 |
 |
記事検索 |
イベントレポート |
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
脆弱性対策も“ラストワンマイル”が課題~下村氏、SPREAD設立発表 |
|||||||||
|
|||||||||
|
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
幕張メッセで開催しているネットワーク関連イベント「NetWorld+Interop 2004 Tokyo」では、6月30日にセキュリティ情報の流通を考えるコンファレンス「セキュリティ情報の円滑な伝達方法 ~社会インフラとして考える~」が催された。司会をディアイティ代表取締役社長の下村正洋氏が務め、KDDI技術開発本部の中尾康二氏、NECセキュリティ技術センターの木村道弘氏、大塚商会テクニカルソリューションセンターの佐藤憲一氏らがパネリストとして参加した。 ● 脆弱性情報の提供のあり方についてISP、メーカー、SIが三者三様の意見 KDDIの中尾氏は、ISPが脆弱性情報をユーザーに対して周知する場合は「Blasterなどのウイルスに感染してしまった場合、ユーザーが自分の状況を理解できないこともある。脆弱性からウイルス、感染症状、その対策までの情報を整理して提供する必要がある」という。周知方法については「Webやメールによる周知は可能」とした上で、ISPは各ユーザーと不要メールの送付禁止契約を結んでいる場合もあり、「メールによる個別周知は、トリガーとして事前に公的機関の要請が望ましい」とした。NECの木村氏は、脆弱性情報が発表された場合のメーカーがとる手段として、「関連する製品をチェックし、代表的な機種で確認。その後ユーザーに対して周知する」とコメント。「製品の品質確認というよりも、迅速性を重視するため、代表的な機種で確認するに止まっている」と述べた。また、社内への対策としては脆弱性の第一報とともに素早く修正プログラムを適用することを挙げたが、「正直、修正プログラムを適用することで不具合の報告があった例もある。修正プログラムの即時適用は信頼性と迅速性のトレードオフ。できれば他の手段で解決したい」と問題点も指摘。他のシステムではどのように対策しているかなど、「対策の判断材料となる情報が流通して欲しい」と語った。 ユーザー企業と接することの多いシステムインテグレーター(SI)として、「中小の企業ではネットワークの管理者などを設けておらず、対策も社長がなじみのSIの提案を受け入れている場合が多い」と指摘したのは大塚商会の佐藤氏。その結果、「仕組みを理解せず、必要な情報や情報の価値を判断できずに言われるままに対策してしまう」。例えば、ウイルスに感染してメールシステムがダウンしたとしても、「メールが受信できなくなったとは感じても、メールが送信できないとは考えられない状況になってしまう」という。佐藤氏は、「地震などの災害情報のようにテレビでテロップが流れるだけでも状況は変わる。経営的視点で具体的な対策が提供できるように体制を整えて欲しい」と要望した。 ● SPREADはセキュリティ情報の流通に力を発揮できるか 司会の下村氏は、こうしたセキュリティ情報流通のための問題点を改善するために、セキュリティ対策推進協議会(SPREAD:Security Promotion Realizing sEcurity meAsures Distribution)」を6月30日に設立したという。SPREADは、IPAやJPCERT/CCといった公的なセキュリティ対策機関と連携し、対策情報をTelecom-ISAC Japanやマスコミなどに提供。また、量販店やSIにも同様に対策情報を提供し、対策後の派生情報をフィードバックする役目を担う。「一般のユーザーが相談に駆けつけるPC販売店や地域ネットワークといった“相談ポイント”に『正確に』『早く』『わかりやすく』情報を伝達する」のが狙いだ。今後は、「ファーストフードやスーパーマーケットといった非IT業種も加わってもらう」という。また、セキュリティ啓発イベントを2004年秋口にも開催し、積極的にセキュリティ対策推進活動を実施するとしている。 設立したばかりのSPREADに関して、Telecom-ISAC Japanの技術作業部会長でもある中尾氏は「セキュリティベンダーなどの情報を流通するためのコーディネーターを組織化する必要は感じていた」とコメント。