本当は危ないAI・IoT・仮想通貨 最新サイバーリスク2019 みんなのレビュー

投稿元：

レビューを見る

# 書評☆3 本当は危ないAI・IoT・仮想通貨 最新サイバーリスク2019 | 2017-2018年に発生したセキュリティ事故カタログ集

## 概要
AI・IoT・仮想通貨をメインテーマとして，2017-2018年前半に発生したセキュリティ事故をまとめている。

内容は，以下の4誌に掲載されたニュース・記事を編集・加筆・修正したものとなっている。

* 日経コンピュータ
* 日経 xTECH
* 日経NETWORK
* 日経SYSTEMS

掲載されている文量がけっこうあり，近年のセキュリティ事故の傾向と，その対策がよく分かる。

社内のITセキュリティ担当者にとっては，最近のセキュリティ事故の把握と対策を練る上で有用な資料になると感じた。

## 参考
> ### p. 26: 脆弱性が相次いで見つかるIoTウイルスのDDoSが脅威に
> 図4 IoTセキュリティのガイドラインが公開
>
> 公表時期 | 名称 | 公表団体 | URL
> 2016年3月 | つながる世界の開発指針 | 情報処理推進機構 | https://www.ipa.go.jp/sec/reports/20160324.html
> 2016年4月 | Internet of Things (IoT) インシデントの影響評価に関する考察 | 日本クラウドセキュリティアライアンス | https://www.cloudsecurityalliance.jp/newsite/?p=2079
> 2016年4月 | IoTにおけるID/アクセス管理要点ガイダンス | 日本クラウドセキュリティアライアンス | https://www.cloudsecurityalliance.jp/newsite/?p=1926
> 2016年5月 | IoT開発におけるセキュリティ設計の手引き | 情報処理推進機構 | https://www.ipa.go.jp/security/iot/iotguide.html
> 2016年7月 | IoTセキュリティガイドライン | IoT推進コンソーシアム | http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html

政府などが出しているIoTセキュリティ対策の指針がまとまっており，参考になった。

> ### p. 35: IoTシステムへの攻撃 攻撃手法と影響度を分析 ライフサイクルで対策検討
> IoTシステムのセキュリティ脅威に対し、対策をもれなく実施するには、システムで利用する機器の要件定義や基本設計の段階から、セキュリティ要件や仕様を洗い出して適用していく必要があります。そのために有効なのが、「脅威分析」です。
> ___
> その場合は、米MITREが策定した脅威情報の記述仕様「STIX (Structured Threat Information eXpression)」などが参考になります。STIXは、情報処理推進機構 (IPA) が概要を解説しています (https://www.ipa.go.jp/security/vuln/STIX.html)。
> ___
> 脅威の識別の具体的な方法としては、「STRIDE手法」が知られています。

セキュリティ脅威の脅威情報の記述仕様や識別方法を知らなかったので参考になった。

## 結論
セキュリティへの関心はあまり高くない。それでも，2017-2018年はコインチェックの仮想通貨大量流出やランサムウェアのWannaCryなど，大ニュースとなるセキュリティ事故が複数発生した。

どういう経緯で発生したのか，各社の対応はどうなっているのか，対策はどうすればよいのかといったことが過去のニュースを元にまとまっている。

ITセキュリティ担当者にとっては，有益な一冊であり，セキュリティ意識を高めるにもいい本だった。

パーマリンク: https://senooken.jp/blog/2019/01/02/

投稿元：

レビューを見る

AI IoT 仮想通貨 ビジネスメール 個人情報 CPU のセキュリティの現状、脆弱性、インシデント、被害事例のまとめ。
セキュリティ対策の解説。