「ネットワーク・セキュリティワークショップ in 越後湯沢2009」が開催(1):イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > ネットワーク・セキュリティワークショップin越後湯沢2009が開催(1)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
「ネットワーク・セキュリティワークショップ in 越後湯沢2009」が開催

 情報セキュリティを巡る諸問題について深く掘り下げるため、全国から関係者が集まって毎年開催されている「ネットワーク・セキュリティワークショップin越後湯沢」(NPO新潟情報セキュリティ協会、同ワークショップ実行委員会主催)が2009年も10月8日~10日の3日間、新潟県湯沢町で開かれた。
 10回目の節目となる今回のテーマは「ネットワーク・セキュリティのこれから」。企業等で急速に導入が進むクラウドコンピューティング(クラウド)が議論の中心となった。

台風の影響が懸念されたが、全国から約200人が集まり、会場は熱気に包まれた
台風の影響が懸念されたが、全国から約200人が集まり、会場は熱気に包まれた
 初日の8日に台風18号が日本列島を直撃し、鉄道や航空機の運休が相次いだが、開始が1時間遅れたもののワークショップは無事開催された。悪天候にもかかわらず全国から研究者や警察、防衛省、情報関連企業の関係者ら約200人が駆け付けて講師の話に耳を傾け、時には活発に意見を交わした。

 湯沢町公民館で行われた講演の初日には2氏が登壇し、2会場で分科会が行われた。

 デロイトトーマツリスクサービス株式会社パートナーで公認会計士の丸山満彦氏は、「クラウドコンピューティングとセキュリティ」と題し、ワークショップのトップを切って講演。
 クラウド時代のイメージを「蛇口をひねれば水が出るようなもの」と例え、「(水質浄化の仕組みや法律で守られているため)蛇口の向こうがどうなっているかわからなくても、安心して水道水は飲めるが、クラウド事業者は水道水と比べてどうなのか」と問題提起し、話を進めた。

 同氏は、あるIT専門調査会社が2008年に行ったアンケート結果を引用しながら、ユーザ側がセキュリティやシステムダウン時の可用性について依然として不安を抱えている点を指摘。クラウド事業者に対してはコスト削減や性能に加え、業界に応じたサービスの提供やクラウドから自前のデータセンターへデータを戻せることを要望している点も挙げた。
クラウドコンピューティングのセキュリティに関する問題を概観的に述べた丸山氏
クラウドコンピューティングのセキュリティに関する問題を概観的に述べた丸山氏
 その上で、ユーザ側のリスク管理について「クラウドはアーキテクチャの話であり『委託先』という概念で考えれば、特に新しいことはない」と強調。「(企業のシステムが)汎用機からオープン化した時と同じ。セキュリティとしてみた時も、新しい概念が生まれてくるのではない」とした。

 クラウド事業者を選ぶ際の注意点にも触れ「マネジメントやサービスの安定性、セキュリティ対策の状況が示され、その内容が確認可能かどうかや、事業者の財務体質や契約内容も考える必要がある」とした。事業者側に求められる点については「基本的には従来の考え方と同じで、どのくらいのコスト、セキュリティでサービスを提供できるかを明示しなければならない」と力を込めた。

 (ISC)2Japan*1代表の衣川俊章氏は情報セキュリティを担う人材に必要なスキルについて、J-SOX法への対応や監査人とコミュニケーションを取る必要性などに触れながら「技術や最新の脅威への理解は当然で、セキュリティ分野全般を理解することが求められている」と力説。
 そういったスキルの習得に向け、確固たるキャリアパスの構築の重要性を説き、(ISC)2や各種教育団体が認証する資格の取得を呼び掛けた。

