「Network Security Forum 2008」が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「Network Security Forum 2008」が開催
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

「Network Security Forum 2008」が開催

 情報セキュリティ人材の育成が急務―。2008年12月17、18日、東京都中央区のベルサール八重洲で行われた「Network Security Forum 2008」の壇上に登った講演者たちは、立場は違いながらも一様に訴えた。


1日目、会場は参加者で埋め尽くされた
1日目、会場は参加者で埋め尽くされた
 パネルディスカッション「最新セキュリティ事情とセキュリティ運用の勘所」では、日本セキュリティオペレーション事業者協議会(ISOG-J)に所属する企業のセキュリティオペレーションの現場担当者たちがパネラーで登場。今年のキーワードとなったDNSキャッシュポイズニング*1SQLインジェクション*2などの被害事例とその対策を挙げた。各人が対策を掲げるなかで、セキュリティインシデントレスポンスの研修をセキュリティに直接関係のない社員に対しても行っていることを紹介するパネラーもいた。ただ、「100以上のシステムがある上に、複雑になっている」と発言するパネラーもおり、実際の企業活動のなかで、情報セキュリティに携わる社員ですら教育を継続することが難しいことが問題点として提起された。
国際標準規格とISOの実態について語る中尾氏国際標準規格とISOの実態について語る中尾氏
 1日目の最終講演は、KDDI運用統括本部情報セキュリティフェローの中尾康二氏による国際標準を司るISO*3と、その中における日本のポジション、セキュリティに係わる国際標準についての実態報告がなされた。中尾氏は、日本がISOのけん引役になるべきとした上で、「国家的な施策となるもの、ビジネスに関係しやすいもの」など、ISOなどの国際規格をそれぞれの性格で分類する必要性を説いた。また、標準規格を作っていく上での投資がリターンされないことには標準化に携われる人材が育たないことも強調した。

 また、セキュリティ業界に携わる「デジタルイミグラント」による座談会も開催された。デジタルイミグラントとは、デジタル黎明期から開発に携わってきた第1世代と、生まれた時からデジタルツールに囲まれて生まれた世代(デジタルネイティブ)の中間世代にあたる30代のこと。ここでは、「過去に残った遺産を鵜呑みにせず、なぜ失敗しているのか自ら勉強してもらいたい」というセキュリティに携わる若手に対しての提言や、「業界の失敗事例とその解決策を匿名で語れることが必要」など、人材育成に必要な土壌を作ることにも言及した。
セキュリティ「人財」の育成について様々な提言がなされた
セキュリティ「人財」の育成について様々な提言がなされた
 情報セキュリティの標準化や人材育成。こうした声に答える形でISEPA(情報セキュリティ教育事業者連絡会)*4は、情報セキュリティに携わる人材の育成や維持をする際の指標となる「情報セキュリティ人財アーキテクチャ」を発表した。これは情報セキュリティ業界内で目指す職種と、その職種に必要なキャリアや資格をチャート式にまとめたもの。技術や特許と同じように、人間も知的財産であるべき、という「人財」の由来も紹介した。
 人材育成の方法を模索するディスカッションでは、各企業が活発な意見を述べ、中でもイマーディオの代表取締役で環境省CIO(Chief Information Officer 最高情報責任者)補佐官を務める満塩尚史氏は個人的な意見と断った上で「情報セキュリティは論理を駆使して答えを作っている。1+1が2にも3にもなる答えに対して、複雑な論理を駆使して説明していくような面白さがある」と、情報セキュリティ分野に従事することの魅力を語った。2日間で延べ約250人が参加したフォーラムは、様々な人材育成の提案がなされるなかで幕を閉じた。

 情報セキュリティ業界自体の人材活性化の動きはまだまだ加速はしていないが、「情報セキュリティ人財アーキテクチャ」の策定などに見られるように、人材育成の機運はわずかながら高まりつつある。その人材を集めるためにも、今回のフォーラム以上に裾野を広げた活動を通じ、「永遠のビギナー」と言われる一般ユーザ層へ情報セキュリティのアピールをしていく必要性を感じた。


※この講演とセキュリティプラットフォームは一切関係ありません。


注釈


*1:DNSキャッシュポイズニング
DNSはDomain Name Systemの略。
ユーザがIEなどを使いアドレスを入力すると、DNSがIPアドレスを調べてサイトに接続する。その際、IPアドレスをDNSキャッシューサーバが記録しておくのだが、このキャッシュが悪意のあるユーザにより改ざんされてしまうこと。改ざんされるとユーザ端末から見たアドレスは正しい(DNS側への要求は同じ)のに、IPアドレスが書き換わっているため別のサイトに誘導されてしまい、フィッシング詐欺の温床となっている。

*2:SQLインジェクション
WEBアプリケーションの脆弱性に付け込んで、悪意のあるSQL文を使いデータベースに不正アクセスをする方法。データベースに侵入し情報を盗む犯罪が多いが、近年は閲覧者が不正に改ざんされたサイトから悪意あるサイトに巧みに誘導されてマルウェアを植えられる被害も増えている。

*3:ISO
国際標準化機構(International Organization for Standardization)の略。
電機分野を除く、工業分野の国際規格を策定するための非政府組織及び、国際規格のこと。

*4:ISEPA
(情報セキュリティ教育事業者連絡会:Information Security Education Providers Association)
情報セキュリティ業界の横断的な人材育成支援体制の整備などに取り組んでいる組織。


お問い合わせ

  コラムトップページへ▲