IIJ Technical WEEK 2021
最近開催された同社のイベントと同様、オンライン開催となったTechnical WEEK。今年はYouTubeのプレミア公開機能を使い、あらかじめ録画された各セッションが予定日時に公開されるという方法が採られた。
今年のテーマは「IIJエンジニア図鑑」と題し、IIJで働くさまざまなジャンルのエンジニアに焦点を当て、普段彼らがどんな環境で仕事をしているかの紹介を兼ねたものとなっている。これは同業のITエンジニアやエンジニアを目指している学生はもちろん、まったく無関係な業種の方であっても、働き方などのヒントになるのではないだろうか。
セッションスケジュールは同社のTechnical WEEKウェブサイトに詳しいが、15時から30分おきに毎日3~4本のセッションが公開される。1セッションは短くて15分、長くて30分弱という具合。昨年は1日1テーマ・1時間だったので、セッション内容のバリエーションも豊富で見応えがある。
また、録画を順次公開していく形式のため、司会進行も必要ない。いつもは司会を担当している同社の堂前清隆氏はTwitterで配信スタッフと共にセッションへのコメントを展開していた。
初日の第一セッションは「セキュリティ動向2021」と題し、同社セキュリティ本部長の齋藤衛氏が講演を行った。
昨年も多くのセキュリティインシデントが発生したが、齋藤氏がピックアップしたのはアウトソーシング先が関係するセキュリティ事件やクラウドサービスの安定性、IoT装置の脆弱性、恐喝や社会情勢に関するDDoS攻撃、そしてランサムウェアだ。
アウトソーシング先が関連する案件については、いわゆるサプライチェーン攻撃(ネットワーク機器などにバックドアを仕掛けておく手法)の事例として、米国政府機関へのロシア方面からの不正侵入事件を例に挙げたが、同時に国内での事例として、システム運用会社(MSP)への攻撃により顧客がデータ流出やランサムウェアによる被害を受けるケース(これも「サプライチェーン攻撃」と呼ばれる)を提示。国内でもネットワークやセキュリティの運用をMSPに委託している企業は少なくないと思われるが、今後はこうした外部委託先からの侵入にも備えておく必要がありそうだ。
一般ユーザーに影響がありそうな話としては、IoT装置の脆弱性で、特に少し古いルーターの脆弱性は修正の予定がなく、メーカーが装置の使用中止を勧告する例が増えている。こうしたIoT機器はDDoS攻撃の踏み台・砲台にされることも多いので、今お使いのルーターのセキュリティ情報を確認し、ファームウェアを最新に変え、管理者パスワードも変更しておくことを強く推奨する。
また、世界中のクラウドサービスに影響を与えたロギングユーティリティ「log4j」の脆弱性については、社内のウェブサーバーなども対象となっている可能性があること、ログの月次処理、年次処理などで問題が明らかになる可能性もあると警鐘を鳴らした。
