官製ハッカー?
総務省は、専門家で組織した「官製ハッカー」を出動させ、企業にサイバー攻撃に対する「演習」をしてもらうことにした。(Asahi.com)
もし事実なら、民業圧迫となる危険もはらんでいるように思われるが、そういった検討はなされたのだろうか?民間のペネトレーションテスターが要員として採用されるなら話は別だが、安価なテスト手段が実現するとなると、民間テスターの仕事を奪い業界の人材を黒い方面へシフトさせる要因となるのでは?
ペネトレーションテスターとしてのきちんとしたキャリアパスを確立するなり、企業がペネトレーションテストを行う際の費用を補助するなどして産業として確立させるなどした方が長期的には良い結果が得られるのではないだろうか。そもそも概算要求に盛まれるという15億円は何に使うのだろう?
どこまで実現可能性があるのかわからないが、仮に実現するなら率先垂範という意味でも最初の演習対象は総務省自身、あるいは住基ネット全体であるべきだろう。なぜなら現在のセキュリティの問題の多くは、そこ(当事者意識)に起因するものだからである。
【参考情報】
■「官製ハッカー」でサイバー攻撃演習 来年度から総務省(Asahi.com)
http://www.asahi.com/business/update/0615/135.html
カテゴリー: 情報セキュリティ
セキュリティホールメモ小島さんの指摘にもあるように「この件の対象は ISP 方面」ということですので、そういう意味では総務省が音頭をとる意味はあるのでしょうね。官製ハッカーという言葉だけについ反応してしまいました・・・。
実際にはペネトレーションサービス会社や個人の方々にも仕事が落ちてくるのかもしれません。
今後どのように事業化されるのか楽しみです。
まあ、住基ネット全体(市区町村を含む)で参加希望を募った上で、抜き打ち演習をやるというのにも、興味はありますが。
予算の多くが海外旅行や飲食費に使われたりしないようにしてほしいですね。大勢で視察旅行は・・・。
約束
柳井ウェルネスパークプール施設
平成17年7月10日 いよいよオープン!!
現在、たくさんの方々に利用をいただいています柳井ウェルネスパー…
>セキュリティホールメモ小島さんの指摘にもあるように「こ
>の件の対象は ISP 方面」ということですので、
>実際にはペネトレーションサービス会社や個人の方々にも仕
>事が落ちてくるのかもしれません
ISP対象となると、サーバよりネットワーク機器の方が多いと思われますが、ペネトレのサービス会社や個人は、サーバの脆弱性や設定はくわしいかもしれませんが、ネットワーク機器については意外と疎いかと思われます。
ネットワーク機器へのアタックというのは、サーバと比べると少ないようなイメージがありますが・・・。なぜISPを対象としたのか、そもそもISPという中にはたとえばホスティングやレンタルサーバなども含まれるのか、このあたりも気になるところです。
主にDDoS対策やら、事件発生時のトレースバックなどのインシデントレスポンスに重点がおかれているのかなぁという気もします。
そういう演習はなかなか単体ではできないですからね。
実運用にあまり影響しない程度の異常トラフィックを発生させて連携要領を確認したりするのでしょうかね。