上野日記

自分が主人公の小さな物語

「『次世代の情報セキュリティの在り方と今後の方策』セミナー」に行ってきた

『次世代の情報セキュリティの在り方と今後の方策』セミナー」に行ってきた。


開催目的(Webより):
 セキュリティ大手3社(シマンテックトレンドマイクロマカフィー)と情報処理推進機構(IPA)、経済産業省は官民の壁、企業間の壁を越えた連携を目指し、2010年2月に「セキュリティ普及促進委員会」を発足、1年を通じて多くの方々に情報セキュリティ対策の重要性を訴えてきた。
 情報セキュリティの脅威の組織化/ビジネス化が一層進む中、発足2年目を迎え、企業や個人の皆様が安心してネットを利用できる社会の実現を目指し、今後も積極的に活動していく。
 上記を踏まえ、内閣官房が定める本年2月の「情報セキュリティ月間」の取り組みの一つとして、セキュリティ普及促進委員会では、「情報セキュリティガバナンス」や「実用期に入ったクラウドコンピューティング」等を題材に『次世代の情報セキュリティの在り方と今後の方策』と題したセミナーを開催する。
 今回、セキュアなクラウドコンピューティングの実現等、企業が直面する情報セキュリティの課題やその対応策を紹介し、企業における情報セキュリティの在り方を見直すきっかけとしたい。

場所は、あの「六本木ヒルズ森タワー」の49階だった。ヒルズに行くのは初めてだったので、思わず申し込んでしまった。
受付の時間までにちょっと時間があったので、49階をウロウロしていたら一面窓ガラスのカフェテリアのような場所に出た。窓の外をみると東京タワー、そしてかなり遠くに東京スカイツリーが見えた。霞がなかったらきっときれいに見えたかもしれない。


ご挨拶

経済産業省 大臣官房審議官 (IT戦略担当) 商務情報政策局付 渡辺 信一 氏

本セミナーがみなさんの情報セキュリティの対策になれば幸いです、という挨拶。

情報セキュリティガバナンス

中央大学 研究開発機構 土居 範久 教授


  • 情報セキュリティの重要性:機密性、完全性、可用性
  • 技術基準ISO15408を用いた対応策:プログラムの対象:IT製品、ITシステム、プロテクションプロファイル(PP)、セキュリティターゲット(ST)
  • ITセキュリティ評価及び認証制度
  • 管理基準(BS7799、、ISO17799)を用いた対応策
  • 情報セキュリティ管理(監査・認証等)の進展(ISMS適合性評価制度の普及)
  • ISO/IEC 17799の利用者登録要件
  • 情報セキュリティ監査制度:企業等の情報セキュリティ対策について、客観的に定められた国の基準に基づいて、独立した専門家が評価(保証または助言)する制度
  • 情報セキュリティガバナンス:<定義>情報・ITにかかるリスク管理をねらいとして、利害関係者から求められる情報セキュリティにかかわる意識や取り組み、それに基づく業務活用を組織内に徹底させるための仕組みを構築・運用すること


PowerPointの資料は90ページで、それを短い時間で一気に説明するものだから、追いつけなった。しかも、紙の資料もないし……。

クラウドコンピューティングによる企業経営力強化
   〜ソフトバンクテレコムにおける実践例〜

ソフトバンクテレコム(株) クラウド事業推進本部
クラウド市場開発室 室長 立田 雅人 氏


  • 世界のITを解放する自由なクラウド:ホワイトクラウドが「志」
    • オペレーションフリー:運用オペレーション負担からの解放
    • スクリーンフリー:端末やアクセス手段の制限から解放
    • アセットフリー:情報システム資産のオフバランス化
    • リソースフリー:ITシステムリソースの増大から解放
    • ベンダーフリー:ベンダー依存による束縛から解放。
  • サービスカテゴリ:バリュードオペレーション、ビジネスソリューション、ソリューションアダプタ、ファンデーションサービス
  • バイスセキュリティ:Mobile Device Management
    • リモートデバイス制御:セキュリティ設定、一括管理可能
    • バイス情報管理:利用デバイスの把握が容易
  • ネットワークセキュリティ:3G網から閉域網へのダイレクトアクセス:ソフトグループの全社員の端末をシンクライアント化する
  • ホワイトワークスタイル:いつでもどこでも情報を活用。生産性向上、コスト削減。

クローズドネットワーク、安全神話の崩壊
   〜Stuxnet攻撃の脅威を検証〜

マカフィー(株) セールスエンジニアリング本部 エンタープライスSE
シニアマネージャー 本橋 裕次 氏

産業用制御システムを狙ったマルウェアの話と製品説明

シマンテックの提唱する Information Centric Security
   〜Confidence in the Cloud〜

(株)シマンテック システムエンジニアリング本部
シニアマネージャー 米澤 一樹 氏

Information CentricSecurityの説明

仮想化に求められるセキュリティ

トレンドマイクロ(株) セキュリティエキスパート本部 プロフェッショナルソリューション部
ストラテジックソリューション課 ソリューションコンサルタント 三枝 大高 氏


