安全安心情報のセキュリティ産業新聞社

新聞のご購読はこちらから
サイト内検索
注目ニュース インタビュー・対談 特集 連載 新製品情報 セミナー情報 リンク セキュリティフォーラム
ホーム >セミナー情報トップ >   広告のお申込はこちらから
 

情報セキュリティセミナー〜企業における情報セキュリティ対策の課題と今後の方策〜

情報セキュリティセミナー
〜企業における情報セキュリティ対策の課題と今後の方策〜

セキュリティ普及促進委員会
(シマンテック、トレンドマイクロ、マカフィー、(独)情報処理推進機構、経済産業省)

 
山口 英氏
 
何 利文氏
 
本橋 裕次氏
 
内田 仁史氏
 
浦本 直彦氏
 
塩崎 哲夫氏
 
小屋 晋吾氏
 
山本 秀宣氏
 
 

(2010年5月25日号)

 セキュリティ普及促進委員会(シマンテック、トレンドマイクロ、マカフィー、(独)情報処理推進機構、経済産業省)が主催した情報セキュリティセミナーが過日、盛大に開催された。(パネラーの所属、肩書などは当時のものです)


【基調講演】

  • 「我が国の情報セキュリティの今後の課題とその対応」
  • 奈良先端科学技術大学院大学 情報科学研究科 教授 山口 英氏

  社会基盤にはIT化が沢山取り込まれていて、例えばビルの警備・メンテナンスなどはセンサーネットワークによる省力化が主流になりつつあり、インフラも同様にセンサー、ITで接続され、コストパフォーマンスを得ています。これが加速していくのが第2世代化で、ネットワーク化で新たな価値を生み出しています。が、逆に最近のシステムの多くはオンライン化されているため、一つがストップするとその先が全てストップしてしまう事など脆弱性が課題です。いずれにしろ、ITが目指す社会はネットワークによる相互接続にはじまり、知恵と知見の集約によるインテリジェント化を達成しながら、より洗練された機能を提供するほか、グローバル化から、統合管理が加速し、一方で計測性を確保した「見える化」が推進されていきます。すなわち、グローバル化、かつ複雑化したシステムを今後より多くの人達が利用することが考えられるため、そこにはセキュリティ機能を強化した状態を保ちつつ、ユーティリティ化の追求も重要です。
  一方で、利便性と効率化だけで闇雲にITを活用した時代から、世界中で莫大な利活用による電気エネルギーが消費されている今日、地球環境の保護の観点からの資源制限も必要です。そのため、ここでもITを活用した調整機能と最適化を目指した研究開発が取り組まれており、その代表的なものがグリーン機能です。
  もう少し、別の角度で今日のITの流れを説明しますと、通信インフラはブロードバンド基盤の発展拡大により、地球規模でのサービス提供がいつでも、どこでも可能です。まして、クラウドコンピューティングの普及拡大でますます広がります。これは、同時に高密度のネットワーク展開により、特定の物理的領域の最適化から全体の最適化を目指すSmartCity、SmartHomeが今後、加速度的に誕生するはずです。
  では、こうした環境下での必要なセキュリティ機能はどうなるか。これまでの「境界防衛型モデル」は相互接続とユーティリティ化により崩壊する上、スマート化から多種多様なデバイスとの接続でセキュリティ管理が必然となり、結果、「Trust(信頼)の再構築」や継続できる「安全で頑丈な基盤(robust &resilient system)」が必要になります。また、コンピュータ機能のスマート化が加速することで、保存データの在りか、だれがシステムを操作しているか、また通信はどこ経由か、といった疑問が出てきています。これはIT技術が全て進化の方向にある事を意味しますが、残念ながらセキュリティポリシーは現在の所、欠陥していると言わざるを得えません。そこには、これまで通用した「古い習慣」+「古い技術」を使う限り「予測可能な結末」ですが、「古い習慣」+今までのつもりで「新しい技術」を使いだすと、(予測もつかない)劇的に変化した結末を迎える“常識”も持つ必要性があります。言い換えると、クラウドコンピューティング時代では我々は意識改革を行い、「Human 2.0」が当たり前となり、セキュリティも進化しています。そして新しい技術に対応した情報セキュリティが必要で、我々の既存技術の拡大、新技術の開発等のバージョンアップも必要となり、それはビジネスチャンス到来であり、同時に“感性”が問われることでもあります。


