安全安心情報のセキュリティ産業新聞社

新聞のご購読はこちらから
サイト内検索
注目ニュース インタビュー・対談 特集 連載 新製品情報 セミナー情報 リンク セキュリティフォーラム
ホーム >セミナー情報トップ >   広告のお申込はこちらから
 

情報セキュリティ技術セミナー講演会

(財)防衛調達基盤整備協会(防衛調達研究センター)
・情報セキュリティ技術セミナー講演会

  防衛調達基盤整備協会
防衛調達基盤整備協会
専務理事 茶木 哲義氏
奈良先端科学技術大学院大学
情報科学研究科 教授
(内閣官房情報セキュリティセンター
情報セキュリティ補佐官) 山口 英氏
シマンテック総合研究所
ディレクター・主席アナリスト
(工学博士) 伊東 寛氏
防衛調達基盤整備協会
ISMS主任審査員 榊 勝氏
KDDI
日東造機
富士通
BizMobile
三菱電機
エプソン販売
QUICK電子サービス
日本電気・日本アビオニクス
日立製作所
(2010年2月25日号)

挨拶

防衛調達基盤整備協会 専務理事 茶木 哲義氏


 政府においては、この2月を「情報セキュリティ月間」とし、情報セキュリティ知識の普及活動を実施しており、このセミナーも一役かっているのでないかと思います。今回のセミナーにおきましては、情報セキュリティ最前線をコンセプトに、最新の情報セキュリティ・ソリューションの製品開発等に取り組まれているトップ企業10社に協力頂き、最新のセキュリティ・ソリューションの展示、デモンストレーションを実施すると共に、3本の新しい情報セキュリティに関する内容を主とした講演会を開催します。
  第1回目は奈良先端科学技術大学院大学情報科学研究科の山口英教授(内閣官房情報セキュリティセンター情報セキュリティ補佐官)が「急変するITと情報セキュリティ」について、第2回目はシマンテック総合研究所の伊東寛・主席アナリストが「近隣諸国等のサイバー戦事情」について、また第3回目は防衛調達基盤整備協会の榊勝・ISMS主任審査員が「ISMS視点からの防衛省情報セキュリティ制度の改正点と組織の対応について」のテーマで講演頂きます。


「急変するITと情報セキュリティ」

奈良先端科学技術大学院大学 情報科学研究科 教授(内閣官房情報セキュリティセンター情報セキュリティ補佐官) 山口 英氏


 今日は大学の先生の立場でITとセキュリティについてお話することとします。まず、世の中のIT基盤のロールアウトは18ヵ月程度、また大規模開発ですら36〜48ヵ月程度が想定です。更に納品後、顧客と共同で成長させる「並行開発型システム」が多く登場しているのが、IT製品の開発現場の大きな特長です。もう一つ、現在では単独1社で全てを開発することは皆無になっており、ノートパソコン一つとっても然りで、米国を見るだけでも民間が研究開発するIT技術がオープンからベールに包まれ、軍事に転用されていく傾向があるなど、防衛調達に関わる業界でも急速に変化していくと予想されます。
結論を先に言うと、ITの先行きはバラ色ですが、ITセキュリティはバラ色でなく、検討・改善等が必要で、対策をしないと将来、足枷になります。
 社会基盤のIT化を見ると、ビルの警備・メンテナンスなどはセンサーネットワークによる省力化が主流になりつつあり、インフラも同様にセンサー、ITで接続され、コストパフォーマンスを得ています。これが加速していくのが第2世代化で、ネットワーク化で新たな価値を生み出す反面、金融、医療等の様にオンライン化されており、一つがストップするとその先が全てストップしてしまう事が弱点です。結果、ITが目指す社会はネットワークによる総合接続、グローバル化から、結果「総知化」、すなわち全体最適へシフトしていくというものです。2011年には2006年比較で10倍の情報量に囲まれ、2008年の全世界で生産される情報量は推定160EB、インターネット接続のデバイス数も5億個から1兆個に飛躍するとのIBM予測もあります。つまり、多くの機器がネットワーク接続され、知見の社会化を達成するには広義のソフトウエアが多数必要になり、(安全・頑丈でしなやかな社会基盤の)故障共用型システムの確保が必然となります。その途中にあるのが、クラウドコンピューティングであり、また特定の物理的領域の最適化から全体の最適化を目指すのが、SmartCIty、SmartHomeです。
 こうした環境下での必要なセキュリティ機能は何か。これまでは境界防衛型モデルでしたが、相互接続とユーティリティ化により崩壊する上、スマート化から多種多様なデバイスとの接続でセキュリティ管理が必然となり、またTrust(信頼)の再構築や継続できる安全で頑丈な基盤が必要になります。更に、CSPによる仮想化システムにより、リモートアクセスクライアントで使うほか、更に個人ユースとしてBYO(bring your own、自分で持ち込む)等も始まっています。また、コンピュータ機能を瞬時に圧縮・凍結・送信できるスマート化が加速することで、保存データの在りか、だれがシステムを操作しているか、また通信はどこ経由か、といった疑問が出てきています。これはIT技術が全て進化の方向にある事を意味しますが、残念ながらそのセキュリティ対策は今のところありません。そこはピンチですが、同時にチャンスであり、ビジネスチャンスが生まれます。 


