「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催(1):イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催(1)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催

 晩秋特有の肌寒い驟雨が降り注ぐ中、新潟県湯沢町公民館にて、NPO新潟情報セキュリティ協会(ANISec)、ネットワーク・セキュリティ ワークショップ in 越後湯沢 実行委員会が主催する「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催された。


会場には参加者が詰め掛けた
会場には参加者が詰め掛けた
 大学や研究機関に所属する研究者や厚生労働省・防衛省・警察庁等の政策担当者、ほかIT企業で活躍する有識者・業界著名人ら20人あまりが、問題提起を3日間かけて行うこのワークショップ。
  各社のセキュリティ担当や監査人など、370人をキャパシティとする大ホールが埋め尽くされんばかりの受講者が全国から詰めかけ、ときにはワークショップの名の通り、立場の垣根を越え参加者と講演者間での激論も交わされた。

インシデントレスポンスについて語る名和氏
インシデントレスポンスについて語る名和氏
 まず、1日目は湯沢町長の挨拶の後、インシデント*1の発生に対して再発防止の技術的な立場から支援するJPCERT/CC*2 早期警戒グループ リーダである名和利男氏が「企業内におけるインシデントレスポンス能力の実情とその強化策」と題し、企業のIT関連におけるインシデントへの対応の問題点と解決策などについて語った。

 最初にJPCERT/CCが報告を受けた企業内におけるインシデントを基に、名和氏が特に印象深かった案件の実例を報告した。
 「キー」ボードで打たれた情報を記録、つまり「ログ」するキーロガー*3を悪意のあるユーザが利用しているという情報が提供されるよう、JPCERT/CCは海外とも連携を図っている。ところが海外から得た情報をJPCERT/CCから事業者に連絡しようとしても、窓口がない業者や、繋がっても電話口で切ってしまう業者が存在した。また仮に情報を受け取っても実際に対策が施されるまで2ヶ月以上かかった業者もあったという。
  同じようにJPCERT/CC側でSQLインジェクション*4攻撃により改ざんを受けたと思われるサイトを発見した際や、DNSキャッシュポイズニング*5に対して脆弱性のあるIPアドレスリストを入手した際にも「危ないことはわかっているが対応できる人がいない」「危険性は理解しているが対策のための予算がない」などと言われ突き返されることが多いと苦言を呈した。
  そもそも情報を受け付ける体制がない、技術者レベルではリスクを認識しているものの経営者レベルの認識がなく提供されたリスク報告を無駄にする、あるいは連絡手段がはっきりしていないため役員レベルに届くまで時間がかかる、など事業者とのやり取りの中で企業組織内における様々な問題点が浮き彫りになった。

 またインシデントレスポンス能力を測る物差しとして15項目に分かれたチェック表を作成し、それにあてはめるかたちで日本企業のインシデント発生時における脆弱性を明らかにした。日本企業は「兆候や事象に気づく能力」「事象をクローズする能力」「外部と連携する能力」に大きな欠落があることを指摘。
  改善策として企業内にインシデント対応の体制と機能を確立すること、サイバー演習・対策訓練をすることなどを挙げ、日本企業がインシデントレスポンスの体制を作り上げることが急務であることを強調した。 

ITガバナンスについて語る梶本氏
ITガバナンスについて語る梶本氏
 次に行われた分科会では、会場を二つに分けて各企業や団体がセキュリティに関する危険性を訴えつつ、現在行っている取り組みについて解説をした。分科会の中で日本ITガバナンス協会事務局長、梶本政利氏は「ITガバナンス」の重要性について述べた。

 ITのビジネス課題解決への貢献やIT運用によるリスクなどを明確にすることで、ビジネスの方向性とITの方向性の整合性が取りやすくなる。このようにITとビジネスが互いに連携していく仕組みがITガナバンスであり、効率化や多くの情報が求められる現代のIT社会では必須事項とも言える。
 またITガバナンスは、経営戦略との整合性、コスト効果やリスク、IT資源の管理など経営方針の一部であるため、取締役会や経営者が果たすべき責務といえる。
 ところが現状では、日進月歩するIT技術に、知識が乏しい経営者が口を出すのは大変難しくなっており、梶本氏は「共通の言語・認識の存在、IT投資や技術の流れを透明化することが、技術の現場と経営者のギャップを解決する」とした。
 また1からITガバナンスを組み立てることは困難であるため、実績のあるモデルを自社にあわせてカスタマイズすることでITガナバンスを稼動させることを提言した。また協会として、今後もITガバナンスを促進するためにベストプラクティスの模索や調査研究活動を続けることを課題とした。

 ほかには、サン・マイクロシステムズの後藤昌宏氏、株式会社ラックの吉岡道明氏、ISC Japanの杉本毅氏が各専門分野について語り、その日の講演を締めくくった。

 夕方からは、会場を湯沢ニューオータニホテルに移して、参加者が意見を自由に出せる「ナイトセッション」を開催。セッションでは主に医療情報、社会保険カードなどによる患者の情報開示とIT化、またそれにより享受できる利益と不利益のバランスについて語られた。
 自らの持つ情報を頑なに「ただ守る」だけでは得られない開示の持つ可能性などについて述べられ、一元的に情報をすべて開示しないと決めるのではなく、どの程度まで秘密を保守し、どの程度まで開示するかを各分野で議論すべきであるという意見が多く出た。



「ネットワーク・セキュリティワークショップ in 越後湯沢2009」が開催
「情報セキュリティワークショップ in 越後湯沢2010」が開催



※この講演とセキュリティプラットフォームは一切関係ありません。



注釈

*1:インシデント
直訳では「出来事」の意味。ネットワークの分野でインシデントを言った場合は、コンピュータセキュリティインシデントを指し、「コンピュータセキュリティに関係する人為的事象で、意図的および偶発的なもの(その疑いがある場合)を含む」(JPCERT/CC見解)とされる。

*2:JPCERT/CC
有限責任中間法人JPCERTコーディネーションセンターのこと。日本国内におけるコンピュータセキュリティインシデントに発生に際して企業や団体に助言や支援を行う、非政府組織。

*3:キーロガー
キーボードの入力履歴を記録するソフト、ハード及び手法のこと。本来は監視やバックアップに使われるが、クレジットカードの暗証番号などを悪意のある第三者に抜かれるといった危険がある。

*4:SQLインジェクション
WEBアプリケーションの脆弱性に付け込んで、悪意のあるSQL文を使いデータベースに不正アクセスをする方法。データベースに侵入し情報を盗む犯罪が多いが、近年は閲覧者が不正に改ざんされたサイトから悪意あるサイトに巧みに誘導されてマルウェアを植えられる被害も増えている。

*5:DNSキャッシュポイズニング
ユーザがIEなどを使いアドレスを入力すると、DNSがIPアドレスを調べてサイトに接続する。その際、IPアドレスをDNSキャッシューサーバが記録しておくのだが、このキャッシュが悪意のあるユーザにより改ざんされてしまうこと。改ざんされるとユーザ端末から見たアドレスは正しい(DNS側への要求は同じ)のに、IPアドレスが書き換わっているため別のサイトに誘導されてしまい、フィッシング詐欺の温床となっている。


お問い合わせ

  コラムトップページへ▲