【特別講演】

「Creating value by security in China market」

  • 華為技術 セキュリティCTO 何 利文氏

 何故、セキュリティの問題が生じているか。それはITのせいです。ITの進展が余りにも早く、人々の生活や企業ビジネスのニーズに応えているからです。一つ目は『仮想化』があります。効率的にリソースを利用する為の手法ですが、セキュリティの課題が生まれます。同様に話題になっている『クラウドコンピューティング』では、ITリソースをより効率的に利用する事が可能、つまり、ITコンピューティングリソースをデリバーするモデルが変わってくるためセキュリティも課題が生まれます。Web指向型のアーキテクチャーも新たなITのトレンドです。SOAアーキテクチャー、SaaS、更にソーシャルソフトウエアやSMS等も新たなトレンドです。見知らぬ他人達との連携をとりたがる中、ソーシャルネットワーキングがデータの交換、情報交換の新たな手法を生んでおり、これでもセキュリティの新たな課題が生まれます。通信の融合、Eメール、IM(インスタントメッセージ)、テレフレデンス、電話会議等を全て融合する事でセキュリティの課題が生まれるほか、また『BI』、ITとビジネスとのコンビネーション、すなわち新たな方法を使って他社と情報を交換することでセキュリティの課題が生まれます。
ではセキュリティの脅威はどこから来るか。まず、第1に(サードパーティに)アウトソーシングしている事が多いからです。中国、インド等に。『ビジネスモビリティ』ももう一つの脅威の根源です。携帯電話、DVD等のメディアで価値ある資産をグローバルに持って出てる、移動するからです。『サイバークライム』(犯罪)は数十億ドルというビジネスになっています。また、社内の不満分子が社内のデータにダメージを与えたり、漏洩などもあります。そこで、クラウドコンピューティング、SaaS、P2Pのシェアリング(共有)などがありますが、これが元でウイルスが蔓延したり、トロイの木馬を持ちこむほか、ボッドネットもあります。
 セキュリティの歴史を見ると、1980〜1990年代はPCベースのウイルス、96年まではブラスターワーム、2000年からはスパム、その後DDos、ボッドネット等が蔓延するなど多様な攻撃が発生しており、そこで保護対策としてファイアーウォール、アンチスパム、ゲートウェイ等様々なソリューションが生まれたほか、法令順守(コンプライアンス)が要求されました。一方、興味深いトレンドとして、融合と収束(セキュワルータ、UTM)、またDPIがトレンドになりました。つまり、包括的なセキュリティソリューションが必要で、必要に応じてファウェイ社、シマンテック、マカフィー、トレンドマイクロなどがセキュリティベンダーです。
 弊社のクラウドセキュリティとして、ファウェイ・シマンテック社は合弁会社であり、百カ国以上に事業展開しており、世界トップ50社のキャリアの中、36社とパートナーとなっています。また、シマンテック社はセキュリティとソフトストレージのリーダーであり、包括的な商品・サービスを提供しており、1000社のうち99%を顧客としています。こうした世界レベルの技術を持つ事で、オペレーションの効率化、新しいビジネスデマンドを満たすほか、事業継続化、また新たな課題を解決できます。こうしたことで、企業が求められるガバナンス(法律、国際標準)を満たせます。こうしたサービスをバックエンドで提供することで従量課金制により買う事ができます。
成功事例として、例えば中東のオペレーター事業者の包括的なソリューションを提供したほか、マレーシアのネットワークキャリア事業者にファイアーウォール、セキュリティソリューションを提供しました。このほか、アンチDDosソリューションをロシアのデータリングセンターに提供したりしています。
 最後に、セキュリティプロバイダーの価値として、トレンドのリーダー・権威者であり、また、顧客志向型のブランドや安定的な売上げビジネス、高利益を生む成長力などの提供が可能です。


