全な
情報通信を可能にすることが期待されています。
PQCの現状と課題
PQC技術は、まだ研究開発段階であり、実用化に向けて様々な課題があります。
具体的な技術 課題としては、処理速度の遅さや鍵長の肥大化などが挙げられます。
また、標準化や導入に向けた体制整備も必要です。NISTでの標準化活動は最終局面
を迎えており、今年の夏ころには確定するスケジュールで動いているようです。
ここで方式が確定すれば、製品等への反映が進み、各所で対応が進むことになる
でしょう。一方で、PQC自体がまだ新しいアルゴリズムであるため、アルゴリズム
そのものや実装に脆弱性が潜む可能性も否定しきれません。そのため、移行初期
はハイブリッド(PQCと古典暗号の併用)が推奨されている状況です。
実は皆さんも利用しているPQC
Google Chrome 123以降を利用されている場合、既定で「ハイブリッドポスト量子
TLS鍵交換」の機能が有効になっています。そのためChromeユーザーの大多数はPQC
を利用して通信を行っているということになります。これで問題を感じている
方は多くないと想像しますが、通信経路上に複数のセキュリティアプライアンス
を使っている場合に機器の実装上の問題から 通信が切断してしまうという問題も
一部で発生しているようです。2030年に向けてこうした問題を1つ1つ解決しな
がら2030年問題の解決を社会全体で模索していくことになるでしょう。
(参考:https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/)
思い出される「2010年問題」
この業界が長い方であれば2010年頃に発生したRSAおよびSHA-1からの移行について
ご記憶のことと思います。あの頃のように非常に多くのシステムで、長い時間を
かけて暗号方式の移行に対応していくことが想像されます。システムによっては
数年単位で時間がかかることも多いので、システム運用・開発に携わる皆さんは
今のうちに情報を収集し、備えて頂ければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/mr43fktp
※googleアンケートフォームを利用しています。
【JNSAイベントのお知らせ】
★「JNSA活動報告会」(7月17日・18日・19日)の参加登録を開始しました!
JNSAで活動している部会・ワーキンググループの2023年度2024年度の
活動報告と今後の活動計画について3日間にわたりオンラインで開催します!
https://www.jnsa.org/seminar/2024/active/index.html
【部会・WGからのお知らせ】
★JNSAソリューションガイドサービスより
「IPA 「情報セキュリティ10大脅威 2024」に対応した
製品・サービス検索を公開しました。
https://sg.jnsa.org/
★JNSA教育部会が主催する学生さん向けイベント
「JNSAセキュリティチャレンジスクール2024夏期講座」(9月6日)の
参加登録を開始しました。
https://www.jnsa.org/seminar/edu/secuchalle/2024/summer/index.html
【事務局からのお知らせ】
★会員限定!「SEA/J情報セキュリティ技術認定基礎コース研修」
JNSA会員割引キャンペーンを開始しました。
https://www.sea-j.net/post/blog016
https://www.sea-j.net/post/blog017
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
◆個人情報保護教育用動画(3編)公開中◆
JIPDECプライバシーマーク推進センターでは、個人情報に関する
漏えいなどの事故を起こさないよう、注意喚起を行うことを目的と
した社内教育用参考動画・資料を公開しています。
現在「1.個人情報保護の大切さ」「2.メール誤送信に気をつけよう」
「3.テレワーク時の注意点」の3編の動画を公開中です。
動画のほか、自社の規程・ルール等を記載してご利用いただけるよう
パワポ版資料のひな形も公開しています。どなたでもダウンロード
可能ですので、社員研修等、周知徹底にぜひお役立てください。
▼動画(YouTube:JIPDEC公式プライバシーマークチャンネル)
https://www.youtube.com/@jipdec_pmarkchannel
▼社内教育用参考資料テンプレート
https://privacymark.jp/system/reference/index.html
【一般財団法人日本情報経済社会推進協会(JIPDEC)】
==============================================================
┏★早割受付中★ APAC DFIR Summit & Japan September 2024
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本開催ではフォレンジックのコースを中心とした全5コースを
LiveOnline形式で実施いたします。
只今、全てのコースを早期割引価格で受付中です!
