seminar/2022/07/23/1540_snr - 豚吐露＠wiki

LOCAL Developer Day Online '22 /Security

15:40～16:25

Session.3：せきゅぽろSNRで話題になったセキュリティ動向／水越一郎(NTT東日本/JPCERT/IISEC)

Security News Recap
→前月に起きたセキュリティ事象の振り返りと意見交換。
　→チャタムハウスルール

http://lab.iisec.ac.jp/~goto_lab/monthly-event.html

ウクライナ侵攻

→サイバー攻撃
　→BigTechの活躍
　→Splinternet
　　→金盾
　→情報漏洩、仲間割れ
→情報操作

20世紀末のMSの定義
→SkillLevel：ScriptKiddie＜Hacker/Cracker＜Burglar：ハッカー集団＜Espionage：国にバックアップされたハッカー・スパイ集団

• ランサムウェア

半田病院
→半年近く電子カルテなどが使えなくなった。
トヨタ
→つながる下請けも被害。
　→生産ライン止めて影響範囲を調査。

身代金は払うべきか？拒否するべきか？
→米国：払ったところが狙われる。
　→米国：サイバー攻撃を食らったら72時間以内に、身代金を払ったら24時間以内にCIAに報告する義務がある。

• オープンソース

log4j：脆弱性
→SBOM：使ってるlib一覧
→業界からの支援：人、ツール、金

アルファ-オメガ・プロジェクト OpenSSF
https://www.publickey1.jp/blog/22/-openssfgoogle.html

2年で200億：Amazon、MS、intel、vmware

Google:here comes our 'OpenSourceMaintenanceCrew'
https://www.zdnet.com/article/google-here-comes-our-open-source-maintenance-crew/

https://logmi.jp/tech/articles/326575
→バザール型開発

OpenSourceの定義 https://opensource.org/osd.html
→https://opensource.jp/osd/osd19/
　→1. FreeRedistribution
　 2. Source Code
　 3. Derived Works
　 4. Integrity of The Author's Source Code
　 5. No Discrimination Against Persons or Groups
　 6. No Discrimination Against Fields of Endeavor
　 7. Distribution of License
　 8. License Must Not Be Specific to a Product
　 9. License Must Not Restrict Other Software
　 10. License Must Be Technology-Neutral

https://gigazine.net/news/20220111-open-source-developer-corrupts-libraries/

https://news.mynavi.jp/techplus/article/20220525-2351204/

https://qiita.com/SnykSec/items/6e75bd78b4deb3371550

BigTech(Foundation含む)のお墨付きとそれ以外の分離
→guarantee, certificate, warranty, support, ...
　→Endorse?
　→要background check？

---

更新日： 2022年07月26日 (火) 22時38分47秒