「情報セキュリティワークショップ in 越後湯沢2010」が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「情報セキュリティワークショップ in 越後湯沢2010」が開催(2)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
「情報セキュリティワークショップ in 越後湯沢2010」が開催

 「情報セキュリティワークショップ in 越後湯沢2010」2日目の最初の講演は、内閣審議官 内閣官房情報セキュリティセンター副センター長の阪本泰男氏から「新たな情報セキュリティ戦略とBCP」と題して、2010年5月に情報セキュリティ政策会議で決定された「国民を守る情報セキュリティ戦略」とBCPの現状と課題について解説された。

阪本氏は政府の情報セキュリティ基盤強化の取り組みを紹介
阪本氏は政府の情報セキュリティ基盤強化の取り組みを紹介
 同戦略では、「ITリスクを克服し、安全・安心な国民生活の実現」を掲げており、国民生活を守るための情報セキュリティ基盤の強化を行っている。具体的には、各府省機関の基盤強化として「政府機関の情報セキュリティ対策のための統一基準」を策定し、政府全体の情報セキュリティ水準の向上を図るほか、情報通信・金融・航空・鉄道などの重要インフラ10分野でIT障害が発生した際に、国民生活・社会活動に重大な影響を及ぼさないよう官民連携した防護を推進することなどがあげられた。
 また、特に国民・利用者の保護の強化として啓発活動の活発化、個人情報保護のための適切な技術利用の推進などにも積極的に取り組んでいく。

 BCP/BCMについては、政府機関から様々なガイドラインが出されているが、内閣府の調べによると大企業では56%がBCP策定済み・策定中となっている一方、中小企業の45%がBCPを知らないという回答もある。阪本氏は「BCP策定の効果がないと答えている企業もあり、BCPへの理解をさらに深める必要がある」と語った。

 このほか、政府機関・重要インフラにおけるBCPの取り組みを紹介。首都直下地震対策では、BCPの策定はされているが、情報システムの機能持続性という観点でのBCPの策定はまだ不十分であることを指摘。「非常時の要員参集や予備電源の確保、システムの復旧・切り替えなどは、情報システムの機能持続とも共通部分があるため、それらを加味しながら優先システムと業務の関係を整理し、重要システムに求められる復旧目標などを決めていきたい」(阪本氏)と語った。
内部犯行パターンを解説する渡邉氏
内部犯行パターンを解説する渡邉氏
 次に壇上にあがったのは、科学警察研究所 犯行行動科学部 捜査支援研究室長の渡邉和美氏だ。渡邉氏は「内部犯行:犯行パターンと犯行要因」としてサイバー犯罪で内部犯行を行う人物特長などを調査結果からひもといた。

 まず、内部犯行パターンを「システム悪用」、「システム破壊」、「情報流出Ⅰ」、「情報流出Ⅱ」の4つに分類。 業務上のシステムアクセス権限を利用して利得を得ようとする「システム悪用」とアクセス権限は持たないが個人的な利得を得るための道具として情報を盗む「情報流出Ⅰ」を道具的犯行、業務上知り得た情報を用いてシステムに侵入し情報を破壊する「システム破壊」と心理的な満足を得るためにアクセス権限を持たない情報を盗む「情報流出Ⅱ」を表出的犯行と位置付けた。
 道具的犯行はモラルの低さが、表出的犯行は行為が気分的な発散のことが多いため、衝動性の高さがそれぞれ関係しているのではないか、と考察した。

 そして、内部犯行の人物像の1つとして、自己評価は高いがコミュニケーションスキルが低いというものがあげられた。
 客観的に見るとずば抜けてスキルが高いわけではないだが、コミュニケーションが取りづらいため、高い自己評価を正しにくいという状況が生まれる。すると、周囲とのギャップが生じ、その人物にとっては自分が正当に評価されていないという感情から不満を抱くようになり、それが犯行に及ぶきっかけとなるというものだ。