JNSA会員様専用Webサイトよりお申込みいただくと、更に割引と
なります。※詳細はJNSA様のWebサイトをご確認ください。
▼開催日程・詳細
日程:2024年9月9日(月)~14日(土)(6日間)
https://www.sans-japan.jp/events/cyber_security_training_at_apac_dfir_summit_and_japan_september_2024
▼JNSA様会員専用Webサイト
https://www.jnsa.org/member/cissp_sans_egg.html
【NRIセキュアテクノロジーズ株式会社】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自社の現状を知るための最初の3ステップ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
近年、中小企業を標的としたサイバー攻撃が増加しており、
セキュリティへの危機感が高まる中、中小企業にとっても
セキュリティ対策は重要な課題です。
しかし、どこから始めればいいのか悩んでいる方も多いでしょう。
本ブログでは、セキュリティ対策を始める際の具体的な手順について、
社内に情報セキュリティ担当がいない企業様にも伝わるよう、
わかりやすく解説していきます。
■ブログ詳細
⇒ https://hubs.ly/Q02B2yGj0
《株式会社ユービーセキュア
==============================================================
◆┓お客さま環境に合わせた脆弱性情報を提供する
"脆弱性情報提供サービス"を開始
https://www.canon-its.co.jp/news/detail/20240530vulnerability-alert.html
┗┛━━━━━━━━━━━━━━━━━━━━━━━━━━
「脆弱性情報提供サービス」は
事前にお客さまから提供されたシステム構成情報と
キヤノンITSが管理する脆弱性情報収集ツールなどから
収集した脆弱性情報をマッチングして、
お客さまそれぞれが必要とする脆弱性情報のみを提供するサービスです。
▼脆弱性情報提供サービス製品ページはこちら
https://www.canon-its.co.jp/products/vulnerability-alert/
《キヤノンITソリューションズ株式会社》
==============================================================
●7/18(木)『ビギナーのためのストレージ講座』開催のご案内●
「ビギナーのためのストレージ講座」を、
7月18日(木)にWebinar形式で開催します。
開催日:7月18日(木)
プログラム(予定)
13:30~開会挨拶
13:35~14:20 ストレージ概論
14:25~15:25 ストレージネットワークの基礎
15:40~16:25 テープストレージのテクノロジー
16:30~17:15 バックアップ・アーカイブ概論
17:15~閉会挨拶
申込:https://ctc-g.zoom.us/webinar/register/WN_Y-dZZC_DS8aYktYYG6CYSQ
質問・ご不明な点等ございましたら
JDSF事務局(info4@jdsf.gr.jp)へご連絡下さい。
ジャパンデータストレージフォーラム https://www.jdsf.gr.jp
==============================================================
【株式会社ベリサーブ】IoTハッキングハンズオントレーニング
IoT機器へのサイバー攻撃に対する対策方法を実践形式で学ぶことが
できる研修を開催します。
講師には、100を超える多くのIoTデバイスを調査・テストの経験を
持ち、世界最大級のサイバーセキュリティカンファレンスである
Black HatやDEFCONでの講演歴もあるAttify社のAditya Gupta氏を
お迎えします。
3日間の研修では通訳を交えての座学講義を行うほか、ベリサーブの
スタッフが適宜サポートしながら、攻撃者がIoTデバイスに侵入する
手法などを学び、組込みデバイスへのハッキング、ファームウェアに
対するリバースエンジニアリング、バイナリエクスプロイト、
無線規格(Bluethooth Low Energy)を用いたエクスプロイトなど、
多くのトピックについて学んでいただきます。
詳細は弊社特設ページをご覧ください。
https://contact.veriserve.co.jp/public/seminar/view/10280
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NTT DATA グローバルセキュリティ動向四半期レポート 公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2023年度第3四半期のレポートを6月19日に公開!
https://www.nttdata.com/global/ja/news/topics/2024/061902/
■エグゼクティブサマリ
■注目トピック『新様式マイナンバーカード』,『多要素認証で大丈
夫? パスキーのすゝめ』
■情報漏えい『セキュリティインシデント対応時の情報共有の重要
性とその効果』
■脆弱性『今もなお続くCitrix製品の深刻な脆弱性の悪用』
■マルウェア・ランサムウェア『ノーウェアランサム出現から考え
る、今後のランサムウェア攻撃手法』
■予測、タイムライン
<株式会社NTTデータグループ サイバーセキュリティ技術部>
==============================================================
*************************************
JNSAメールマガジン 第290号
発信日:2024年6月28日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第290号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
Japan Digital Design株式会社 VP of Security 唐沢 勇輔様に
ご寄稿いただきました。
【連載リレーコラム】
暗号の2030年問題をご存じですか?