「米国のサイバーセキュリティについて」

〜オバマ政権下のサイバーセキュリティ政策及び民間企業の対応〜

  • マカフィー 営業開発部 本橋 裕次氏

 独立記念日(7月4日)に米国政府の関連省庁に大規模なアタックがあり、同時に韓国もアタックされ、サイトがシャットダウンする状況があったと聞きます。特に2009年はサイバーセキュリティに関して、非常に大事故が発生しました。
  例えば、全米のATMマシンが一斉にアタックされ、何十万ドルが引き落とされたり、国防省への侵入などがあったほか、米国政府、特に軍隊に『サイバーコマンド』が誕生しました。また、昨年暮れには中国のグーグル社で大規模なハッキング=情報漏洩が発生しました。
  侵入経路などは明らかにされませんでしたが、2日後に弊社CTOであるジョージ・カーツがいち早く、『マイクロソフトの脆弱性を利用したハッキングである』と発表しました。最初グーグルの発表の時、人道支援のためのメール発信と言う事でしたが、実際はソースコード(知的所有権)が狙われた(盗まれた)ものでした。
  マカフィーなど全米のセキュリティ専門家にとって、今回のサイバーアタックは今迄にない、特定企業を狙った大規模、かつ巧妙なサイバー攻撃として大きな転換点と捉えています。企業が攻撃されたというニュースが報道されますが、公表されるのは大体30社程度で、実際は100社前後と推測できます。
  では、何故今迄にない脅威であったと判断したかと言うと、一旦、狙われると防げないためです。というのも、従来の様にファイアーウォール、IPS、DPI等を装備していても、多分防げなかったと言われています。
  ある国家に準ずる組織が諜報機関のノウハウを元に、ある目的のため特定企業をターゲットに攻撃したからです。つまり、攻撃者は主要なアンチウイルスベンダーの製品を入手し、どのベンダー製品が脆弱かを調べたと考えられます。また、1月15日時点で専門家が『メタストロイド』というツールソフトを使い実験した結果、その攻撃手法が判明、公表されました。
  一方、ゼロデイ攻撃と言われる様に、この3、4年で沢山のマルウエアが誕生し、特に2009年の1年だけ見ても320万ものマルウエアが誕生、殆どがトロイの木馬で侵入により情報を搾取するものでした。こうした背景から、オバマ44代大統領は『セキュリティポリシー』を改正しました。
  シンクタンクに専門家らを総動員し、ホワイトペーパーを策定したほか、新しくサイバーセキュリティ担当調整官の設置、情報・通信インフラのセキュリティに対する国家戦略のアップデート、大統領の主要なマネージメント上の優先事項としてサイバーセキュリティを指定し、パフォーマンス指標の確立、プライバシーと市民の自由、また新法案としてFISMA(連邦情報セキュリティマネージメント法)改正、Security Standards改正、連邦データ漏洩通知法等が生まれました。
  また、米国では政府の近代化と情報の保全と透明性を謳ったオープン・ガバメントを目指しています。そこで、マカフィー社は議会の委員会に参加し、政策提言のほか、CIO・CISOとの懇談会などを持たせて頂いています。
  1月にIBM、マイクロソフトなどが「政府向けのクラウドコンピューティングサービスを開始する」と発表され、実際、今年から運用されていきます。
  一方、マカフィーでは政府のインフラ整備に対するセキュリティの提言、法施行支援事業、政策策定に対する専門知識(データ保護ガイド等)で協力体制を敷いています。
  また、当社にはサイバークライム諮問委員会を策定し、サイバー犯罪関連の法律の影響・提言、及び検察官へのトレーニング、懸賞、研究・レポート策定等を行っています。
  更に、民間企業については、(2008年後半の)世界的な経済不況の中、コスト削減が重要で、戦略的投資を維持しながら『FTE』達成を目指しています。


