 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
「Web Application Securityコンファレンス」基調講演レポート |
||||||||||||||||
|
||||||||||||||||
|
~KDDI情報セキュリティ室長中尾康二氏が講演
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
Web Application Securityフォーラム事務局が開催したコンファレンス「Web Application Securityフォーラム」では、KDDI技術開発本部情報セキュリティ室長中尾康二氏が「情報セキュリティに関わる戦略、および標準化」と題した基調講演を行なった。 ● 携帯電話も数年以内には、ウイルスや不正アクセス被害の対象となるだろう
また、情報資産の多様化に伴い、脅威も多様化していると分析し、「携帯電話も今後数年以内に、ウイルスや不正アクセスなどの脅威の対象に確実になるだろう。すでにKDDIでは、それに対応するための研究を進めている」と説明した。 ● 脆弱性を数値化すると “情報セキュリティの確保”に関しては、「機密性」「完全性」「可用性」の維持が必要であるとしたほか、“リスク値”を定量化するための方法として、以下の方程式を示した。「リスク値」=「重要度」+「脅威レベル」+「脆弱性のレベル」 また、ウイルス「Sasser」の例などのように、脆弱性が発見されてから実際に脅威(ウイルス等)が発生するまでの期間が14日に短縮されてきていることから、“脆弱性の数値化”に関する方程式も示した。
これらの方程式を応用することにより、リスクや脆弱性を数値化可能となり、情報性セキュリティ確保に利用可能だとしている。 ● “インターネットセキュリティ対策推進協議会”を7月に設立 中尾氏は「脆弱性発見からウイルス発生までの期間短縮や、パッチ適用の不徹底が一般ユーザーでは特に多い」と分析していることから、脅威は増していると警告。さらに、脆弱性公表時の説明文の多くが難しく、一般ユーザーが理解しづらい点や、伝達手段や相談窓口の不備を指摘した。特に脆弱性情報の公開方法に関しては、「現状は、意識ある人は情報公開に気付き、内容も理解できるが、一般人は『公開されたことにも気付かないし、内容も分からないまま』」であると分析。メディアやISPなどが連携し、現在セキュリティ意識が低いユーザーに対しても、情報発信していく必要性を訴えた。 これらを踏まえて、Telecom-ISACやISP、システムインテグレータ、販売店などをメンバーとする「インターネットセキュリティ対策推進協議会」を7月に設立し、9月にサービス開始する予定だという。同協議会は、一般ユーザーに対して、脆弱性情報などを正確に・早く・わかりやすく提供することを目的として、メールやWebサイト上にてPush形式で配信していく予定だとしている。
● ガイドライン化を推進し、セキュリティマネジメントの確保を重視 インターネットセキュリティ対策推進協議会の設置に加えて、IPAを中心とした「脆弱性情報受付窓口」の設置や、Telecom-ISACの「マルチレイヤ監視システム」「IDSログ分析支援システム」「トラフィック異常レスポンスシステム」「ISP連携によるIPトレースバックシステム」を計画・推進していると発表。これらを組み合わせることによって、緊急時には早急な情報収集・配信が可能になると解説した。また中尾氏は、最後に“提言”として「とにかくガイドライン化を推進することが重要だ。基盤系やプラットフォーム系は国の研究期間に任せ、民間では情報セキュリティマネジメントやアプリケーションセキュリティの確保を最優先に挙げるべき」と語り、講演を締めくくった。 関連情報 ■URL Web Application Securityコンファレンス http://www.wasf.net/conference.html
( 大津 心 )
- ページの先頭へ-
|
