情報セキュリティの最近のブログ記事

いやぁ、今日は寒かった。朝から雪まじり。実際の気温よりも、この雰囲気ではより寒く感じてしまう。よりによって、こんな日に外出。しかも行き先は皇居のお堀端界隈。余計に冷え冷え・・・・（笑）。

最近、なんとなくこの界隈に来ることが増えているように思うのは気のせいか・・・。本当なら、あまり近づきたくないのだけど・・・・。^^;)

時々小雪混じりの冷たい雨。本当に体の芯まで冷えてくる。寒いといえば、この界隈でも、お寒い話が昨年から連発している。幸いにも、からまずにすんでいるのだけど、あれこれ風の噂話を聞くと、状況は思った以上に深刻そうだ。

国会や官公庁を狙ったサイバー攻撃、報道されてみると、結局、パッチがあたってなかったとか、ぐだぐだな現状が見えてきて、な～んだ、それじゃ簡単にやられちゃうじゃん・・・なんて思っていたのだけど、これは結果の話。たとえば、そういう管理がきちんとされていたら大丈夫だったのか、というと実はそうでもないらしい。攻撃の詳細を見てみると、非常に周到に行われていたようで、実際に攻撃側は、当初かなり高いハードルを想定していたようだ。そういう意味では、ずいぶん拍子抜けしたんじゃないかと思うのだが、相当にレベルの高い攻撃者像が浮かび上がっているらしい。いわゆるAPT（高度かつ執拗な攻撃主体＝脅威）と言えるレベルの相手かもしれないと思う。であれば、油断は禁物だ。たとえば、今度はパッチがあたってウイルス対策ソフトも常時更新しているし、パスワードの管理もきちんとしているから大丈夫、なんて思ってたら、いつのまにか侵入され、気づかれることもなく情報が抜かれて、痕跡も消されてしまっていた、なんてことになるかもしれないと危惧するわけだ。油断は禁物である。もしかしたら、敵さん、あまりのお粗末さに拍子抜けして、気がゆるんで発覚したんじゃないだろうか、とか妄想してみる。いずれにせよ、これで終わるような攻撃ではなさそうなので、十分注意しておくにこしたことはなかろう。

さて、ようやく週末。でも、今週末はちょっと論文のまとめをしないといけない。近々、標的型攻撃を考察した発表をしないといけないので。あ、その前に来週は、某JNSAのイベントNSF2012で、標的型攻撃ねたが満載になっているので、興味がある人は是非２５日、ベルサール神田に行って欲しい。

そういえば、もう一つ悲しい話。IPv6がうまく繋がらないので、プロバイダに問い合わせていたのだけど、どうやらうちのBフレッツ回線はサポート対象外で、フレッツ光NEXTでないとだめなんだそうだ。名前が変わっただけだと思っていたらサービス自体が違うらしい。これは知らなかった。おまけに、回線の種類が変わると、今使っているｖ４のIPレンジも変わってしまうらしく、面倒きわまりないことになる。さて、ここは思案のしどころ。どうせIPが変わるんだったら、既にv6を正式サポートしてるISPに鞍替えもありうるな・・・とか。・・・というわけで、v6はもうしばらくお預け。またAAAAは削除しなきゃいけないのか・・・。残念。

なので、もう一日頑張れば3連休。ということで、今朝も6時半起床。お天気は、ちょっと雲が多くて気温は昨日と同じくらい。

ベランダ午前7時で0℃ちょい、昨日との差はほとんど誤差の範囲内だ。

今朝は電車の遅れもなく、余裕で出社。で、午前中はあれこれ雑用で終わり、お昼は天気もよくなったので、いつもの散歩。さすがに日陰の多い豊洲運河方面は敬遠して、ららぽーと方面あたりの日だまりでお茶を濁す。ふと見たら鮫のような雲。