【特別講演】

「セキュアクラウドの賢い選び方」

  • セールスフォース・ドットコム・シニアプリンシパル アーキテクト セキュリティ&インフラストラクチャースペシャリスト 内田 仁史氏

 セキュアクラウドと言うと、どうしても『機密性』だけが重要視されますが、CIAAと言われる『保全性』、『可用性』、『監査性』と言う様に包括的に行う事が重要です。それぞれのトピックスについて説明します。
  まず機密性では、物理的セキュリティとしてデータセンターではスペック、場所、実地監査を確認します。次にシステムセキュリティで、運用・監視体制、セキュリティ対策の専門組織、外部セキュリティ専門会社との連携、脆弱性テストのスコープと頻度、ネットワークの暗号化などの確認です。次はサービス事業者内の内部漏洩対策で、データ所有権、バックアップも含めデータセンター外に持ち出される危険性やアクセス制限、管理者の不正に対するチェック体制の確認などです。そして、利用ユーザーの内部漏洩対策では、自社のセキュリティポリシーに合わせたセキュリティ設定が可能か、データアクセス権限が細かく設定されているか、実行権限、管理者権限を詳細に管理可能か、バイオメトリクス認証、SAML認証等のオプションが提供されているか、などです。
  次に可用性では、システムインフラの可用性として、データセンター設備の確認、災害時の対策、冗長化されたシステムかどうか、またネットワークとしては、複数のネットワークキャリアと接続しているか、十分なネットワーク帯域か、日本のキャリア接続かどうか等の確認が大切です。サービス監視体制では、システム監視体制を確認する必要があります。また、サービスレベルでは、社会的影響度の大きいマルチテナントサービスはSLA契約如何に関わらずサービス品質は変わらず、サービス障害時にはぺナルティが事業者に与えられるほか、シングルテナントサービス・小規模のマルチテナントサービスではSLA契約の締結、もしくは規定されたSLAに対応するサービスを契約することです。
  最後に監査性で、まず、ベンダーの情報開示体制が出来ているか、もしくは監査受入れ体制もあるかどうか。また、第三者機関から認定(ISO27001、SysTrust等)されているか、監査基準第70号(SAS70)TypeU報告書の提供が可能か、どの頻度で提供可能かどうかです。あと、一番簡単なのは、どれくらいSaaSの利用実績があるかです。セキュリティ基準を満たしたベンダーがどうか、分かります。クラウドサービスには非常にリスクがありますが、飛行機と一緒で、飛ぶ以上、堕ちるし、ハイジャックされる危険性もあります。でも利用するのは利便性が高いからです。要は利便性を重視するか、従来の安定性を取るかです。


Security&webプラットフォーム

  • 日本IBM東京基礎研究所 次長 浦本 直彦氏

 クラウドはセキュリティとは裏腹で、どこにあるか、誰がさわるのか、管理しているか、など不透明です。これらは、コントロール不足、データの安全性、会社・可用性の信頼性、コンプライアンス、セキュリティ管理などの懸念事項があります。
  その内、失われていくデータのコントロールとして見た場合、ある企業では部門毎に分かれる中、既存ITの部分とプライベートクラウドを導入したり、SAML認証を採用しているところなど、アイデンティティが非一致などコンプライアンス(規則)が非遵守であったり、また、クラウドプラットフォームを活用していても、ある企業はOpenID認証を採用しているが、他の企業は採用していないため、不正な情報アクセス・漏洩やデータ紛失・改ざん等が起こりえます。
  そこで、クラウドサービスを選ぶ前に、自社の情報開示の有無や運用システムの在り方・規制とリスク分析などが重要です。クラウドを活用頂く一番のモチベーションは、コスト削減です。
  もう一つは、業務の形が変化します。つまり、従来のやり方が変わるため、リスク分析が必要です。
  一つの例として、医療情報システムを安全管理する場合、この世界も少しずつ変わってきており、『医療情報システムの安全管理に関するガイドライン第4・1版(平成22年2月改訂)』を厚生労働省が実施しました。これにより、「診療録等の保存場所について、医療機関等が民間事業者等との契約に基づいて確保した安全な場所に関する項目」が追加されました。
  ポイントは、システム堅牢性の高い安全な情報の保存場所を選定する必要があり、そのために、責任の在り方、安全管理対策、真正性、見読性、保存性及び情報管理体制の確保のための全ての要件を満たしている事が必要としています。
  また、経済産業省が定めた「医療情報を受託管理する情報処理事業者向けガイドライン」や総務省が定めた「ASP・SaaSにおける情報セキュリティ対策ガイドライン」、及び「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」の要求事項を満たす必要があるとされています。
  一方、弊社ではアイデンティティー管理、データ保護、情報管理、アプリケーション・プロセスと言ったレイヤー毎に規定したセキュリティ・フレームワークを策定しており、そのための理想的な対策としてガバナンス・リスク管理、電子情報開示、情報漏洩防止、暗号化・鍵管理、ストレージや物理的セキュリティなど沢山のキーワードがあります。また、中身として、ハイパーバイザーの乗っ取り防止技術、仮想環境におけるコンプライアンスの準拠など、クラウドに有利なSS(バーチャル サーバー セキュリティ フォアVMware)を発表しています。更に、TKLM(TivoliR Key Lifecycle Manager)v1.0では、複数のデバイスに暗号キーを提供したり、監査ログ、高可用性をサポートします。


