西尾素己

多摩大学ルール形成戦略研究所客員教授

ジャンル:

IT・テクノロジー

もらったいいね数: 23156

幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。 2社のITベンチャー企業で新規事業立ち上げを行った後、国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。CODE BLUE 2015ではiOSに存在する未知の脆弱性と世界初となる外部ガジェットによるiOSマルウェアの検知手法について学生枠を除く最年少として登壇（その後特許取得）。大手検索エンジン企業に入社し、日々行われるサービスへの莫大なサイバー攻撃対策や社内ホワイトハット育成、キャピタルファンドへの技術協力などに従事した後2016年11月よりコンサルティングファームに参画。同時に多摩大学ルール形成戦略研究所にサイバーセキュリティ領域における国際標準化研究担当の首席研究員として着任。2017年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任。執筆、講演、顧問契約等に関するお問い合わせは多摩大学ルール形成戦略研究所まで

… 続きを読む

Picks

18フォロー

9861フォロワー

政府端末に国産サイバー対策ソフト　25年度から導入

日本経済新聞

西尾素己多摩大学ルール形成戦略研究所客員教授

うーん日の丸化か産業育成の観点があるのかよくわからないけど、経済安保を出汁に使うんなら、同盟国くらいは許容して然るべきだってもうデカップリングとか言ってる時代は終わって、いまやデリスキングですからねつまり、徹底的な鎖国や締め出しは、むしろデメリットの方が大きいことがここ数年の米中冷戦ではっきりしたわけであって、これからは出来る限りリスクを低減させる方向に緩和する方向性が世界のそれなんだよねというかそもそも「じゃあtron os復活か！」みたいな話何を言ってるかと言うと、米国政府がeo14028でnistに指定させてcritical softwareの区分は全く意識せずに、なんでセキュリティソフトだけ狙い撃ちで国産なのって話そもそもネットワーク製品とかはどうなるの？ゼロトラストアーキテクチャを全て国産で今後固めるつもりなのか？それって中国の352指令とか安可目録政策に近いんだけどまぁどう考えてもなんか裏でメーカーが手引きしてるよねやっぱり判断が2、3年ずれてるまぁでも今までは10年ずれてて、最近5年になって、有事の高まりでようやっと2、3年に収束したかという感じどうも腑に落ちない政策そもそもベンチマークとか見たことありますかみたいなこう言う政策やるのはいいんだけど専門的な知見から、国家の防衛力が落ちてないことを確認しないとダメ「性能を落としてでも国産にする！」だと異論ありだし、「性能落ちないから国産にする！」だとまぁなるほどなだし色々ツッコミどころがありすぎる政策ですねていうか政府統一基準や防衛省の特約、ismap等で米基準入れてんのになんで急に日の丸オンリーとか言い始めんの笑笑どうやって準拠するんだよ国策フレームワークなのにこんなこと今更言われてもなんとも思わない検討が始まった7年前に「こんなもんは来ない」とか言ってたツケが回ってきただけじゃん

153Picks

「ドコモ口座」のドメイン、落札される　402万円で

ITmedia NEWS

西尾素己多摩大学ルール形成戦略研究所客員教授

こうなったらぜひメディアのお力を借りたいところこういうのちゃんと報道がひろって、放送してもらいたいですね certとかがネットにあげて啓蒙しても、引っかかるのはcertの存在すら知らない人たちですからね。。。

129Picks

「ドコモ口座」のドメインが第三者から購入可能な状態に　「本当にヤバい」「悪用される」と話題に

ITmedia NEWS

西尾素己多摩大学ルール形成戦略研究所客員教授

ドロップキャッチ問題ねぇリスクなんて考えれば考えるほどあるもので。。。例えば当時のサーバーのリアクションを攻撃者がある程度持っていたとするとエミュ鯖的なものが建てられるわけで。当時のアプリを起動したら「あれ？使えるじゃん」となってアプリ内の情報全部取られましたみたいなこともありえるし。まぁしかしこんなもんはどこまで行っても対策の上塗りなんですよねだからこそドメイン名で安全性を担保するとか、アクセスする前にドメイン確認しましょうみたいな運用はNG。仕組みで自動的に安全性を担保できるような設計じゃ無いともう対抗できない