このあたりは日当たりがよくて、今日は風邪もなかったので暖かい。晴海トリトンスクエアの上の雲は綿飴のようだ。

のんびりと歩いて日差しを楽しむ。昨日よりは暖かい感じだが、広場に人影はまばらだ。

人気のない公園の木に凧が引っかかっていた。グリップを放してしまい、まるごと飛ばされて引っかかった感じ。これは諦めるしかなさそうだ。

最近、仕事のあいまに、標的型サイバー攻撃についての考察をまとめてみている。思うにサイバー攻撃は、いまや、より大きな目的のための手段のひとつになったのだろうと思う。それは、ITがビジネスや社会生活の中での道具として重要度を増していることと本質は同じだ。目的を持って攻撃を行うならば、そのターゲットは必然的に絞られてくる。リアルな世界のなんらかの目的のために、サイバー攻撃「も」手段として利用されるということだ。当然ながら手段はサイバー攻撃つまりITを使ったものだけではない。旧来からの犯罪の手口なども併用されるだろう。つまり、サイバー攻撃というよりもハイブリッド攻撃（犯罪）というわけだ。従って、対策もハイブリッド化が必要である。また、ねらいが絞られるから、その標的になる対象を重点的に防御する必要が生じる。対策の考え方は、現在、多くのセキュリティ対策が陥ってしまっているベースライン的なアプローチではなく、本来のリスクベースのアプローチに戻る必要があるのだろう。当然、リスク評価のあり方も考え直す必要があろう。・・・・というようなことを、今、セキュリティ関係の親しい仲間内で議論している。近々、これをどこかで発表することになるかもしれない。

さて、とりあえず小休止。正月明け早々、いきなり飛ばしたら体によくないので。この連休はのんびりしようかと思っている。

風邪ひいとるっちゅうのに、どうしてこんなに寒くなるかな、というくらいに今朝は寒い朝。なんとベランダ気温は3℃ちょい？。おまけに冷たい雨。まぁ、会社の中はまだ夏の気温だからいいとしても、この落差はやはりきつい。

なにやら御殿場あたりは雪が降ったらしく、一気に冬の様相だ。景色もなんとなく寒々。

今日の午前中は、某独法がやってる情報セキュリティキャリアパス調査の関係で、ヒアリングを受けた。いやはや私なんて、かなり変態キャリアなので（あ、違う意味に誤解しないでくれ～）参考になるかどうかはわからんのだけど、ついでに持論をいくつかぶっておいた。なんとなく、喋りすぎたような気がしないでもないけど。でも、いまやセキュリティというくくりでたばねられているもろもろの多くは、IT分野の基礎科目になっている（というかならなくちゃいけない）と思っているので、いまさらキャリアパスもないだろう・・・、なんて言うと身も蓋もないけど、IT畑に入る人たちが基本としてセキュリティを考えてくれれば、専門家はもっと高度な部分、たとえば最近のような標的型サイバー攻撃とかへの対応に力を注げるだろう。逆に、そこをできないと専門家とは言えない。なので、情報処理試験のセキュリティ系の試験にセキュアプログラミングなんかの問題を出さずに、開発系の試験にこそ必須にすべきだ。ネットワーク系についても、同様にネットワークセキュリティ系の知識は必須とすべきだ。セキュリティとはそういうものだと思うから。

午後からは、ちょっと仕様書き。今日はそれで暮れた。晩飯は有楽町で回転寿司。世間では今日がボーナス日な人たちも多いので、有楽町はいつもの週末以上ににぎわっている。

ふと見ると月がきれい。明日は満月、しかも皆既月食が全国的に見られるらしい。関東地方は晴れ予報。久々の天体ショーになる。

明日は望遠鏡でも持ち出して月食の撮影をしようかな。9時半頃から始まって11時台には皆既食になるようだが、南西向きのうちのベランダからだと、かなり微妙な時間。望遠鏡は、どこかに持ち出した方がいいのかな。