また、「セキュリティ対策情報の流通を一元化すると、企業などでリスクの計算にぶれが少なくなる。世界的に見ても稀な組織で日本が最初ではないか」と評価した。 一方で、佐藤氏は「情報“提供”とは、提供する側の言葉で実際の対策とは別。しっかり対策してもらうには、誰に対して伝えるのかということが重要だ」という。「相手の顔を忘れずにフレームワークを作らなければただの自己満足」と厳しい口調。「エンドユーザーに対して情報が確実に届いているのかを検証しなければならない」と注文した。 ● 対策の実施はセキュリティの“ラストワンマイル” 実際、SPREADでは情報の伝達やフィードバックは行なうものの、対策の実施までは行なわない。下村氏によれば「対策はユーザー自身によって実行されるもの」だからだ。情報を伝達しただけでは、対策が実行されるかどうかわからないという問題は下村氏も自覚しており、固定電話の加入者線になぞらえて「セキュリティ問題の“ラストワンマイル”だ」と述べた。このラストワンマイルについて、有効な手段として中尾氏はユーザーに対する教育を挙げた。「KDDIではメールとWebのほかに電話による相談窓口も設けている。ただし、『左下にスタートボタンがあって』というところから話を始めなくてはならないと、多数の相談に対応することが難しくなる」とコメント。「会社であればスタッフ、家庭であれば家族の啓蒙が大事。まずは、“awareness(問題点に気付くこと)”。地域コミュニティとの連携を通じて啓蒙する必要がある」という。 「高齢の父親が突如としてPCを購入してきた。操作に必死でセキュリティまで意識が回らない。やはり、問題意識を持ってもらうことから啓蒙を始めるしかない」と木村氏。「メーカーとしては、ユーザーに問題意識がなくとも大丈夫というのが理想だが」とも付け加えた。 佐藤氏は、「ユーザーが“困った”状況になった場合の窓口をSPREADに設置したらどうだろう」と提案。「大塚商会では、エンジニア600名体制で全国24時間いつでも飛んでいくサービスを展開している。ただ、600人では限界もあるので、SPREADで実施するなら巧く解決しなければならないだろう」としている。 ● 各社のセキュリティ対策と教育体制は? 会場からは、各社のセキュリティ対策や、教育体制などについて質問があった。中尾氏は「KDDIでは、顧客情報の漏洩も話題になっている。対策としてはアクセスログを残したり、大量流出が起きないように監査を行なっている」。教育については、「部署ごとに専門の責任者を置き、責任者に対して集中的に教育を実施。その責任者が部署に戻ってフィードバックするという手法をとっている。顧客情報の扱いを切り口にして、全社的にセキュリティについて教育しているところだ」という。また、「NECではテストを実施している。満点でないと合格できない。また、社内のPCにはエージェントをインストールして監視する。エージェントの入っていない外部PCを持ち込もうとすれば、即座に担当部署から注意を受ける」(木村氏)という。大塚商会でも「毎月テストを実施する」(佐藤氏)。「ただし、営業とセキュリティはトレードオフ。営業利益が芳しくない時に、セキュリティ上あまりよろしくない案件の照査をしなければならないときは正直悩む」と本音を覗かせた。 下村氏が社長を務めているディアイティでは、毎週恒例のミーティングでセキュリティについて必ず触れるようにしているという。「40人規模だからできること」と前置きした上で、「『ウイルスに感染したものはおらんか』と常に語りかけている。“しつけ”でありトレーニングとか教育とかいうものではない」とコメント。SPREADでは、「ただ情報を撒くのはなく、提供先に応じて情報を加工して届ける」とし、「情報を届けたユーザーには対策を実行してもらう」と意気込みを語った。
関連情報 ■URL NetWorld+Interop 2004 Tokyo http://www.interop.jp/ ■関連記事 ・ 「セキュリティ対策推進協議会」設立~NTT Comら20社以上が参加(2004/06/30) ・ 米Microsoftのスティーブ・バルマーCEOがセキュリティについて講演(2004/06/30)
( 鷹木 創 )
- ページの先頭へ-
|