「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催(2):イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催(2)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催

 NPO新潟情報セキュリティ協会などが主催する「ネットワーク・セキュリティワークショップin越後湯沢2008」の2日目では初めに、マサチューセッツ工科大学スローン経営大学院の秋山昌範客員教授が、「マネジメントにおけるセキュリティを考える~信頼の糧としての全数記録~」という講演を行った。


徹底した情報開示について語る秋山氏
徹底した情報開示について語る秋山氏
 秋山教授は商品などの流通において信頼できると思っていたものが、信頼できなくなっている昨今の社会について説明した。またコンプライアンスについて触れ、アドボカシー(透明性)マーケティングを例に医療の現場でも「お客さんの視線で信頼を得られるようにすることの重要性」を説いた。また、2008年9月末にロンドンで行われたWHOの国際会議の様子を話し、社会全体の安心・安全が揺らいでいる実情を説明した。

 一方、「国民に安心・安全を保証するために国家がすべきことは、徹底的な情報開示である」と語り、例として薬がどのような経路で流通されているかを把握することの必要性を説いた。

自身のブログでの経験について語る町村氏
自身のブログでの経験について語る町村氏
 次に、「CGM*1時代のビジネスとリスク対応」という内容で、北海道大学大学院法学研究科の町村泰貴教授が基調講演を行った。
 CGM時代となって、従来では表面化しなかった問題が表に出るようになったとして、メディアの力のベクトルが変わったと訴えた。すなわちCGM時代以前はオールドメディア(新聞・雑誌等)が世論をリードしてきたが、CGM時代となって状況が一変し、多様な世論が発生するようになったと指摘した。

 また、個人的な経験として、町村教授自身のブログで青山学院大学准教授のブログ暴言問題のケースなどについて意見を述べた際に炎上した経験について触れた。
 ほかに、東芝クレーマー事件*2 について触れ、世の中で何をやっても記録されるリスクや表現の場を得たマスとの付き合い方などについて説明した。

契約者ID問題について語る高木氏
契約者ID問題について語る高木氏
 さらに「インターネットにおけるセキュリティとプライバシーの両立について」というテーマで、独立行政産業技術総合研究所の高木浩光氏が講演を行った。
 高木氏は講演で、携帯電話のWEBの契約者ID問題について触れ、現在ID変更が事実上不可能に近くなっていることについて意見を述べた。
 高木氏は「セキュリティ強化がプライバシーを犠牲にする」「プライバシーを犠牲にしないセキュリティ術」「IDで個人情報がわかってしまうといった携帯電話のID問題は日本だけが理解が遅れている」などについて話した。

 例えばiモードの場合、以前は公式サイトにしか契約者IDが送信されず、端末固有番号を送信する度、ユーザの合意が必要だったという事実に触れ、現在はその確認がなくなっていることが個人情報保護法に抵触している可能性があると問題視した。

 一方、2004年にあったワンクリック不当請求被害の社会問題化や、2006年~2008年のモバイルビジネス研究会で、ユーザIDを通信キャリア間で「IDポータビリティ」が提案されたことについての経緯に触れ、背景にあるものとして警察捜査、発信者開示の請求のためや、悪質利用者排斥のためといったことを指摘した。
 また、安全な携帯電話のWEB利用の鉄則として、絶対に住所氏名を入力しないことや、完全に匿名で使うことを覚悟するか又は常に非匿名であることを前提に行動することなどを挙げた。

内部統制と情報セキュリティついて語る島田氏
内部統制と情報セキュリティついて語る島田氏
 また「内部統制と情報セキュリティ」というテーマで、中央大学大学院工学研究科客員教授で東京ガスの島田裕次氏が講演した。
 島田氏は「情報セキュリティは、内部統制において重要な役割を担っているが、そのすべてではない」、「情報セキュリティは組織体の目標達成に貢献するものでなければならない」という2点について解説した。

