ITpro Special
週間WEEKLY ITpro Special ITpro

情報セキュリティ戦略セミナー:総論


情報セキュリティ対策は、もはや「技術部門の問題」として片づけることはできない。現に総務省は「重要な経営課題の1つ」と表明している。とはいえ“進化”を止めない企業への攻撃手法や、ゼロに抑えるのは「ほぼ不可能」な漏えいリスクなど、課題は山積している。企業は、企業人はこの問題にどう立ち向かうべきか。


□CONTENTS□
■PART1■サイバー攻撃対策最新技術
デロイト トーマツ リスクサービス 代表取締役社長・丸山満彦氏
サイバー大学 教授・園田道夫氏
JPCERT コーディネーションセンター 早期警戒グループ 技術アドバイザー・満永拓邦氏
■PART2■情報漏えい対策
弁護士法人 英知法律事務所 弁護士 国立情報学研究所客員教授・岡村久道氏
藤沢市 総務部参事 兼 IT推進課長・大高利夫氏
■PART3■モバイル&クラウド&IoTセキュリティ
ラック サイバーグリッド研究所 チーフ・渥美清隆氏
■PART4■人材育成&組織&マネジメント強化
大成建設 社長室情報企画部 部長 (担当)Taisei-SIRTリーダー・北村達也氏

■関連リンク■サイバー攻撃対策最前線より
(記事タイトルをクリック)

機械学習による“DNA鑑定”で判別する高精度なマルウエア検知
株式会社日立ソリューションズ
クラウドと連携、複合的な手法で未知のマルウエアを防ぐ
株式会社インテック

デロイト トーマツ リスクサービス
代表取締役社長
丸山満彦氏
サイバー攻撃は「チームで守る」
多層防御で予防と発見の融合を

デロイト トーマツ リスクサービス
代表取締役社長
丸山満彦氏

 サイバー攻撃対策は今や、国が「経営課題」と認める、企業の重要なリスク管理の1つである。「今後は侵入を前提とした、『多層防御』の仕組みが不可欠。抑止のための『予防的対策』と被害軽減のための『発見的対策』のバランスを考えたリスクマネジメントが必要」とデロイト トーマツ リスクサービスの丸山満彦氏は訴える。

 そのためにはシステム要件、ビジネス要件、法的要件を包含した全社的な体制を整備し、人材教育にも力を入れ「チームで守る」という考えに変えていく必要がある。「攻撃に関する技術や最新動向を理解し、新しいセキュリティ技術を検証・活用することで対策の自動化も推し進めていく。これが、サイバーセキュリティの王道なのです」(丸山氏)。


■デロイト トーマツ リスクサービス■
http://www.deloitte.com/jp/dtrs


サイバー大学
教授
園田道夫氏
機械学習で挑む
データ大量化時代のセキュリティ

サイバー大学
教授
園田道夫氏

 デジタル化による「大容量時代」到来で、データは“人知”だけで守り切れなくなった。サイバー大学の園田道夫氏は「機械学習の活用を考えるべき」と訴える。例えばマサチューセッツ工科大学開発の「AI Squared」は、サイバー攻撃が85%検知できるという。“実戦配備”も現実味を帯びてきた。

 ただし機械に学習させるための“基準”は人が設定する。「検知精度を高めるには解析モデルの情報公開と、多くの人による検証が大切」(園田氏)。取り組みの継続が、人知を超える次世代セキュリティの可能性を高めていく。


■サイバー大学■
http://www.cyber-u.ac.jp/


JPCERT コーディネーションセンター
早期警戒グループ 技術アドバイザー
満永拓邦氏
セキュリティ対策は経営の問題
対応体制の事前準備が求められる

JPCERT コーディネーションセンター
早期警戒グループ 技術アドバイザー
満永拓邦氏

「インシデントへの対応でもっとも重要なのは、インシデント発生を想定した事前準備です」と語るのはJPCERTコーディネーションセンターの満永拓邦氏。同所に報告されたインシデントは、2015年度の1年で1万7324件。

「経済産業省が公開した『サイバーセキュリティ経営ガイドライン』に、サイバーセキュリティ対策は経営問題と明記されている通り、情報漏えい等のインシデントは企業や組織にとって看過できないリスクとなっています」(満永氏)。事前準備のポイントは対応体制を決めておくこと。まずは発生を想定して“避難訓練”を関係者で始めよう。

