東京・青山の青山TEPIAホールで18日、セキュリティに関するイベント「SecurityDay2007」が開催された。
SecurityDayは、JPCERTコーディネーションセンター(JPCERT/CC)、日本インターネットプロバイダー協会(JAIPA)、日本データ通信協会(Telecom-ISAC Japan)、日本ネットワークセキュリティ協会(JNSA)、日本電子認証協議会(JCAF)の5団体が主催する、日本の情報セキュリティのあり方を考えるイベント。2006年まではInternet Weekの中で開催されていたが、今回から独立して開催された。
午後のセッションでは、「国家施策としてのセキュリティ対策の役割と期待」と題したパネルディスカッションが行なわれ、国が進めるセキュリティ対策や現状の制度設計が抱える課題などについての意見交換が行なわれた。
● 政府機関のセキュリティ対策、次期では設計段階からの対策を
|
内閣官房情報セキュリティセンターの伊藤毅志氏
|
内閣官房情報セキュリティセンター(NISC)の伊藤毅志氏は、政府機関の情報セキュリティ対策を紹介。現在は2006年からの3年間に渡る「第1次セキュリティ基本計画」に基づいて各府省庁のセキュリティ対策を進めており、NISCでは対策実施状況の検査や評価を進めているとした。
政府機関の対策状況としては、2006年に実施した調査では対策の遅れている省庁が目立ったものの、2007年の調査ではかなり対策が進んだと説明。3年計画の最後の年となる2008年には、全府省庁で100%対策が実施されるよう努めていきたいとした。
一方、2007年には政府機関の電子申請システムについて調査を行なったところ、多くのシステムで脆弱性が存在する古いJRE(Java Runtime Environment)を使用していることが判明したが、対応には予算が必要といった理由で対策が遅れるシステムも多かったと説明。こうしたことから、今後はシステムを運用時のセキュリティ対策だけでなく、システムの設計段階からのセキュリティ対策を進めていくと語った。
● 事業者からは実態に即した法制度を求める声
|
NTTデータの西尾秀一氏
|
|
セコムの松本泰氏
|
NTTデータの西尾秀一氏は、情報資産管理や法令順守といった観点からのSI事業者に対する要請は年々増えており、こうした中でSI事業者も努力を続けているとして、2006年に情報サービス産業協会(JISA)が会員企業とその顧客に対して実施したアンケート調査の結果を紹介した。
このアンケートでは、事業者側は「情報セキュリティ対策はユーザーの期待にほぼ応えられている」とする回答が95%に達したのに対し、ユーザー企業側ではセキュリティ対策が「ほぼ十分である」とする回答は56%にとどまるなど、SI事業者とユーザー企業の間に認識の隔たりがあることが明らかになったと説明。また、情報セキュリティ対策を行なっても、それがSIベンダーの競争力強化につながっていないとして、事業者が単なるシステム構築・運用の請負者としてではなく、IT活用のパートナーとして信頼される存在になることが大切だと訴えた。
セコムの松本泰氏は、情報セキュリティに関連する法制度の課題について説明。法制度のうち、個人情報保護法やSOX法関連などの「強制力が働く法制度」については、官民とも過剰に反応してしまい、結果として経済的にありえない方向に向かう傾向が強いと指摘。こうした「完璧」を求めようとする過剰な反応は、強制力を伴わない「『してもよい』系の法制度」にも見られるが、制度が強制力を伴わない場合にはまったく利用されないといった形となり、いずれの場合もベストプラクティスでないセキュリティを生み出してしまっているとした。
松本氏はこうした法制度について、複雑な情報セキュリティに対する理解が無いと、制度の行き過ぎや高い障壁といったバランスを欠いたものになると指摘。情報セキュリティ分野はまだ「建前としてのセキュリティの時代」であり、「適切なセキュリティの時代」にはなっていないとして、経済性まで考慮したベストプラクティスへの努力や、普及が可能な基準と適度な強制力を働かせる施策が必要だと訴えた。
● 高木氏はゼロデイ攻撃に対応したウイルス解析組織を提案
|
産業技術総合研究所の高木浩光氏
|
産業技術総合研究所の高木浩光氏は、ジャストシステムの「一太郎」に対して未知の脆弱性を狙うゼロデイ攻撃が相次いでいる事案から、こうしたゼロデイ攻撃に対応する脆弱性分析体制の必要性を訴えた。
高木氏は、一太郎に対するゼロデイ攻撃が、毎回米Symantecのブログでその事実が公表され、それがニュースとして報道されている点に着目。これらのゼロデイ攻撃に用いられたウイルスはいずれも報告数が極めて少ないことや、一太郎が使われている組織などを考えると、実態は公表されていないためあくまでも推測とした上で、政府機関にターゲットを絞った攻撃が継続して起きており、その担当者がSymantecに検体を提供しているため、結果として毎回Symantecから情報が出ているのではないかとした。
高木氏はこうした状況の問題として、Symantecからこれまでに公表された5件のゼロデイ攻撃に関する脆弱性情報が、いずれもJVN(Japan Vulnerability Notes)では公表されていないように、正確な脆弱性情報が伝えられず、また公共利益の観点からの脆弱性分析ができない点にあると指摘。一方、現状ではゼロデイ攻撃を受けた組織も、検体をウイルス対策ベンダーに提供するか、IPAの「ウイルス届出」窓口に提供するといった方法しかなく、こうしたことから高木氏はゼロデイ攻撃に対応する形で「公共利益の観点からマルウェアの解析を担う組織が必要」と訴えた。
関連情報
■URL
SecurityDay2007
http://securityday.jp/
( 三柳英樹 )
2007/12/19 17:48
- ページの先頭へ-
|