富士通・セキュリティソリューション本部
情報セキュリティセンター長兼クラウドセキュリティセンター長 塩崎 哲夫氏


  2009年5月に発表した「クラウドに対するお客様の期待」では、最も多かったのが『必要な時に必要なだけシステムを利用できる(柔軟性)』が37%、続いて『自社で所有するよりも費用が安くなる(コストパフォーマンス)』が27%、『自社で運用・管理する必要がない(運用負担低減)』は21%、『システム開発の際に性能や相性などの心配がいらない(信頼性)』9%、と言う結果でした。
一方、「クラウドに対するお客様の不安」では『(不正アクセス・情報漏洩等の)セキュリティ』が73%、『安定稼働』が65%、『サポート体制』は48%などです。昨年の4月にクラウドサービスを発表して以来、今年の1月までに800社強のお話を頂きました。
サーバ統合管理を行いたいというものがお客様の最も大きな理由ですが、機能標準として性能保証があるか、機能システムの接続性、また繁忙期などで使いたいという柔軟性などが主なものです。
次に、クラウドコンピューティングに関する政府・業界動向としては、『宣言文』、『ベストプラクティス(CSA)』、『ENISA』、『標準化』などがあります。
「CSA V2」の構成として、ガバナンスと組織のリスク管理や適正法と電子的な証拠の開示、可搬性と相互運用性など12項目が挙げられており、また「ENISA Risk Category」では、ポリシーと組織のリスク、技術的なリスク、法的なリスク、クラウドに依存しないリスク、情報に関する保証的な要求事項などがあります。
更に、国内の政府として、経済産業省情報セキュリティ室ではクラウド・コンピューティングと日本の競争力に関する研究会とか、クラウドセキュリティ制度の検討、また、日本セキュリティ監査協会ではクラウド監査の骨組み・監査基準・保証型監査の適用審議、次世代セキュアプラットフォーム検討会等を行っていたり、総務省でもスマート・クラウド研究会やクラウドコンピューティング時代のデータセンター活性化に関する検討会等を行っています。
因みに、SLAのガイドライン構成として『アプリケーション運用』(サービス稼働率等)、『サポート』(バックアップ方法など)、『データ管理』(バックアップデータ保存期間等)、『セキュリティ』(アクセスコントロール、監査、暗号レベル等)を掲げています。
当社のサービス内容は、昨年から提供しています『オンデマンドポスティング』、加えて『オンデマンドの仮想サービス』を5月からトライアルを開始し、10月から本格運用します。