 情報セキュリティと内部統制の関係、いわゆるJ―SOX法と情報セキュリティについて説明する一方で、「情報セキュリティとITガバナンスについて」では、ITガバナンス(IT戦略の策定・実行をコントロールし、あるべき方向に導く組織能力)とコーポレートガバナンスについて解説。COBIT*3を使った監査の視点やCOBITとSOXの比較について述べた。

セキュリティバイデザインついて語る佐藤氏
セキュリティバイデザインついて語る佐藤氏
 最後に内閣官房情報セキュリティセンターの佐藤慶浩氏が「政府機関におけるセキュリティバイデザイン・イブ」というテーマで講演した。
 佐藤氏は講演で、情報セキュリティ政策会議では政府機関における情報セキュリティ対策の底上げとして、セキュリティバイデザイン(SBD)という施策を計画している旨を説明した。また、情報セキュリティ対策手引書として、セキュリティバイデザインの下地を紹介した。

 佐藤氏は、情報システムの構築や運用段階のみならず、企画・設計段階からの情報セキュリティ対策の組み込みについても意識させることを狙って、「セキュリティバイデザイン」としたが、主として設計に注力する施策という印象を与える場合もあるために、日本語での名称について検討している旨を明らかにした。
 さらに情報セキュリティ対策実施手引書案の目次案について解説した。同手引書は「情報セキュリティ対策のための統一基準のうち、情報システムに関係する遵守事項を適切に適用するための解説マニュアルとしてNISC(内閣官房情報セキュリティセンター)が作成中の手引書で、セキュリティバイデザインの充実を図るものだ。

国におけるIT安全性確保の政策について語る坂氏
国におけるIT安全性確保の政策について語る坂氏
 3日目の講演では、まず、慶應義塾大学政策・メディア研究科教授の坂明氏が「『健全で安心できる』ネット社会」というテーマで、現代のネット社会での違法・有害情報をめぐる状況と対応について講演した。
 現在、インターネットにおいては、健全と不健全、大人の世界とこどもの世界、真摯な議論とデマ・雑言が渾然としており、それが現実の世界と結びつき様々な影響を与えている。
 このような現状に対して、各主体が様々な取り組みを行っている。国としても、内閣官房に「IT安心会議」を設置し、総合的な対策を講じようとしている。出会い系サイト規制法といった法律の制定や改正も行われているが、特に、「民主導による違法・有害情報等への対応が注目される」と坂氏は指摘した。

 一方、違法・有害情報の通報を受け付け、警察への通報や事業者への対応要請を行うインターネット・ホットラインセンターについても、違法・有害情報の判断基準は事業者や弁護士を含む民間委員により検討され、さらにWEB上で一般からの意見も募集した上で決定されているという。2008年年6月に制定された「青少年インターネット環境整備法」では、青少年がインターネットの利用により被害に遭うことを防止するため、携帯電話事業者、ISP、PCメーカーなどによるフィルタリング機能の提供や家庭レベルでのフィルタリングの利用などの対策が定められているが、どのような情報をフィルタリングするかの基準は「民が策定する」となっており、実際に民間団体が取り組みを進めているとの紹介があった。

 また、ネット上の違法・有害情報だけでなく、個人・企業への攻撃も増加傾向が見られ、これらへの対応について、最終的には行為者を特定できるトレーサビリティ*4の確保や、どのようなサイトが有害サイトかということについての認識の共有、多様な価値に基づく判断基準の策定と分類に加え、様々な基準を利用者がフィルタリングや検索の際に自らの判断で適用できるようなシステムの導入などが重要であると訴えた。  

マルウェア解析について語る堀合氏
マルウェア解析について語る堀合氏
 次に近年、情報セキュリティを語る上では当たり前のことと認識され始めているマルウェアの対策について防衛省技術研究本部の電子装備研究所ネットワーク技術研究部技術分析官の堀合啓一氏が語った。
 マルウェアソフトは2005年頃にセキュリティ対策ソフトを回避するために爆発的に種類が増えていった上、セキュリティホールをくぐり抜けるようになったため感染がわかりにくくなった。またWinnyなどP2Pソフト使用もマルウェア感染者数増加の一端を担っている。ほかにもマルウェア使用の背景にはかつては愉快犯が大半だったが、近年は犯罪がビジネス化されてしまい、より深刻な問題となっている。

