「『次世代の情報セキュリティの在り方と今後の方策』セミナー」に行ってきた。
- 日時:2011年02月22日(火)
- 会場:六本木アカデミーヒルズ49 タワーホール
- 主催:セキュリティ普及促進委員会(株式会社シマンテック、トレンドマイクロ株式会社、マカフィー株式会社、独立行政法人情報処理推進機構、経済産業省)
開催目的(Webより):
セキュリティ大手3社(シマンテック、トレンドマイクロ、マカフィー)と情報処理推進機構(IPA)、経済産業省は官民の壁、企業間の壁を越えた連携を目指し、2010年2月に「セキュリティ普及促進委員会」を発足、1年を通じて多くの方々に情報セキュリティ対策の重要性を訴えてきた。
情報セキュリティの脅威の組織化/ビジネス化が一層進む中、発足2年目を迎え、企業や個人の皆様が安心してネットを利用できる社会の実現を目指し、今後も積極的に活動していく。
上記を踏まえ、内閣官房が定める本年2月の「情報セキュリティ月間」の取り組みの一つとして、セキュリティ普及促進委員会では、「情報セキュリティガバナンス」や「実用期に入ったクラウドコンピューティング」等を題材に『次世代の情報セキュリティの在り方と今後の方策』と題したセミナーを開催する。
今回、セキュアなクラウドコンピューティングの実現等、企業が直面する情報セキュリティの課題やその対応策を紹介し、企業における情報セキュリティの在り方を見直すきっかけとしたい。
場所は、あの「六本木ヒルズ森タワー」の49階だった。ヒルズに行くのは初めてだったので、思わず申し込んでしまった。
受付の時間までにちょっと時間があったので、49階をウロウロしていたら一面窓ガラスのカフェテリアのような場所に出た。窓の外をみると東京タワー、そしてかなり遠くに東京スカイツリーが見えた。霞がなかったらきっときれいに見えたかもしれない。
情報セキュリティガバナンス
- 情報セキュリティの重要性:機密性、完全性、可用性
- 技術基準ISO15408を用いた対応策:プログラムの対象:IT製品、ITシステム、プロテクションプロファイル(PP)、セキュリティターゲット(ST)
- ITセキュリティ評価及び認証制度
- 管理基準(BS7799、、ISO17799)を用いた対応策
- 情報セキュリティ管理(監査・認証等)の進展(ISMS適合性評価制度の普及)
- ISO/IEC 17799の利用者登録要件
- 情報セキュリティ監査制度:企業等の情報セキュリティ対策について、客観的に定められた国の基準に基づいて、独立した専門家が評価(保証または助言)する制度
- 情報セキュリティガバナンス:<定義>情報・ITにかかるリスク管理をねらいとして、利害関係者から求められる情報セキュリティにかかわる意識や取り組み、それに基づく業務活用を組織内に徹底させるための仕組みを構築・運用すること
PowerPointの資料は90ページで、それを短い時間で一気に説明するものだから、追いつけなった。しかも、紙の資料もないし……。
クラウドコンピューティングによる企業経営力強化
〜ソフトバンクテレコムにおける実践例〜
- 世界のITを解放する自由なクラウド:ホワイトクラウドが「志」
- オペレーションフリー:運用オペレーション負担からの解放
- スクリーンフリー:端末やアクセス手段の制限から解放
- アセットフリー:情報システム資産のオフバランス化
- リソースフリー:ITシステムリソースの増大から解放
- ベンダーフリー:ベンダー依存による束縛から解放。
- サービスカテゴリ:バリュードオペレーション、ビジネスソリューション、ソリューションアダプタ、ファンデーションサービス
- デスクトップサービス:シンクライアント用のサービス
- ネットワークセキュリティ:3G網から閉域網へのダイレクトアクセス:ソフトグループの全社員の端末をシンクライアント化する
- ホワイトワークスタイル:いつでもどこでも情報を活用。生産性向上、コスト削減。
クローズドネットワーク、安全神話の崩壊
〜Stuxnet攻撃の脅威を検証〜
シニアマネージャー 本橋 裕次 氏
産業用制御システムを狙ったマルウェアの話と製品説明
シマンテックの提唱する Information Centric Security
〜Confidence in the Cloud〜
Information CentricSecurityの説明
クラウドセキュリティへの取り組み
- クラウドコンピューティングでの5つの脅威パターン
- セキュリティ向上に向けた今後の取り組み:ソースコード診断(静的診断)
実用期に入ったクラウドコンピューティング
〜その先にある情報セキュリティ対策〜
セキュリティ普及促進委員会 (シマンテック) 村上 智 氏
経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 佐藤 明男 氏
マカフィー(株) セールスエンジニアリング本部 本橋 裕次 氏
トレンドマイクロ(株) セキュリティエキスパート本部 飯田 朝洋 氏
(株)マンテック システムエンジニアリング本部 米澤 一樹 氏
情報処理推進機構(IPA) セキュリティセンター 小林 偉昭 氏
- 意見、コメント
- 米澤氏(タスクフォースメンバー):標準化するに当たり紆余曲折があった。事業者側からの立場ではなく、利用者側からの立場で作った。可用性、特にデータのバックアップを忘れてはいけない。その辺を視野に入れたい
- 飯田氏:クラウドでもガンブラーのような脅威が考えられる。ウイルスがクラウドのアカウントを盗む(漏洩)する事が容易に想像することができる。この手の攻撃が増えてくるのではないだろうか。当たり前の対策、アカウントの管理、クラウド側のサーバの対策を見直していく必要がある。
- 本橋氏:ガイドラインでクラウドの導入が増えるのではないだろうか。サーバだけでなくエンドポイントのセキュリティ対策は必要だと顧客と話をする。ユーザがセキュリティポリシーを遵守しつつ、いかに利用するかが今後の課題になる。
- 小林氏:IPAはセキュリティの普及・啓発をしている、特に中小企業に向けて。中小企業におけるクラウド安全利用の手引き(仮)やチェックシートを考えている。中小企業に安心して使っていただく支援を考えている。
クラウドコンピューティングセキュリティを考えた場合、いろいろあると思うが、従来の対策とは変わらないのだろうか。PCDAを回していく、旧来の対策を愚直に実施していくのかなと考える(モデレータ)
- 最後にコメントを!
- 佐藤氏:ガイドラインを活用してほしい。実施していなかった場合、問題が顕著になる。国際標準化をしていきたい。
- 本橋氏:欧米に比べて日本のユーザの要求は小さい。要求を出すことにより、よりよい環境を作っていける。どんどん行っていく姿勢は必要だ。
- 飯田:いろいろなデバイス(シンクライアント、スマートフォン等)があるので、大変だ。そこのセキュリティを高めていくことが重要となっていく。ガイドラインから必要なものを取捨選択する必要がある。
- 米澤:良い面悪い面を見極めてクラウドを利用する。一歩引くと従来の課題が見えてくる。いいチャンスかもしれない。
- 小林:インターネットは便利だから広がった。でもセキュリティが必要になった。クラウドも同じように便利なので、最初からセキュリティを考えて利用していう必要がある。セキュリティを忘れないようにお願いします。