Japan Digital Design株式会社
VP of Security 唐沢 勇輔
2030年問題とは
2030年問題は、量子コンピューターが実用化レベルに到達し、現行の暗号技術が
破られるかもしれないという問題のことを言います。量子コンピューターが進化
し現実的な脅威になる時期は諸説ありますが、米国NISTが2030年までに2048bitの
公開鍵が破られるという可能性を指摘したことから、「2030年問題」と言われて
います。
量子コンピューターがもたらす脅威
量子コンピューターは、従来の電子で動くコンピューターとは全く異なる動作
原理を持つ次世代コンピューターです。最新のスーパー・コンピューターでも
事実上解けない計算 領域でも、理想的な量子コンピューターが実現すれば解ける
ようになるといわれています。この量子コンピューターが効率的に解くことが
可能な問題の中に素因数分解や離散対数問題といった数学問題があり、この数学
問題の計算困難性に依存して安全性を保っている公開鍵暗号が脆弱になると
いわれているのです。(公開鍵暗号方式は、暗号化と復号とに異なる2つの鍵を
用い、発行元しか知らない秘密鍵で暗号化し、誰でも入手できる公開鍵で複合
する方式です。一方、暗号化と復号に同一の鍵を用いるのが共通鍵暗号方式で
ありこちらは影響が少ないと言われてます)
PQC(耐量子暗号)の登場
この問題に対策として期待されているのが、PQC(Post-Quantum Cryptography)
と呼ばれる耐量子暗号技術です。PQCは、量子コンピューターを用いても効率的に
解読することが困難な数学問題に基づいて設計されており、2030年以降も安全な
情報通信を可能にすることが期待されています。
PQCの現状と課題
PQC技術は、まだ研究開発段階であり、実用化に向けて様々な課題があります。
具体的な技術 課題としては、処理速度の遅さや鍵長の肥大化などが挙げられます。
また、標準化や導入に向けた体制整備も必要です。NISTでの標準化活動は最終局面
を迎えており、今年の夏ころには確定するスケジュールで動いているようです。
ここで方式が確定すれば、製品等への反映が進み、各所で対応が進むことになる
でしょう。一方で、PQC自体がまだ新しいアルゴリズムであるため、アルゴリズム
そのものや実装に脆弱性が潜む可能性も否定しきれません。そのため、移行初期
はハイブリッド(PQCと古典暗号の併用)が推奨されている状況です。
実は皆さんも利用しているPQC
Google Chrome 123以降を利用されている場合、既定で「ハイブリッドポスト量子
TLS鍵交換」の機能が有効になっています。そのためChromeユーザーの大多数はPQC
を利用して通信を行っているということになります。これで問題を感じている
方は多くないと想像しますが、通信経路上に複数のセキュリティアプライアンス
を使っている場合に機器の実装上の問題から 通信が切断してしまうという問題も
一部で発生しているようです。2030年に向けてこうした問題を1つ1つ解決しな
がら2030年問題の解決を社会全体で模索していくことになるでしょう。
(参考:https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/)
思い出される「2010年問題」
この業界が長い方であれば2010年頃に発生したRSAおよびSHA-1からの移行について
ご記憶のことと思います。あの頃のように非常に多くのシステムで、長い時間を
かけて暗号方式の移行に対応していくことが想像されます。システムによっては
数年単位で時間がかかることも多いので、システム運用・開発に携わる皆さんは
今のうちに情報を収集し、備えて頂ければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/mr43fktp
※googleアンケートフォームを利用しています。
【JNSAイベントのお知らせ】
★「JNSA活動報告会」(7月17日・18日・19日)の参加登録を開始しました!
JNSAで活動している部会・ワーキンググループの2023年度2024年度の
活動報告と今後の活動計画について3日間にわたりオンラインで開催します!
https://www.jnsa.org/seminar/2024/active/index.html
【部会・WGからのお知らせ】
★JNSAソリューションガイドサービスより
「IPA 「情報セキュリティ10大脅威 2024」に対応した
製品・サービス検索を公開しました。
https://sg.jnsa.org/
★JNSA教育部会が主催する学生さん向けイベント
「JNSAセキュリティチャレンジスクール2024夏期講座」(9月6日)の
参加登録を開始しました。
https://www.jnsa.org/seminar/edu/secuchalle/2024/summer/index.html
【事務局からのお知らせ】
★会員限定!「SEA/J情報セキュリティ技術認定基礎コース研修」
JNSA会員割引キャンペーンを開始しました。
https://www.sea-j.net/post/blog016
https://www.sea-j.net/post/blog017
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
◆個人情報保護教育用動画(3編)公開中◆
JIPDECプライバシーマーク推進センターでは、個人情報に関する
漏えいなどの事故を起こさないよう、注意喚起を行うことを目的と
した社内教育用参考動画・資料を公開しています。
現在「1.個人情報保護の大切さ」「2.メール誤送信に気をつけよう」
「3.テレワーク時の注意点」の3編の動画を公開中です。
動画のほか、自社の規程・ルール等を記載してご利用いただけるよう
パワポ版資料のひな形も公開しています。どなたでもダウンロード
可能ですので、社員研修等、周知徹底にぜひお役立てください。
▼動画(YouTube:JIPDEC公式プライバシーマークチャンネル)
https://www.youtube.com/@jipdec_pmarkchannel
▼社内教育用参考資料テンプレート
https://privacymark.jp/system/reference/index.html
【一般財団法人日本情報経済社会推進協会(JIPDEC)】
==============================================================
┏★早割受付中★ APAC DFIR Summit & Japan September 2024
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本開催ではフォレンジックのコースを中心とした全5コースを
LiveOnline形式で実施いたします。
只今、全てのコースを早期割引価格で受付中です!