 

「近隣諸国等のサイバー戦事情」

シマンテック総合研究所 ディレクター・主席アナリスト(工学博士) 伊東 寛氏


 サイバー戦について、まず、隣国の中国を見ると、中国人民解放軍には「情報戦争シミュレーションセンター」というのが1998年に設立されており、既に10年の実績があるほか、2002年には国務院国防部という情報通信指揮部の管理下に移管しています。更に、人民解放軍はサイバー戦部隊を組織しており、2007年の米国防省年次報告によると、ウイルス開発も実施しているとあります。また、2009年3月の報告でも同様にウイルス開発を行っているほか、軍改革でその速度を増しているとも言われています。このほか、数千人規模のハッカー部隊を保有しているとの情報もあり、中には1万人説、40万人説などとも言われている程です。また、2005年の人民解放軍の演習では、コンピュータ攻撃を想定した訓練も行われたとの情報もあるなど、サイバー戦を想定した取り組みも確実に実施されている様に思われます。
  では、実際のところはどうか。まず、中国は社会主義であり、国家意思に基づくサイバー戦能力を整備する事は十分考えられ、そこにはサイバー戦部隊が存在し、技術的にはサイバー技術力は低いとも言われていますが、そこは世界一を誇る人口数を抱える国であるだけに、頭数が多いことから、中には能力の高い人間が存在してもおかしくありません。更に社会主義国家であるため、非常に愛国心に燃える人間が存在する事も予想できます。つまり、存在はもとより、ある程度の技術・組織を持っていると考えても何ら、不思議ではありません。更に、有事には軍部隊ではない、民間人ハッカーが戦闘に参加することも予想できます。というのは、政府機関の一部が民間団体を装っている可能性があるほか、民間人の一部は中国政府により組織化されている可能性もあります。
  次にロシアを見てみます。ロシア軍参謀総長代行のアレクサンドル・ブルティンが2008年2月にモスクワで次の様に語っています。
  「将来起こりえる戦争は、情報戦である」と。なぜ情報兵器が特異かというと、それは国家が情報技術を用いて国家情報基盤をつくる一方、その情報技術を軍事目的で使用するための開発も行っているということです。
  国の科学技術力が高くなり、電話及び通信システム、宇宙飛翔体、自動化された部隊や兵器管理システム、財政、銀行業務、商業活動、電力供給システム等情報インフラが整備されればされる程、これらの潜在的な目標として立場も拡大していく事が考えられるからです。こうした目的を達成するため、軍や特務機関に特別な部門が編成されているようです。また、情報作戦の準備と実施に関する基本的な文書も作成中であり、訓練も始まっています。もう少し詳しく見ると、軍の編成・組織等は不明ですが、戦闘行動に伴うサイバー戦の実施は可能性があり、またサイバー戦に係る基本文書の作成、及びサイバー戦部隊の訓練を開始しているとロシア側は明言しています。現在は始まったばかりですが、将来的には大きな能力を持つ可能性も否定できません。
  一方、北朝鮮はどうでしょうか。国家レベルの産業基盤は崩壊状態にあり、大量生産される武器の生産・維持は困難な状況で、また通常の兵器稼働・訓練実施のための油等も不足していると予測できます。但し、こうした環境下から、自国の特性にあった戦法を開発している事も十分予想できます。例えば、特殊部隊との組織化をはじめ、地対地弾道ミサイル、更にサイバー戦などです。では、レベルはどうか。国家レベルによるエリート組・「銀星」の存在があり、早い時期からサイバー戦を想定した高いハッカー技術を保有する者がいると見るのは普通です。結果、高いサイバー戦の能力を保有している可能性は高いかも知れません。
  この様に、近隣諸国と比較して、わが国の情報における国の安全はどうか。
  国家レベルでのサイバー戦防護を検討する必要がありますが、そこにはサイバー戦防護に関するコンセンサスの確立、また国家サイバーセキュリティ戦略の策定、専属サイバーセキュリティ調整官の設置等が考えられ、具現化するにはサイバー防護基本法や有事法制などの整備が必要です。また、各省庁所掌の明確化、(防衛省・自衛隊など)具体的対処組織の整備、更に国家の重要技術として国内サイバー産業を保護・育成するなどの施策を通じて、必要な技術開発の推進も必要です。