16Picks

コンサル業界こそスパイ対策を！「経済安保の第一人者」が日本企業の大危機に警鐘 - コンサル大解剖

Diamond Online

西尾素己多摩大学ルール形成戦略研究所客員教授

私も関わった某民事訴訟実は和解で決着していました。 “大変満足な”内容での和解でした。まぁこの裁判については民訴法に一言言いたくなるような電子証拠の取り扱いが繰り広げられ、個人的には我が国でこの先生きていくことに多大なる不安を覚える内容だったわけです。この点は乞うご期待というところでしょうか。

6Picks

公式サイトに「破産した」の偽情報　改ざんの被害続々　研修施設、コンサルなどで

ITmedia NEWS

西尾素己多摩大学ルール形成戦略研究所客員教授

空売り連動か？ようわからん

54Picks

AIチャットボットを狙う「プロンプトインジェクション攻撃」　英当局が警告

Forbes JAPAN

西尾素己多摩大学ルール形成戦略研究所客員教授

うーんなんだろうなぁこの手の新技術の脆弱性や危険性について話される時ってほんと嫌になるんだけど、別にそんなのAIからのリクエストに対してトラストアルゴリズムなりでACLかければいいはなしであって、そもそも外部入力プロンプトか否かの判定ができれば良いと言う話こんなもんはもうすでにセキュリティ機能として開発されてて、爆発的に普及している程度の低いなんちゃってAI企業が超汎用的な言語処理エンジンを特定の用途に使っているから起こることであって、怠慢だとしか思わないなんでいつもデカいインシデントが起きるまでセキュリティは後回しなのか某QRコード決済アプリが学生の夏休みの課題以下のセキュリティ水準だったことももはや皆んな忘れて使ってる嫌になりますねほんとに

57Picks

国費で学んだ「恒心教」容疑者　サイバーセキュリティー、育成に課題

朝日新聞デジタル

西尾素己多摩大学ルール形成戦略研究所客員教授

別に大した攻撃でもないから国費で学んでなくてもできる攻撃だと思うよ。。。倫理観まで教えられるのかと言うところがフォーカスポイント？それって国費で教えるもんなの？

4Picks

政府クラウド「国産」後押し、選定要件緩和へ…現在は米ＩＴ大手のみ

読売新聞

西尾素己多摩大学ルール形成戦略研究所客員教授

別に普通のハードルだと思うけど当たり前のことをコストがどうのこうの言ってやらない選択をし続けたことが破滅への一歩だよね数年前チャンスはいくらでもあったのに、あなた達が選択したよねって話というか「厳しい」と言ってる基準すら、守っていても今日の攻撃には脆弱なわけで、これをオーバーだとかいうのは皆目見当もつかない

57Picks

生成AIの活用で想定されるセキュリティリスク--NRIが解説

ZDNET Japan

西尾素己多摩大学ルール形成戦略研究所客員教授

aiの提供者は信頼できるか、aiにどんな情報なら投げていいのか、その返答は信頼できるか（ブラックボックス問題）、この辺が軸な気がするマルウェア感染等はその結果として起こり得ることですからねセキュリティの基本であるインプットとアウトプットのサニタイズで大部分は解決できるそれよりも学習データの偏りや、意図的な偏向返答を規制すべきであって、これは国家による情報統制や独裁政権による国民洗脳に繋がるから本当に良くないと思うわけですセキュリティ云々はさ、レガシーシステムもちゃんと守れてない国なんだから民間企業があんまりまだ騒ぐようなレベルに達してない aiとの付き合い方に時間割けるならレガシーなんとかしてよって話

12Picks

北朝鮮ハッカー、ロシア・ミサイル会社に侵入　友好国も標的

Reuters

西尾素己多摩大学ルール形成戦略研究所客員教授

なんだその分析は笑笑友好国どころか同国内でもサイバーエスピオナージュはやるし。。。重要なのは侵入方法だし、長い事侵入に気付けてない事だし観点がズレすぎてる安全保障的にもなんか違うしサイバー的にもなんか違う