JNSA会員様専用Webサイトよりお申込みいただくと、更に割引と
なります。※詳細はJNSA様のWebサイトをご確認ください。
▼開催日程・詳細
日程:2024年9月9日(月)~14日(土)(6日間)
https://www.sans-japan.jp/events/cyber_security_training_at_apac_dfir_summit_and_japan_september_2024
▼JNSA様会員専用Webサイト
https://www.jnsa.org/member/cissp_sans_egg.html
【NRIセキュアテクノロジーズ株式会社】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自社の現状を知るための最初の3ステップ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
近年、中小企業を標的としたサイバー攻撃が増加しており、
セキュリティへの危機感が高まる中、中小企業にとっても
セキュリティ対策は重要な課題です。
しかし、どこから始めればいいのか悩んでいる方も多いでしょう。
本ブログでは、セキュリティ対策を始める際の具体的な手順について、
社内に情報セキュリティ担当がいない企業様にも伝わるよう、
わかりやすく解説していきます。
■ブログ詳細
⇒ https://hubs.ly/Q02B2yGj0
《株式会社ユービーセキュア
==============================================================
◆┓お客さま環境に合わせた脆弱性情報を提供する
"脆弱性情報提供サービス"を開始
https://www.canon-its.co.jp/news/detail/20240530vulnerability-alert.html
┗┛━━━━━━━━━━━━━━━━━━━━━━━━━━
「脆弱性情報提供サービス」は
事前にお客さまから提供されたシステム構成情報と
キヤノンITSが管理する脆弱性情報収集ツールなどから
収集した脆弱性情報をマッチングして、
お客さまそれぞれが必要とする脆弱性情報のみを提供するサービスです。
▼脆弱性情報提供サービス製品ページはこちら
https://www.canon-its.co.jp/products/vulnerability-alert/
《キヤノンITソリューションズ株式会社》
==============================================================
●7/18(木)『ビギナーのためのストレージ講座』開催のご案内●
「ビギナーのためのストレージ講座」を、
7月18日(木)にWebinar形式で開催します。
開催日:7月18日(木)
プログラム(予定)
13:30~開会挨拶
13:35~14:20 ストレージ概論
14:25~15:25 ストレージネットワークの基礎
15:40~16:25 テープストレージのテクノロジー
16:30~17:15 バックアップ・アーカイブ概論
17:15~閉会挨拶
申込:https://ctc-g.zoom.us/webinar/register/WN_Y-dZZC_DS8aYktYYG6CYSQ
質問・ご不明な点等ございましたら
JDSF事務局(info4@jdsf.gr.jp)へご連絡下さい。
ジャパンデータストレージフォーラム https://www.jdsf.gr.jp
==============================================================
【株式会社ベリサーブ】IoTハッキングハンズオントレーニング
IoT機器へのサイバー攻撃に対する対策方法を実践形式で学ぶことが
できる研修を開催します。
講師には、100を超える多くのIoTデバイスを調査・テストの経験を
持ち、世界最大級のサイバーセキュリティカンファレンスである
Black HatやDEFCONでの講演歴もあるAttify社のAditya Gupta氏を
お迎えします。
3日間の研修では通訳を交えての座学講義を行うほか、ベリサーブの
スタッフが適宜サポートしながら、攻撃者がIoTデバイスに侵入する
手法などを学び、組込みデバイスへのハッキング、ファームウェアに
対するリバースエンジニアリング、バイナリエクスプロイト、
無線規格(Bluethooth Low Energy)を用いたエクスプロイトなど、
多くのトピックについて学んでいただきます。
詳細は弊社特設ページをご覧ください。
https://contact.veriserve.co.jp/public/seminar/view/10280
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NTT DATA グローバルセキュリティ動向四半期レポート 公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2023年度第3四半期のレポートを6月19日に公開!
https://www.nttdata.com/global/ja/news/topics/2024/061902/
■エグゼクティブサマリ
■注目トピック『新様式マイナンバーカード』,『多要素認証で大丈
夫? パスキーのすゝめ』
■情報漏えい『セキュリティインシデント対応時の情報共有の重要
性とその効果』
■脆弱性『今もなお続くCitrix製品の深刻な脆弱性の悪用』
■マルウェア・ランサムウェア『ノーウェアランサム出現から考え
る、今後のランサムウェア攻撃手法』
■予測、タイムライン
<株式会社NTTデータグループ サイバーセキュリティ技術部>
==============================================================
*************************************
JNSAメールマガジン 第290号
発信日:2024年6月28日
発 行:JNSA事務局 sec@jnsa.org
*************************************