 一方で犯行は高度なものではなく、IDやパスワードを定期的に変更していれば防げるものであったり、ログ監視の実施や監視性を高めれば防げるものだという。渡邉氏は、「犯罪は、『動機づけられた犯罪者(職場や会社への不満)』、『好適なターゲット(個人情報、システム)』、『違反に対処できる監視者の不在(ログ管理)』の3条件と時間・空間が収束したところで発生するため、これらを崩すことが重要」と述べ、これらの3つの条件が揃わないように対策を講じることを勧めた。
守るべき資産を決めるべきと語る小野寺氏
守るべき資産を決めるべきと語る小野寺氏
 「技術者視点からのインシデントレスポンス」と題して講演を行ったのがマイクロソフト プレミアフィールドエンジニアリング シニアプレミアフィールドエンジニアの小野寺匠氏だ。
 テロや自然災害の被害などは自社とは関係ない、と考える担当者もいるだろう。しかし、小野寺氏は同社の海外支社がテロの標的近くにあったことから実際に建物が被害を受けた写真を示し、「もしかしたらこれが関わりのある海外支社かもしれないし、取引先かもしれない。このような被害は遠い存在ではない」と述べた上で、「守るべき資産は何かということを決めるべき」と主張。その資産は取り返しのつかないものなのか、回復可能かどうかということを軸に考えるとよい、という。

 例えば、設備やシステム機器は金額が高いものであっても購入すれば回復できるが、その機器・情報を扱う人材はノウハウを持っているため、価値が一番高く守るべき資産となる。また、情報資産については、機密情報や顧客情報は企業の存続に影響を与えるため、価値が高いが、営業情報などはそれらに比べれば価値は低くなる。 このような評価を繰り返し、どこまでが企業にとって許容できるリスクなのかを明確にする。

 そして、それらのリスクに対してセキュリティ対策を実施した後、実行部門である「システム管理部門」が、対策策定部門である「情報セキュリティ部門」に運用のフィードバックを行うことが重要と解説。そのフィードバックを基に情報セキュリティ部門が対策を評価してリスクや脆弱性をさらに洗い出し、上層部がそのリスクを検討するという流れを作ることでより強固な対策が可能だとした。
原田氏はBCP/BCMの国際標準規格の動きについて語った
原田氏はBCP/BCMの国際標準規格の動きについて語った
 情報セキュリティ大学院大学教授の原田要之助氏からは「BCP/BCMに関する国際的標準化の動向とITサービス継続」で講演が行われた。BCP/BCMは国際標準化の取り組みが進んでおり、海外では第三者によるBCP/BCMの認証制度も始まっているという。
 また、現在BCP/BCMにおいてITは欠かせない要素となっており、今後クラウドの使用が進めば、クラウド事業者のBCP/BCMやその事業者の孫請けの状況なども考えていかなくてはならない。原田氏は、「自社のBCP/BCMの対応のほかにも取引先のBCP/BCMを確認するとともに、今後は国際標準規格も見据えてもらいたい」と述べた。

 このほか、警察庁警備局警備企画課課長補佐の間仁田裕美氏から「サイバー攻撃の脅威」として、世界のサイバー攻撃、サイバーテロの事例などが紹介された。間仁田氏は、「IT社会になればなるほど社会に対する影響が大きくなる。日本も重要インフラや基幹システムなどでITの依存度が高い状況にあり、サイバー攻撃の脅威は高まっている」と注意を喚起。
 また、それらの脅威を企業の経営者・トップにいかに実感してもらい、対策を立ててもらうかが課題であり、警察でも各国と連携して情報交換を行いながら対策を講じていくとした。

 インシデントに対していかに企業は立ち向かうべきか、事業・業務継続のためにどんな対策をとるべきなのかということが浮き彫りになったセミナーであった。インシデントは突然発生するが、それに対して対策を講じておけば、重大な被害は避けられる。セキュリティ脅威は増大するばかりであるが、企業や行政が正しいBCP/BCMが講じられるよう、引き続き動向を見ていきたい。



「ネットワーク・セキュリティワークショップ in 越後湯沢2009」が開催
「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催



※この講演とセキュリティプラットフォームは一切関係ありません。



お問い合わせ

  コラムトップページへ▲