「サーバー仮想化に必要なセキュリティソリューション」

  • トレンドマイクロ 戦略企画室 統合政策担当部長 小屋 晋吾氏

 他社との差別化・コスト削減、さらに皆が使うからという事で、時代と共にIT環境が変化しています。インターネット初期にはコネクティビティ、そして次世代インターネットでは仮想化を伴ったクラウドコンピューティングになってきています。そして、環境が変われば脅威も変わり、仮想化環境におけるセキュリティ問題として、仮想マシンの移動には危険が伴ったり、仮想マシン間での攻撃、物理サーバで移動するOSやアプリケーションに対する攻撃は同様の仮想システムに対しても全く同等のダメージを与える可能性があったり、被害や仮想システムの増加によるセキュリティレベルの乱れ、漏れなどがあります。その最大の懸念は『セキュリティ』です。クラウドにおけるセキュリティ問題はプライベートとパブリッククラウドでは懸案事項において差が出ます。また、境界線の無いのがサーバセキュリティであり、インターネットでは少し弱く、特に仮想化では全く検知できず、移動する仮想マシンと共に脅威も移動するため全く検知できないほか、仮想マシンの増加による設定漏れなどが発生します。その仮想環境における被害事例として、2009年6月に、イギリスのWebホスティング会社の仮想化を利用したインフラが攻撃され、これは仮想プラットフォームに存在する脆弱性を悪用し侵入することで、総顧客の約半数に当たる10万サイトのデータが損失する被害が発生したものです。そこで、どうするか。サーバを守ることが最適で、クラウド環境のサーバを守る新しいアーキテクチャを構築するものです。一つずつのOSにセキュリティを実装する事を提案します。仮想化=クラウドはコスト削減か、競争力を高めるシステム展開、またはテスト環境を構築するものなどですが、財力が必要です。また、実在するサーバとクラウドサーバが同じネットワーク環境下で混在する期間が生まれますが、その時、つまり仮想化・クラウド時代のサーバセキュリティとして、様々なサーバ環境を統一したセキュリティで守る新しいアーキテクチャを構築するほか、サーバーセキュリティに必要な5つの機能(ファイアウォール、IDS/IPS、Webアプリケーションプロテクション、改ざん検知、セキュリティログ監視)を1つのエージェントに実装することを提案致します。また、マルチなプラットフォーム環境を1つのマネージャで管理することなどは妙案です。


「情報漏洩防止技術の最新トレンド〜クラウドの本格活用を踏まえた上での情報漏洩リスクの効率的管理手法〜」

  • シマンテック コンサルティングサービス本部 プリンシパルコンサルタント 山本 秀宣氏

 当社が世界的に行った「情報漏洩事故を起こした事があるか」としたアンケートによると、『ある』が43%、『ない』は57%でした。その原因のトップは『内部者』で35%、中、ミスが15%、不正は10%、次が『外部者』(全てミス・20%)と『ビジネスパートナー』(20%、中、ミス10%、不正10%)、『業務プロセスの不備』は15%(全てミス)などでした。
また、情報漏洩事故が発生した結果どうなったかというと、『収益の低下』55%、『顧客の信頼性低下/関係悪化』46%、『直接的なコスト』46%、『ブランドの評判低下』43%、『社内データの損失』36%、『訴訟対応のコスト』34%などです。  
 一方、こうしたリスク対応のための導入済み管理策としては『暗号化』が最も多く53%、『データの分類』51%、次いで『ゲートウェイセキュリティ』27%、『アイデンティティ・アクセス管理』27%―などです。また、最新技術にDLP(Data Loss Prevention)技術がありますが、 これは企業システムの情報漏洩ポイントを網羅的に監視し、また企業の機密情報の所在や保護の状態を識別する事で情報漏洩を『見える化』できます。
更に、識別した機密情報に対し、自社ポリシーに基づく“矯正処理”を自動実施したりするため、情報漏洩を未然に防止できます。また、構造化データ、非構造化データ、記述データなど機密情報のケースに合わせ的確に検出します。
そして、DLPシステムの導入事例を見ると、『導入済み』14%、『導入中』18%、『試行中』11%、『計画中』25%などで、『計画していない』は12%。纏めると90%が対策にDLPシステム導入を選択肢に入れている事が読み取れます。この技術はアメリカが先行・普及しており、日本は今年位から各ベンダーが紹介しています。


 ◇ ◇ ◇
  その後、「情報セキュリティ対策が普及しない理由」と題し、東京大学情報システム本部の安東孝二特任講師をモデレータに、経済産業省商務情報政策局情報セキュリティ政策室の黒田俊久課長補佐、(独)情報処理推進機構(IPA)セキュリティセンターウイルス・不正アクセス対策グループの加賀谷伸一郎主幹、下村正洋・ディアイティ社長、GMOホスティング&セキュリティクロスコミュニケーション事業企画室の常名隆司氏、シマンテックパートナービジネス営業本部の安元英行・xSPビジネス営業部長をパネラーにパネルディスカッションを開催した(紙面上、割愛)。
  ◇ ◇ ◇