クラウドセキュリティへの取り組み

情報処理推進機構(IPA) セキュリティセンター 情報セキュリティ技術ラボラトリー
ラボラトリー長 小林 偉昭 氏


  • セキュリティ向上に対するIPAの取り組み
  • システムライフサイクルに沿ったセキュリティ対策
  • これまでのIPAの成果物の紹介<一部>
    • 2010年度版 10大脅威
    • 知っていますか?脆弱性
    • 安全なウェブサイトの作り方:人気でダウンロード数も多い
    • 安全なSQLの呼び出し方
    • セキュア・プログラミング講座
    • 脆弱性体験学習ツール AppGoat
    • TCP/IPに係る既知の脆弱性検証ツール
    • SIPに係る既知の脆弱性検証ツール
    • ウェブサイト攻撃の検出ツール iLogScanner
    • Web Application Firewall(WAF)読本
    • 安全なウェブサイト運営入門
    • 5分でできる!情報セキュリティポイント学習
  • セキュリティ向上に向けた今後の取り組み:ソースコード診断(静的診断)
  • システムライフサイクルに沿ったトータルな対応

実用期に入ったクラウドコンピューティング
   〜その先にある情報セキュリティ対策〜

<モデレータ>
セキュリティ普及促進委員会 (シマンテック) 村上 智 氏
<パネリスト>
経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 佐藤 明男 氏
マカフィー(株) セールスエンジニアリング本部 本橋 裕次 氏
トレンドマイクロ(株) セキュリティエキスパート本部 飯田 朝洋 氏
(株)マンテック システムエンジニアリング本部 米澤 一樹 氏
情報処理推進機構(IPA) セキュリティセンター 小林 偉昭 氏


  • クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて(経産省 佐藤氏の発表)
    • ガイドライン策定の背景:「情報セキュリティ」および「事業者におけるシステム運用」が見えないことに関する不安を「見える化」する
    • 目的:本ガイドラインを情報セキュリティ管理及び情報セキュリティ監査に活用することにより、クラウド利用者とクラウド事業者に於ける信頼関係にの強化に役立たせることを目的とする
    • クラウドサービス利用に係る管理策の選択
    • クラウドサービス利用に於ける情報セキュリティガバナンス及び情報セキュリティマネジメント
    • クラウド事業者のサプライチェーン
    • 今後の展開
      • クラウドの利用における情報セキュリティ監査に必要な文書の整理・策定
      • ISO/IEC SC27におおける国際標準化の推進:2010年10月に独ベルリンにて開催された国際会議に国際化を提案、国際化を検討することが決定され、活動がスタート。
  • 意見、コメント
    • 米澤氏(タスクフォースメンバー):標準化するに当たり紆余曲折があった。事業者側からの立場ではなく、利用者側からの立場で作った。可用性、特にデータのバックアップを忘れてはいけない。その辺を視野に入れたい
    • 飯田氏:クラウドでもガンブラーのような脅威が考えられる。ウイルスがクラウドのアカウントを盗む(漏洩)する事が容易に想像することができる。この手の攻撃が増えてくるのではないだろうか。当たり前の対策、アカウントの管理、クラウド側のサーバの対策を見直していく必要がある。
    • 本橋氏:ガイドラインクラウドの導入が増えるのではないだろうか。サーバだけでなくエンドポイントのセキュリティ対策は必要だと顧客と話をする。ユーザがセキュリティポリシーを遵守しつつ、いかに利用するかが今後の課題になる。
    • 小林氏:IPAはセキュリティの普及・啓発をしている、特に中小企業に向けて。中小企業におけるクラウド安全利用の手引き(仮)やチェックシートを考えている。中小企業に安心して使っていただく支援を考えている。

クラウドコンピューティングセキュリティを考えた場合、いろいろあると思うが、従来の対策とは変わらないのだろうか。PCDAを回していく、旧来の対策を愚直に実施していくのかなと考える(モデレータ)

  • 最後にコメントを!
    • 佐藤氏:ガイドラインを活用してほしい。実施していなかった場合、問題が顕著になる。国際標準化をしていきたい。
    • 本橋氏:欧米に比べて日本のユーザの要求は小さい。要求を出すことにより、よりよい環境を作っていける。どんどん行っていく姿勢は必要だ。
    • 飯田:いろいろなデバイスシンクライアントスマートフォン等)があるので、大変だ。そこのセキュリティを高めていくことが重要となっていく。ガイドラインから必要なものを取捨選択する必要がある。
    • 米澤:良い面悪い面を見極めてクラウドを利用する。一歩引くと従来の課題が見えてくる。いいチャンスかもしれない。
    • 小林:インターネットは便利だから広がった。でもセキュリティが必要になった。クラウドも同じように便利なので、最初からセキュリティを考えて利用していう必要がある。セキュリティを忘れないようにお願いします。
© 2002-2024 Shuichi Ueno