「情報セキュリティワークショップ in 越後湯沢2010」が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「情報セキュリティワークショップ in 越後湯沢2010」が開催(1)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
「情報セキュリティワークショップ in 越後湯沢2010」が開催

 越後湯沢を舞台に、情報セキュリティに携わる産官学の専門家が集い、3日間かけて、時には夜を明かすまで意見をぶつけあう「情報セキュリティワークショップ in 越後湯沢」が今年も開催された。11回目になる本会はBCP(事業継続計画、Business Continuity Plan)、BCM(事業継続マネジメント、Business Continuity Management)を議題に据え、講演が行われた。

昨年までの課題と異なり、ITからかなり離れた立場からの講演も目立った
昨年までの課題と異なり、ITからかなり離れた立場からの講演も目立った
 BCP/BCMとは、インシデント発生時に、企業や団体がどのようなレスポンスを取るかという計画と、その計画をどう立て、どのように押し進めて、維持していくか、というマネジメントに当たる。
 インシデントと一言に言っても、サイバー攻撃から、果てはパンデミックや大地震、テロまでと範囲は幅広い。業務が多様化し、同時にリスクが増大する現代において、BCP/BCMは欠かせない考え方となっている。
 まず最初に、東洋大学教授の島田裕次氏から「ERMの視点からBCP/BCMを考える」と題し、同氏が重要インフラとして非常に高度なBCP/BCMを形成している東京ガスに勤務していた経験を元に講演が行われた。

 島田氏は「BCP/BCMを決めるには、情報セキュリティ分野よりも視点を広げ、リスクマネジメントから考えるべきだ」と話す。例えば東京ガスのようなインフラ企業では、災害時に関するリスクマネジメントが徹底していたり、三菱東京UFJ銀行では、投資や金融に特化したリスクマネジメントがされている。
 同氏は「BCP/BCMを考えるためには『情報セキュリティ分野』に凝り固まることなく、まず企業・業態に応じたERM(全社的リスクマネジメント、Enterprise Risk Management)から考えるべきだ」とし、IT分野から一歩下がった視点からBCP/BCMに取り組むべきだと提案した。つまり企業全体のリスクを考えて「復興費用が、利益を上回る場合には、その事業からの撤退も視野に入れる」ような対策も考慮してBCP/BCMを制定する必要がある、ということだ。
島田氏は、ITを離れ、経営視点からのBCP/BCMについて説明した
島田氏は、ITを離れ、経営視点からのBCP/BCMについて説明した
 また事業継続のために「緊急時の指揮系統についても、事前に決めておくことも重要である」と話す。
緊急時には、管理者や経営者と連絡が取れなかったり、あるいは担当者が被災し負傷すると出社できない、ということもある。その際、緊急の責任者を決めておかないと、「上司の了解がなくて、何もできない」か「何かをするのに、ルール違反の罰則覚悟」になるからだ。そのため「各部門や担当者が独自に判断できる仕組みを構築すべき」と説明した。
 混乱をきたさないためには「非常時の体制から、常時に戻すための仕組みも考慮すべきだ」とも話した。

 さらにリスクを洗い出し、適切な対策・計画を立案した後にも、「BCP/BCMの訓練を継続的に行うことで意識付けをしたり、状況に応じて対策計画・管理を常に改善していくなどして、維持向上をする必要がある」と語り、常にリスクを意識して備えておくことが重要だと訴えた。
 次にIPAセキュリティセンター情報セキュリティ技術ラボラトリー長の小林偉昭(ひであき)氏から「情報セキュリティの脅威とBCP/BCM」という内容で講演があった。
 事業継続に対する脅威が多様化している現代、同氏は「会社の経営や、社会に対する影響で優先付けを行い、対応する必要がある」と語る。

 その中でも「IT」に関しては、電力や水道、運輸など、重要インフラの運用にも利活用されているため、重要インフラと同程度に安定的な継続稼働は欠かせなくなっている。経営や社会において優先順番は、必然的に高くなる。
小林氏は情報セキュリティの視点から見たBCP/BCMを紹介した
小林氏は情報セキュリティの視点から見たBCP/BCMを紹介した
 また、対策体制の構築について言及。現実の我々の生活において、地震・火災・台風など昔から存在する物理的な災害に対しては「自助・共助・公助」という考え方が浸透しているため、同じように「サイバー空間・社会に関しても、安定的な継続のためには、『自助・共助・公助の考え』を取り入れるべきだ」と同氏は話す。
 「自助」とは自らの責任で行う備え、「共助」は近所・同業などで助け合い、「公助」は個人や民間ではカバーしきれない範囲を国が救済にあたる。
 BCP/BCMにおけるITに関して、この方法を持ち込むと、例えば、社内にCSIRT(シーサート、Computer Security Incident Response Team)*1を組織することでまず「自助」を行い、FIRST(ファースト、Forum of Incident Response and Security Teams)*2などで連絡を取り合う「共助」へ、そして政府のNISC(内閣官房情報セキュリティセンター)などが「公助」を行う、ということになる。
 小林氏は「情報セキュリティ分野においても、官民それぞれの役割分担を明確にしつつ、連携の強化を図っていく必要がある」として、今後の大規模サイバー攻撃に対して、体制整備の必要性を説明した。
 分科会で壇上に上がった(ISC)2 JAPANの衣川俊章氏は、「BCP/BCMは、企業全体を包括したレベルでの計画」だと話す。
 衣川氏は情報セキュリティとBCP/BCMの関係性について、1.事業の中でITへの依存度が高いこと2.大量の情報資産が企業内に存在することを述べ、これらのことから、適切な情報セキュリティ対策が不可欠である、と説明する。
 そのため、情報セキュリティの専門家側としてもBCP/BCMが声高に叫ばれるほど「技術知識・情報セキュリティ脅威の察知や理解に通じている一方で、リスクマネジメントといった経営的視点を持つ人材が求められるようになるだろう」とした。
 分科会ではほかに韓国インターネット振興院責任研究員の蔡承完(チェスンワン)氏が、韓国と先進国(蔡氏は米国、欧州、日本と定義)との比較を中心に、世界の保安産業全般について話をした。
 同氏によると「保安産業全般における、韓国の技術水準は先進国と比較して1.5年程度の格差がある」とし、その原因は、韓国において、情報セキュリティなどの保安産業を投資ではなく費用として見ていることにある。
 蔡氏は「今後は(韓国の情報セキュリティなどの保安産業が生き残るためには)グローバル企業と競争するために産業構造の専門家・大型化が必要である」と語った。



「ネットワーク・セキュリティワークショップ in 越後湯沢2009」が開催
「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催



※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:CSIRT
Computer Security Incident Response Teamの略。企業あるいは、企業の持つ顧客などでコンピュータセキュリティに関するインシデントが発生した際に、それに対応するための社内組織のこと。

*2:FIRST
Forum of Incident Response and Security Teamsの略。CSIRTが加盟し連絡などを取り合う共助組織のこと。




お問い合わせ

  コラムトップページへ▲