 「ERM*2をITサイドから考える」をテーマとした分科会Aでは、日本ITガバナンス協会事務局長の梶本政利氏が、組織全体の視点に立った情報セキュリティ対策の必要性について話を展開。
 その中で、経営者層に対し「今を知り、次を予測することをお願いしたい。例えば火事が起きた時に消えなかったらどうなるか、次の対策に失敗したらどうなるかを考えるように、準備しておくことが大事。その場の対応は担当者に任せ、先々の対応を考えるのは上の人の仕事」と要望した。
安田氏は、軍事転用可能な民生技術が多い実態に触れ、軍事的脅威軽減などの観点からの情報管理の必要性を説いた
安田氏は、軍事転用可能な民生技術が多い実態に触れ、軍事的脅威軽減などの観点からの情報管理の必要性を説いた
 分科会Bでは株式会社ラック・サイバーリスク総合研究所の安田良明氏が、軍事転用できる民生技術が多い実態を踏まえた情報管理のあり方を説いた。

 例えばゴルフクラブに用いられる炭素繊維はミサイルの構造部材にも使え、シャンプーに含まれる物資「トリエタノールアミン」は化学兵器にも使用できる。大企業だけではなく、中小企業や研究機関が持つ技術にも、軍事転用可能なものが多いという。
 同氏は国外へこのような情報や技術が国外へ流出し、さらに大量破壊兵器開発者やテロリストなどに渡ってしまうことで、国際的な軍事的脅威が高まりうると懸念を表明。「日本が開発している製品で、国際的な安全保障に関わる脅威を生まないようにしなければならない」と危機感を示した。

 その上で、軍事転用可能な技術の流出防止策として、国家レベルでは重要情報を区分するルール作りをすべきと強調。企業や研究機関などについては保有する技術情報を洗い出し、管理体制を再検討する必要性を述べ「日本の技術は他国から見れば宝の山。もう一度社内を見直し、管理を徹底してもらいたい」と訴えかけた。
真鍋氏は、JPCERT/CCの活動やインシデントの傾向、
マルウェアの特徴について言及した
真鍋氏は、JPCERT/CCの活動やインシデントの傾向、
マルウェアの特徴について言及した
 2日目の午前中ではJPCERTコーディネーションセンター理事の真鍋敬士氏が、JPCERT/CCのコンピュータセキュリティインシデントに関する調整・連携などの活動、国内組織や海外組織との連携活動について紹介した。
 また、インシデントの傾向として、その背景にあるマルウェアの特徴についても言及。フィッシングやサービス妨害、迷惑メールといったボットネットの攻撃インフラについて解説した。

 それらへの対策としては、ネットワーク境界での水際対策だけで感染を防ぐことは困難であり、マルウェアによるインターネットへの通信を阻止することで本当の被害を防ぐことができる可能性があると述べた。具体的にはプロキシを活用して通信の制限や記録を行うことや、セキュリティ対策製品の導入・運用といった対策を挙げた。
 また、取り組みとしてはボット対策推進事業(CCCプロジェクト)で得られた統計データの紹介や、ITセキュリティ予防接種*3という調査研究についても言及した。

 同氏は、今日の流れは今後も続くとしており、攻撃側は分業・連携の傾向があるため、ツールによる簡易化、弱い対象には“量”、強い対象には“質”といった攻撃の仕方をしてくると強調。対策側としては役割を分担して対策に応じる必要性を説き、踏み台にされたサイトへの過度な社会的制裁について疑問を呈した。



「ネットワーク・セキュリティワークショップ in 越後湯沢2008」が開催
「情報セキュリティワークショップ in 越後湯沢2010」が開催



※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:(ISC)2Japan
全世界の情報セキュリティ人材を教育・認定するNPO団体「(ISC)2」の国内組織で、2004年の設立。情報セキュリティのプロフェッショナルであることを示す(ISC)2の資格「CISSP」を国内で認証する活動を行っている。

*2:ERM(Enterprise Risk Management)
企業などの活動におけるすべてのリスクに対し、組織全体の視点から包括的・戦略的に把握して対応を取るアプローチ。

*3: ITセキュリティ予防接種
電子メールを用いた受動型攻撃に対するエンドユーザのセキュリティ意識の向上を目的とする調査・訓練の手法で、対象者に不審メールを模した無害なメールを送付し、適切な取り扱いを行えるかを試すもの。


お問い合わせ

  コラムトップページへ▲