Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

CNET Japanフォーラムが開幕~経産省山崎氏が特別講演


 シーネットネットワークスジャパン株式会社は23日、情報漏洩リスクや情報セキュリティを考えるためのフォーラム「CNET Japanフォーラム~企業情報セキュリティを考える」を東京・青山で開催した。フォーラムの特別講演では、経済産業省商務情報政策局情報セキュリティ政策室の山崎琢矢氏が「事故前提社会における企業の情報セキュリティ対策」と題した講演を行なった。


セキュリティが重要であるという総論では異論がないが、各論では問題多し

経済産業省商務情報政策局情報セキュリティ政策室
山崎琢矢氏
 山崎氏はまず、「情報セキュリティはいま何が問題か?」という問題提起に対して、「セキュリティ対策が重要である」という総論には、どのような立場の人間でもおおむね異論はないだろうと前置きした上で、各論ではさまざまな問題が山積みされていると答えている。

 例えば、セキュリティベンダーなどのセキュリティにおける「サプライサイド」側は、セキュリティの必要性を訴えており、ユーザー側のセキュリティに対する意識も高まりつつあるものの、実際の投資は思うように進んでいないと指摘。また、政府や自治体のセキュリティや、電気や銀行といった重要インフラのセキュリティも十分ではないと分析しており、監査が必要だとしている。重要インフラに対する監査では、問題点を洗い出す目的も含めて、「サイバーテロが起こった際の演習」も実施する予定だという。


毎日起こる情報漏洩問題をマンネリ化させず、盛り上がっている今こそ議論を

 最近毎日のように発生している情報漏洩事件に関しては、「マンネリ化が心配だ」とコメント。「情報漏洩事件に関しての議論はされているが、個人情報の“価値”についての議論が置き去りになっている」と指摘し、国民が個人情報漏洩にマンネリ化し、漏洩に対して「情報が漏れたことで何の問題があるの?」といった冷めた風潮になってしまうことが最も恐れるべき事態だと語った。

 また、このように個人情報に対する意識が高い今のうちに、個人情報の価値に関する議論を行ない、個人情報保護を対策レベルまで落としてしっかりと実施しなければならないと強調した。


脆弱性発生=パッチをあてればよい、という考えは短絡的過ぎるのではないか?

昨今の情報漏洩事件における初期対応が
1)原因調査委員会の設置
2)外部調査(監査)
3)社員教育の実施
の3点セット固定になっている点を指摘して、「画一なのはおかしいのでは?」と問題提起した
 OSの脆弱性問題については、「脆弱性が発生した時、それに対応したパッチをあてればよい、という考え方は短絡的なのではないか」という、疑問を呈した。山崎氏の経験上、「システム担当者はパッチは自分で検証しなければあてられない、と考えている場合が多い」と指摘。自社のラボを持つ大企業などでは、十分な検証や人員を割くことが可能だが、中小企業ではこのような対策も行なえないため、パッチをキチンと検証できていないという。

 さらに、ウイルス「Sasser」は脆弱性情報公開から11日後にはexploitコードが発生しているため、検証する時間がどんどん減っていると分析。新しい脆弱性情報の流通方法の確立が必要であると語った。


政府では内閣官房の情報セキュリティ補佐官である山口英教授を中心に強化する

 政府では、経産省、総務省、警察庁などが別々に行なっている情報セキュリティ対策を統括するために、内閣官房の情報セキュリティ補佐官を中心にまとまりを強化していくと説明。4月30日付けで、奈良先端科学技術大学院大学の山口英教授が就任したのがきっかけとなり、7月頃には人員強化も実施していくという。

 新施策には、コンピュータセキュリティ問題に関する早期警戒態勢の強化として「脆弱性情報流通の枠組み構築」や、重要インフラのセキュリティ、企業経営とIT事故の関係に関する検討などが挙げられているという。

 具体的にソフトウェアの脆弱性の場合は、調整機関として「JPCERT/CC」が活動し、発見者から脆弱性情報を受け付けてベンダーに渡し、公開日次や方法などの調整などを行なう。また、Webアプリケーションの脆弱性の場合には、受付機関をIPAが担い、“たまたま発見”した者がIPAに報告すると、IPAがWebサイト運営者に報告する仕組みを構築するという。これは、「現在、あまりにもWebアプリケーションの脆弱性が多いため、それを少しでも減らしたいのが狙いだ」という。ただし、「違法に発見した脆弱性をIPAを経由して報告したからといって、違法性が無くなることはない。あくまでも法を順守した上で発見してほしい」とコメントした。


ソフトウェア製品の場合の脆弱性関連情報流通体制イメージ Webアプリケーションの場合の脆弱性関連情報流通体制イメージ

脆弱性やセキュリティ情報を海外だけに頼っていて良いのか?

 これらの脆弱性やセキュリティ関連情報流通の枠組み構築の根底には、「現状、脆弱性やセキュリティ関連情報は海外機関に頼っている。中長期的に考えて、これでよいのか?日本の力を高めなければならない」という政府の中長期的な目的があるという。この目的のために、国内で脆弱性やセキュリティの情報を独自に収集し、分析するといった一連の行為を日本国内だけで完結できるシステムを構築する必要があるという。

 また、政府のセキュリティ対策を再度見直し、「具体的な対策」にまで落とした対策を公開し、“具体的にこれをやれば最低限大丈夫”という指針を示したいという。また、民間市場では現在のベンダーを中心とした「サプライサイド」の盛り上がりから、「ユーザーサイド」主導の動きへの変更が必要だと語り、講演を締めくくった。

関連情報

URL
  CNET Japanフォーラム
  http://japan.cnet.com/info/forum6/


( 大津 心 )
2004/06/23 20:24

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.