さて、週末だ。ゆっくり休養して体調を整えるとしよう。

ここまで毛布一枚で寝ていた私ですが、とうとう布団を出しました。まさに大正解で、今朝は一段と冷え込み、毛布一枚だったらカゼをひいているところで・・・。

朝焼けの富士山が綺麗。でも気温は6℃ちょいと昨日よりさらに6℃近く下がってしまいました。

今朝方、ちょっとつぶやいた件、多少舌足らずだったかもしれません。ひとつの前提として、「標的型攻撃」ってのは、なにもウイルスメールだけの話ではなく、特定の組織や人にフォーカスして行われる攻撃であるという前提で、一番弱い所にねらいを定めて行われるだろうことは容易に想像できるので、既存の対策にたよるだけではダメ、万一攻撃が成功をした場合のことを考えて、火が燃え広がらないような対応も考えておこう、という話がひとつ。それから、セキュリティ屋は、ある意味、一般の人たちを守っていくのが仕事なのだから、単に気を付けなさいというだけじゃなく、万一その人が地雷を踏んじゃったらどうやって助けるかというところまで考えようね、ということが言いたかったわけです。簡単ではないことは承知の上で言うのですが、専門の人たちがもう一歩踏み込んで考えなきゃいけない時に来たのかなと思う次第で。たとえば感染後のマルウエアの通信をどうやって見つけようか、なんてのも頭の痛い課題。「出口対策」なんて簡単に言ってくれるなよ、と言いたいわけで、そういう試行錯誤は自分が自社内のネットワーク監視をやっていた時からさんざんやってきて、まだ一般解がない問題でもあるのです。（実は一般解なんてないんじゃないかと密かに思ってますが・・・）なので、これは個々のセキュリティ屋が頑張るだけでは解決できず、みんなで知恵を絞り合うべきなんじゃないかなと思う次第で。

ああ、久々にこういう文体にしたら、なんとなくくすぐったいや。昔はこっちのほうが好きで、「です、ます」調にこだわってたんですけどね。いつしか、変わっちゃいました。一度戻してみても面白いかな。

いずれにせよ、セキュリティ屋がセキュリティ屋であるためには、もうちょっと努力が必要かな・・・としみじみ感じるこのごろであります。

昨夜は結構飲んだせいか、今朝は7時半まで寝てしまい、ちょっとぎりぎりの起床。今朝は、目覚ましセッション（ベンダセッション）があって、Googleのセッションを聞いてみた。まぁ、例によって自慢話に終始していたのだけど、それなりに潤沢なリソースをつぎ込んで、セキュリティを固めているのはわかる。セキュリティチームが250人体制というのは、その十分の一でいいからうちに、いや日本にくれ、といいたくなったのだが。（苦笑）で、それからキーノート。

今朝のキーノートはZSCALERのCEO。なんとなく宣伝っぽい感じの講演だったのだが、モバイルも含めて、ネットとの接続点は会社が制御できないほどに増えてしまっているのは事実。会社の社員数だけインターネットとのゲートウエイが（事実上）存在しているというのは、あながち誇張でもないかもしれない。まぁ、だからセキュリティもクラウドで・・・・というあたりから完全に我田引水になっていたのは残念だが、まぁ、ひとつの切り口ではあるだろう。

昨日も含めて、あまり技術的に突っ込んだようなセッションは少なく、どちらかといえばマネジメント系のほうが多い感じ。今日はパネルセッションを中心に聞いたのだけど、クラウド事業者を選択する際、米国ではセキュリティやガバナンス関連の開示の多さがひとつの基準になるようだ。事業者のセキュリティやシステムの運用状況をユーザ側（の管理者）が常に把握できるようなしくみがほしいというのは、わかる気がする。結局、なにかあれば選んだ利用者側が責任の多くを負わなければならないのだから。そういう意味では、日本のクラウド事業者はかなり寒いなと思う。先日のJNSAの日韓シンポでの発表にもあったのだが、日本の事業者のこうした開示は、米国の事業者に比べて極端に少ないのが実際だからだ。昨日の話なども含めて、やはり日本のクラウドはガラパゴス化しつつあるのではないか、という不安が大きくなった。そもそも運用コストを減らしたいのに、あれこれ根掘り葉掘り聞いたり調べたりしないと、管理状況がわからないようでは、ユーザにとっては本末転倒。事業者側から積極的に開示する姿勢が必要なのだろう。別の意味で、日本に入っている米国系はどうだろう。日本の因習をたてに、米国では開示される情報を出し渋るようなことをしていないだろうか、というのもチェックが必要だ。外資系の日本法人には曲者も多いので。