■JPCERT コーディネーションセンター■
https://www.jpcert.or.jp/



弁護士法人 英知法律事務所
弁護士 国立情報学研究所客員教授
岡村久道氏
猶予は1年もなく、待ったなし
改正個人情報保護法への対応

弁護士法人 英知法律事務所
弁護士 国立情報学研究所客員教授
岡村久道氏

 英知法律事務所・岡村久道氏は来る2017年秋に施行予定の「改正個人情報保護法」の改正点および、同法が定める安全管理措置義務にかかわる情報セキュリティ上の留意点などを紹介。

 今回の個人情報保護法は、ICTの飛躍的な進歩による環境の変化への対応を見据えたものだ。指紋認証や顔認証など「個人識別符号」にかかわる規定や、ビッグデータ活用などに供する「匿名加工情報」の作成と安全管理措置に関する基準なども盛り込まれている。「改正点を理解し、法が事業者に対して求めるコンプライアンスとセキュリティ対策の整備を、来春までに完了させておくことが肝要です」(岡村氏)。


■弁護士法人 英知法律事務所■
http://www.law.co.jp


藤沢市
総務部参事 兼 IT推進課長
大高利夫氏
マイナンバー制度で強化は急務
自治体のセキュリティ対策の勘所

藤沢市
総務部参事 兼 IT推進課長
大高利夫氏

 神奈川県藤沢市は情報セキュリティ対策にいち早く取り組んできた自治体の1つ。内閣官房「NISC重要インフラ専門調査会」など数々の委員を務めてきた大高利夫氏は、庁内ネットワークからのインターネットの分割による情報セキュリティ強靭化モデルの構築をはじめとする技術面での対策と並び、CISOの設置とCSIRTの強化という人的なセキュリティ対策の重要性を説く。

「情報セキュリティポリシーを策定していても、遵守しているかチェックしている自治体は多くないと思います。藤沢市では10年以上、確認を続けています。基本的なことを確実にやり続けることが大切です」(大高氏)。


■藤沢市■
https://www.city.fujisawa.kanagawa.jp


ラック
サイバーグリッド研究所 チーフ
渥美清隆氏
IoTシステムは企画段階で
運用時に存在するリスクの評価を

ラック
サイバーグリッド研究所 チーフ
渥美清隆氏

 ラックの渥美清隆氏は、IoTシステムにおけるセキュリティ対策のあるべき姿を解説。IoTの領域ではメモリやネットワークのリソースが限られるため、ITシステムの対策をそのまま適用するのは困難だ。システムを企画する段階で、運用時に存在するリスクを評価しておくことが重要。それに対し管理策を講じるかリスクを受容するかを決め、問題が発生した際の被害を最小限にする手順を策定する。

「問題の早期発見に必須なのがログの採取。センサーデータに加えデバイスのステータスをクラウド側に定期的に通知するなどIoTシステムの特性に合わせ、確実にログが確保できる仕組みの構築を心がけてください」(渥美氏)。


■ラック■
http://www.lac.co.jp



大成建設
社長室情報企画部 部長 (担当)Taisei-SIRTリーダー
北村達也氏
「消防団的」な組織内CSIRT設置
有事にはCRO指揮下で対応

大成建設
社長室情報企画部 部長 (担当)Taisei-SIRTリーダー
北村達也氏

 組織内CSIRTを設置する企業が増えている。大成建設もその1社。Taisei-SIRT(T-SIRT)はIT部門である情報企画部と子会社の大成情報システムで運営する仮想的な組織。同社の北村達也氏は「消防署のような常設組織ではなく、消防団のような組織」と表現する。

 大成建設はCRO(最高リスク管理責任者)を置き危機管理に取り組む。情報セキュリティ対策はその一環として進め、T-SIRTは平時には業務として電子情報管理施策の改善、社外からの脆弱性情報入手などに取り組み、有事にはIT部門長がCRO事務局に加わり対応する。「ITサービスの責任は自社にある。会社を守るという意思とそれを実現するスキルが大切です」(北村氏)。


■大成建設■
http://www.taisei.co.jp




協賛(ロゴをクリックすると各社・サービスのサイトが閲覧できます)
■ゴールド協賛■



■シルバー協賛■











■ブロンズ協賛■