15Picks

お知らせ - NISC

お知らせ - NISC

西尾素己多摩大学ルール形成戦略研究所客員教授

他国ならカウンターオペレーションするけどまぁ我が国だしな。。。

1Pick

「ダークウェブ」でChatGPTアカウント情報が大量流出、シンガポールのセキュリティ企業が発表

Ledge.ai

西尾素己多摩大学ルール形成戦略研究所客員教授

「ChatGPTに社内情報を投げるな」なんて改めて言わないといけないというリテラシーが悲しすぎるけど、それは攻撃手法が不明だからでしょう。どうやって悪用されうるのかをeラーニングなどで社員に啓蒙しないとただただ禁止してたら反感を買うだけなのかなという感じですね。グループibはヘッドクォーターをシンガポールに移しただけで出自はロシアですからね。某コイン漏洩時に極めてあやふやな情報を国連レポートしたことを業界人は忘れていないまぁ今回のには関係ないけど

61Picks

中国の攻撃者によるMicrosoftの署名鍵の窃取、想定以上に大きな影響か

TECH+

西尾素己多摩大学ルール形成戦略研究所客員教授

割とガチでやばすぎる今すぐappキャッシュをクリアしないと終わるゴルチケ作られたら厄介極まりない

6Picks

メール数十万通不正流出か　中国ハッカー、米長官反発

共同通信

西尾素己多摩大学ルール形成戦略研究所客員教授

検知できてるだけましだし我が国の政治家への攻撃はサイバーじゃなくて全然いいじゃん bear系みたいな高度な攻撃が云々よりも固めないといけない安全保障の脇がありますからね論ずるに値しない

8Picks

金曜ドラマで“本物”のハッキングシーン　手口もコマンドも専門家が監修した「トリリオンゲーム」

ITmedia NEWS

西尾素己多摩大学ルール形成戦略研究所客員教授

サスペンスドラマとかでもシ体の隠蔽方法とかかなりリアルにやってるしなぁまぁ違いと言えば割とすぐに手元のパソコンで気軽に攻撃できてしまうと言う手軽さか海外ドラマでは割と前からnmapとか出てくるし

31Picks

コンテナ搬出入が一部再開　名古屋港、物流2日半ストップ

共同通信

西尾素己多摩大学ルール形成戦略研究所客員教授

うーん連絡は取った方がいいんじゃないか。。。まだ隠し球がある場合だってあるし、支払う支払わない以外の交渉の余地だってあるまぁそれはさて置き、2020年のOFACのステートメントでも明らかだけど、少なくとも米国においてはランサムウェアギャングに対する身代金送金は違法なわけで、各国同様の法規制を作ろうとしてる我が国も早く明文化した法規制をつくるか法解釈を出さないと支払いが後を経たない米国では統計上はコンプラ意識の低い中小がボリュームターゲットになっていて、ランサムウェアギャングも法令を気にしていることが伺われる

26Picks

Twitterは「開発頼まれても断りたいレベル」？　エンジニア視点で意見続々

ITmedia NEWS

西尾素己多摩大学ルール形成戦略研究所客員教授

付け加えるならTwitter filesが明らかにした通り、様々な情報統制とも言える操作もしないといけないそういう機能を実装して、運用しないといけないこれをやっているのは訓練されたエージェントではなくて社員心情に反する行為であった場合に差これは精神的にもかなり応えたはずですねノリノリでやってた従業員も多いようですが。。。ユーザーに現役の国のトップがいて発言の場にしてるなんて本当に色々と管理が大変

192Picks

富士通サイバー攻撃、1700社･機関に影響　国が行政指導

日本経済新聞

西尾素己多摩大学ルール形成戦略研究所客員教授

「サイバー攻撃の被害に遭った企業に対する処分は異例だ」こんな国に何を期待すれば良いのかサイバー空間における善管注意義務すら理解できない政府に任せていてはどう考えてもダメ企業はグローバルに目をやり自主基準で自己防衛しないとダメですねグローバル基準で守ることを選択しなかった企業側も、明確な善管注意義務の線を示せなかった政府も、双方の悪いところが悪循環を生んでいるだからこそこの国ではグローバル基準に準じるだけでアドバンテージとなる訳ですこういうニュースは見ててただただしんどい

92Picks

NORMAL