朝方は雲が多い感じだったのだけど、昼ごろには晴れ間が広がって、外の気温が結構上がっていたのだけど、中は冷房がきいて寒いくらい。上着がないとちょっと辛い。午後のセッションで面白かったのはこれ。

ユーザ V.S ベンダの戦い？。中身は、アウトソースに際しての基本的な考え方についてのもの。参加者にユーザサイドの人が多かったので、あれこれ活発な議論になった。RFPでセキュリティの要件をきちんと提示するのは基本で、その回答提案の吟味の仕方とか。たとえば、RFPの文章をコピペして、それに全部 'Yes' で回答してくるようなベンダは危ないとか。そんなベンダは、プレゼンさせて、あれこれ質問してボロを出させるのだとか。あとは、実績ベースで、それが可能であることを説明できないベンダはダメとか・・・・。一方で、RFPを出す側も、ベストプラクティスにたよるのではなく、正味のところで自分たちが必要な要求を書かないとダメとか。日本人にとっては耳が痛い話ばかりだが、一方で、米国でもベンダというのはそういうものなんだなと、ある意味納得。でも、こういう場所に出てくるユーザはたぶん、ずいぶんしっかりしたユーザなんだろうね。

それからクロージングキーノート。クラウドに関する7つの禁句というような感じのプレゼン。クラウドでよく出てくるキーワードをあげて、それに関する間違いを考えるというような内容。最後のほうのスライドに意外な絵が・・・・・。

どーも君ってこんな凶暴なキャラだったっけ？

2日間のコングレスもこれでおしまい。CSAの人たちとちょっとお話して挨拶をし、ホテルに戻った。いい感じの夕暮れ時。

ふと見たらホテルのロビーにこんなものが出来ていた。そろそろクリスマスモードかな。子供たちがまわりに集まっていて、大人はカメラをかまえているという感じでファミリーモードな感じだ。

それから日本組の人たちで食事して、今回の予定はすべて終了。あとは帰るだけだ。ちょっと酔い覚ましに庭を散歩。遠くで花火の音がしている。

さて、明日は8時半のフライトだが、ホテルでのMagic Kingdom Expressのピックアップは5時半。早起きしないといけない。たぶん4時半おき。まぁ、あとは寝て帰るだけなので。とりあえず、寝過ごさないようにしなくては。ということで、おやすみなさい。

さて、今日からCSAコングレス。会場のDisney Yacht ClubはEPCOTエリアの中にあるリゾートホテル。こんな感じで、おとぎの国っぽい。

朝のキーノート会場。CSA代表のJimの姿もみえる。

今朝のキーノートは、最近のサイバー攻撃関連の話とクラウドの関係とか・・・・。即時利用、即時解約、リソースの即時追加や削除などAgilityやElasticity のないサービスはプライベートといえどもクラウドとはいえないね、という日本の「なんちゃってクラウド」プロバイダには耳の痛い話とか、APTは標的型メール攻撃のことを言うんじゃないよ、とか、やっぱり世界の常識はこっちだよね、というのを再確認。