 市販のマルウェア対策ソフトは多く販売されているが、攻撃対象や感染経路などの変化により、実質20%程度は検出できない状態になっている。さらに仕組まれたバックドア*5から通信をはじめようとする際にアラートが出てもよく確認をせずに通信の許可を出してしまうケースすらある。米国のある調査によると警告文を見た約50%のユーザは警告を無視してプログラムを実行してしまう実態が明らかになった。堀合氏はこれまでは「解析環境は人任せ」が普通だったが、今後は標的型攻撃(Targeted Attack)*6などへの対策を含めて、自らの対応も必要な状況となりつつあることを指摘した。  

熱心に講演を聴く参加者
熱心に講演を聴く参加者
 最後に総括セッションとして、2日目夜に行われた車座会議座長による概要解説と、参加者から集められた質問状を介した質疑応答があり、3日間に及ぶワークショップは閉会した。

 12講演と2回のナイトセッションの中で多くの問題・課題が挙げられた。世界的なIT化の波に日本だけが取り残されないためにも、またより高効率なITインフラを備えた社会を築くためにも、より先端でよりベストなセキュリティを目指し、今後も議論を重ねよりよい方向に進んでいって欲しいと考えさせられる3日間であった。



「ネットワーク・セキュリティワークショップ in 越後湯沢2009」が開催
「情報セキュリティワークショップ in 越後湯沢2010」が開催



※この講演とセキュリティプラットフォームは一切関係ありません。



注釈

*1:CGM(Consumer Generated Media)
インターネットなどを活用して消費者が内容を生成していくメディア。個人の情報発信をデータベース化、メディア化したWEBサイトで、WEB 2.0的なもののひとつとされる。商品・サービスに関する情報を交換するものから、単に日常の出来事をつづったものまでさまざまなものがあり、クチコミサイト、Q&Aコミュニティ、ソーシャルネットワーキングサービス(SNS)、ブログ、COI(Community Of Interest)サイトなどがこれにあたる。

*2:東芝クレーマー事件
1999年、東芝のビデオデッキを購入したユーザA氏が製品の修理依頼をしたところ、東芝側の対応が問題のある応対であったとして、経緯や電話応答の録音音声を「東芝のアフターサービスについて」と題する自身のWEBページで公開した。これがインターネット内外で大きな話題となり、不買運動へと発展した事件。

*3:COBIT(Control Objectives for Information and related Technology )
情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)が1992年に作成を開始した情報技術 (IT) 管理についてのベストプラクティス集(フレームワーク)。マネージャー、監査人、ITユーザに一般に通じる尺度や判断基準、ビジネスプロセスやベストプラクティスを提供して、企業内の適切なITガバナンスや内部統制の開発の補助となる。

*4:トレーサビリティ
ある品物の流通経路を生産段階から、消費あるいは廃棄といった最終段階まで、どの段階からでも遡って追跡できることを指す。「追跡可能性」と訳される。ネットでのトレーサビリティとは書き込みから、プロバイダ、執筆者まで追跡できる可能性のことを指している。

*5:バックドア
和訳すると「裏口」「勝手口」。コンピュータセキュリティの分野では、本来パスワードなどによりアクセスや使用権を制限しているはずの機能を無制限に利用するためのセキュリティホールを指す。

*6:標的型攻撃(Targeted Attack)
日本ではスピア(Spear=槍)攻撃とも言われる。「特定のユーザや組織を狙った攻撃」のこと。上司や取引先、会社が依頼しているセキュリティ会社、関係のありそうな官公庁などを偽り、「添付ファイルを参照のこと」「詳細は添付ファイルにある」などファイル開示を誘導することでマルウェアをインストールさせる手段のこと。


お問い合わせ

  コラムトップページへ▲