「ISMS視点からの防衛省情報セキュリティ制度の改正点と組織の対応について」

防衛調達基盤整備協会 ISMS主任審査員 榊 勝氏


 ISMS構築のメリットは企業(組織)内の情報セキュリティの向上による、説明責任の明確化、安全な情報の共有化や情報整備、業務の効率化です。また、企業(組織)外としては、企業価値の向上、サービス品質の向上、また信頼性のアピール、更に同業他社に対する優位性の確保と言えます。また、JIS Q27001には11分類・133項目が盛り込まれており、その実施規範である27002は815項目あります。また、下請負いについては従来21項目であったのが、改正により69項目になっています。ISMSフレームワーク確立のプロセスとしては、情報セキュリティポリシーを策定する「STEP1」から是正処置、予防処置を含む継続的改善を行う「STEP11」までを実施するにあたり、PDCAサイクルで進めます。また、ISMSにおけるポイントは3つあり、一つが(CIAからの)リスク分析を含むマネジメント(経営資源の運用管理)、2つ目が(年1回以上、ISMS認証基準、関連法令等に適合しているかなどを見る)ISMS内部監査、3つ目がマネジメントレビューです。
  では、防衛省情報セキュリティ制度の改正点について説明します。平成22年3月31日迄と、同年4月1日以降適用されるものです。簡単に言うと、従来は(1)調達における情報セキュリティ基本方針(2)調達における情報セキュリティ基準というものと、もう一つ、特約条項として情報システムの特約条項、及び付紙様式、並びに装備品等の特約条項の2つがありましたものを、集約することで区分を廃止し、本文に特約条項と付紙様式、別添として調達における情報セキュリティ基準を一本化しました。つまり、下請けさんからは、情報セキュリティについての21項目を速やかに確認後、情報セキュリティ監査官に提出することとしたものです。
  次に、調達における情報セキュリティ基準を確認します。大きな改正点は9分類で、システムの開発保守が減り、情報セキュリティ事故等のインシデントに係る事項が新しく入りました。これにより、従来、37項目であったものが71項目となりましたが、内訳は新設項目が28項目追加、分割増項目も7項目、集約減項目は1項目です。確認点として、取扱施設の指定と言うのは従来なく、新設されたほか、JIS Q27001付属書A管理策(133項目)に概ね相当しているとしているものの、そのことを明記していないほか、取扱施設を明確に定めなければならないとしています。更に、組織のセキュリティは3項目新設、保護すべき情報管理も3項目新設されたほか、通信及び運用管理ではバックアップの要件、可搬記録媒体の保存要件など10項目が新設されています。
  次に特約条項では、先程申し上げた通り、開示先及び下請負は69項目の確認事項を「あらかじめ」届け出ること、更に当該年度又は前年度で防衛省の監査を受けている場合は21項の確認で良いとしたほか、歳出契約の場合はあらかじめ、情報セキュリティ体制を構築、又はISMS認証を受けている等で対応が困難とする場合、経過措置の1年の間に事前準備・体制作りを計画的に進める必要があるとしています。また、情報セキュリティ対策実施の確認書では21項目から69項目になりました。大きくいうと、保護すべき情報の管理は毎年全て、更にアクセス制御12項目など、計69項目の内容を確認して情報セキュリティ監査官に届け出る事としています。
  JIS Q27001と防衛省情報セキュリティ基準等の類似点を見ると、従来37項目であったものが、71項目に増加したほか、通信及び運用管理項目では従来の5項目から19項目と、大幅に増えました。これは、業務の下請負さんでもほとんど一緒です。結果、実質71項目あると見て頂きたいと思います。
  纏めますと、JIS Q27001の役割は情報保全体制構築の基盤的役割、保護情報の集約化のリスクへの対応、旧・保護情報リスクへの対応、地方調達における保護情報への対応、並びに下請負さんのリスクへの対応で、21項目から69項目になった事を確認頂きたいと思います。また、新たな情報保全体制構築への取り組みとして、「調和と活用」、「マネジメントシステム・体制のムダ削減」、「マルチタスク」、更に、「BCMS的発想と取組みによる包括的なマネジメントプロセスの構築」が挙げられます。