午前のセッションでは、クラウドのインシデント対応の話とか。でも、事業者との責任切りわけとか、とにかくモニタしろ的な聞き飽きた話でちょっとがっかり。

お昼は、各地の支部の代表メンバーが集まってのランチ。自己紹介とかしながら、各地の状況報告など。

午後からは、ビッグデータのセキュリティ関連の話とか、セキュリティとビジネスのバランスの話とか・・・、前者はなかなか面白かったのだけど、後者はなにやら教科書どおりのことを述べただけにとどまって、不満が残る講演。言うように行ったら苦労はしない。一度やってみなさい、といいたい内容。でも、面白かったのは、「とりあえずNoという」セキュリティ屋のマネだけはしないように、というくだり。やっぱ、どこの国にもいるのだね、こういう人種が。

昼休みとか、休憩時間にちょっと外を歩いてみる。こんな感じで花が多い周辺。

会場は結構にぎわっている。国際色も豊か。欧米系も多いが、アジアも日本、韓国、中国あたりからそれなりに参加している。

ちょっと時差ぼけと格闘しながら、早くも夕方。

夜は展示会場でレセプション。ここでビールをちょっと人だ後で、日本組み何人かで晩飯に。ヒルトンホテルにある日本食屋さん。

ホテルに帰ってからバーでちょっと一杯引っ掛けたのだけど、たのんだカクテルになにやら光る氷状の物体。3色のLEDが入った角氷風のプラスチック。これはなかなか面白い。

さて、明日も一日こんな感じの予定。

・・・感じの花火を横浜方面でやっている。5時くらいからなので、結構早い時間。こんな時期に花火大会なんてあったっけか。そういえば、今夜はちょっと湿度が高くてムシムシする。これも、11月っぽくない。

角度が悪く、遠くの建物越しにちょっと見える程度。300mmズームいっぱいで撮ってこんな感じ。さすがに手持ちで綺麗には撮れない。

さて、昨夜からの一泊検査は、今朝終了して、午前中には解放。結果は12月頭のいつもの診察の際に聞くことになった。寝なれない病院のベッドで、機械をつけられた状態では熟睡できるはずもなく、たぶんそれなりのデータが取れたのではないかと。まぁ、たぶん体重を落とすのが基本なんだろうけど・・・、十分に眠れないのは辛いので必要なら治療したいところだ。

昼頃に家に帰って、ずっと昼寝していた。やはり、睡眠不足。いつまでも寝られそうな感じだったが、それをやると今夜眠れなくなるので、適当に起きて買い出しとか・・・。そんな感じなので腹もあまり減っていない。これから風呂に入ってから飯にしようかと思っている。

さて、放射能とか核分裂騒ぎの裏で、サイバー攻撃騒ぎも広がりつつある。参院では、実際に感染したPCが見つかったようだが、これはウイルス付きメールを受けたPCとは違うPCらしい。中で拡散したのか、もしくは別ルートなのか。しかし、報道によると参院事務局は、PC内の重要なデータをUSBメモリに移すように指示をだしたそうだが、これって別のリスクやUSB経由で感染を広げるリスクまで考慮してのことだろうか？。まぁ、報道もざっくりしたものなので、実際何をどこまで考えてのことかはわからないのだけど・・・。世界的にも問題になっていて、米国と英国は共同で対策に乗り出すらしい。さて、日本はどうするのか・・・・。こうした国際協力はいまだ縦割り型の日本では難しいかもしれない。今回の霞ヶ関あたりにしても、せっかくNISCが不審な動きを発見して注意しても、直接手が出せずに、省庁側がそれをどうにかする能力に欠けていたらどうしようもないのだけど・・・。このあたりからなんとかしないと、イカんのじゃなイカ？。本当に侵略されちゃうでゲソ。（笑）

さて、風呂にはいろ・・・。

昨夜来の雨も上がって、今朝は西の方から青空が広がり始めていた。会社に着く頃にはこんな感じで快晴に。気温はちょっと高め。

例によって、ちょっとけだるい月曜日。でもまぁ、やることはあいかわらず多いのだが。例によって、会議やらなにやらで、午前中はあっという間に過ぎ去り、昼休み。今日の日向はちょっと汗ばむくらい。

この方向からの景色は久しぶり。日差しがだいぶやわらかくなったので、そろそろこちら側のコースも復活させようかな。

この海沿いの舗道は、なにやら隙間から芝が生え始めている。手入れも大変そうだし、いっそ芝生にしてしまうのがいいんじゃないかな。（笑）

空と海が青くて気持ちがいい。こんな日は、このあたりでぼーっとしていたいのだけど。

そういえば、M重工だけではなく、M電機も攻撃を受けていたらしい。今頃、一生懸命社内を洗っている会社も多いだろうな。ちょうどこのあたりの会社もそうかもしれないが。

帰りに読んでいたBBCニュースでは、UKでも問題化しているようで、国関係の機関がかなり攻撃にさらされているらしい。先日は、2007年から2008年にかけて、衛星の地上局が侵入を受け、一部の衛星の機能が奪われかけたという話が出ていた。元来、こういうシステムは完全に独立させてあるから大丈夫、という話だったのだが、昨今はなにかしらのネットワークに繋がっていることも多く、入口も皆無ではない。繋がっているどこかに問題があれば、そこから入り込まれてしまうことも十分に考えられる。やはり、こうしたシステムは、たとえ独立していたとしても不正操作を検知するような仕組みを作っておく必要があるのだろう。いまや、サイバー攻撃の標的にならないシステムは皆無なのかもしれない。

そう考えると、結構、お寒いシステムも多いように思う。時々、思わぬところで思わぬ画面が青くなっているのを見かけることもある。はたしてパッチはあたっているのか・・・。いや、それ以前にもうサポートされなくなったバージョンで動いているものすらある。しかも、私が知る限り、そのいくつかは空を飛んでいる。もちろん、安全に直接関わるシステムではないかもしれないが、ちょっと最近、疑心暗鬼になり始めている。飛行機も出来る限り最新型に乗った方がいいかもしれない。（苦笑）

帰りの夜空には三日月。さて、明日から11月だ。うかうかしてるとすぐに正月だな。

昨夜から天気は下降気味。朝方は雨、気温も少しため家でムシムシする。この天気では洗濯は無理か、と思って、朝飯を食ってまたふて寝していたら、なんだか外が明るくなってきた。少し薄日もさしてきたようなので、とりあえず、なんとかなるか、と洗濯。それを干してから昼飯に出かけた。少し青空も見えていて、結構日も差していたのだけど。道を歩きながらふと見上げたら、電線に蜘蛛の巣。

こいつは小さな飛ぶ虫にとっては、さしあたりAPTといったところだろうかな。（笑）

APTからの攻撃への対策は簡単ではない。セキュリティというと、どうしても防止するという観点からものごとを考えがちだが、それしか考えていなければ、防止できなかった際には打つ手がない。標的を定めたマルウエアがウイルス対策ソフトを簡単にすりぬけてしまうように、APTによる攻撃は一段階の防御では防ぐことが難しいばかりではなく、万一、防御線を突破された時のことも考えて、それを発見して被害を広げない方策を考えておく必要がある。

こう言うのは簡単だが、実はそれほど容易ではない。何重もの対策にはコストがかかるし、ITの利便性もある程度犠牲にせざるを得ない場合も多い。大規模な組織ほど、むしろ難しいのが現実だろう。しかし、実は、APTを考えた場合、「本当に守るべきもの」の総量は、相対的には、かなり小さいはずだ。問題は、それがきちんと洗い出されていないことや、洗い出されていても、その他のものと混在して分散してしまっていることなのではないだろうか。

最初のステップは、これらを徹底的に整理して、物理的に隔離することから始まる。人的にも、組織的にも、場所的にも、そしてネットワーク的にも分離して重点的に管理する。こうした重点管理区域を絞り込むことで、より効率よく防御策が導入できる。

もちろん、これだけでは安心できない。もし、その業務にたずさわる人間が特定されたとしたら、たとえば古典的な手口だが、その人間を懐柔するなり、脅迫するなりして協力させるような方法も考えられる。本人が気づかないうちに、攻撃に利用されてしまうようなこともあるかもしれない。また、ネットワーク的に分離されていたとしても、Stuxnetのようなケース考えれば、マルウエア侵入の可能性も否定できない。なので、こうした物理的、論理的に分離された区画は、徹底的に監視しておく必要があるだろう。もちろん、ネットワークは直接的にインターネットに接続できないようにしておくことが必要だが、一方で、マルウエア感染を前提に考えると、デフォルトルートを集約して、そこに集まってくるトラフィックを監視しておくのも手だろうと思う。通常の通信はデフォルトルートに流すのではなく、L3スイッチ間で、直接ルーティング情報を交換すればいい。一方で、作業用のPC間の通信はそれぞれ、L2レベルで分離し、必要なサーバとしか接続できなくしたり、ルーティング情報のような情報収集に使えるようなパケットはクライアントには一切流さないなど、とりうる方法はいろいろと考えられる。

あと、PCを集中管理するのであれば、その管理のためのサーバは特段の注意を払って防御する必要がある。たとえば、ADサーバが乗っ取られたら、結構寒いことが発生する。こうしたサーバへの区画外からのアクセスも絶対に避けたいところだ。

作業者はこの区画のリソースにアクセスする際は、必ずこのネットワークの中からやる。少なくとも外部から入ってくる道筋はすべて絶っておきたい。たとえば、作業者がインターネットにアクセスすることが必須なのだとしたら、区画外に置かれたシンクライアントのサービスにのみ、接続を許可して、それを経由してインターネットを参照させる。こうすれば、インターネットから何かを拾ってしまっても、区画の外にとどめておくことができる。この逆はやらないほうがいい。外から中に入れるルートはないにこしたことがないからだ。たとえば、内部のシンクライアントサービスを外部からアクセスさせれば、たとえばそのサービスによって侵入をうけるリスクが生じる。こうしたインバウンド通信が必要になる原因は、多くの場合冒頭に述べたような業務と情報の整理が十分できていないからかもしれないと思う。

そして、一番重要なのが、もし、何かが発生した、もしくはその兆候を見つけた場合に、きちんと対応ができる仕掛けと体制を作っておくことだろう。瞬時に特定のPCが接続されているポートのVLANを切り替えて隔離した上でモニタしたりといった仕掛けも必要になるかもしれない。過去の動きをトレースするために、常時ネットワーク上のパケットをキャプチャして、長期間保存しておくようなことも必要だろう。そして、そのようなことをすばやく実行できるCSIRT（Computer Security Incident Response Team）つまり、専門的な緊急対応チームを作っておくことである。外部の事業者を利用することも考えられるが、初動を考えれば、最低限の専門要員は自社で保有しておき、外部のセキュリティ事業者にそのバックアップをたのむというやり方が最も効率がいいと思う。

これは書き出すときりがないので、これくらいにしておこうと思うのだが、まずは基本に立ち返って、情報や重要業務のセグメンテーションをやっていくことなのだろうと思う。これなしには、対策はすべて中途半端に終わる。必要のない業務に余計な負担を与え、一方で本当に重要な業務は守れないという最悪の対策だ。そんなことにならないようにしたいものだ。どんなに強そうな艦隊もその使い方次第では、最後にはすべて沈む。それは昔の戦争の教訓だ。そして、APTを語るとき、それは既に戦争に近いのだろうと思う。

午後も、なんとなくだらだらと過ごした。洗濯物は日差しが会った割には、いまいち乾きが悪く、日が暮れてから取り込んで部屋で干している。あまり動いていないので、いまいち腹も減っていない。風呂でも入ってから飯にしよう。