ASP・SaaSナビTOP > コラム > 『Security Online Day 2017』~「情報セキュリティ・マネジメント 再考~ビジネス成長のためのサイバーセキュリティ強化策~」~

『Security Online Day 2017』~「情報セキュリティ・マネジメント 再考~ビジネス成長のためのサイバーセキュリティ強化策~」~

【クラウド見て聞きある記(その187)】
平成29年9月12日に、御茶ノ水駅近くのお茶ノ水ソラシティカンファレンスセンター開催された、株式会社翔泳社主催の年次カンファレンス“『Security Online Day 2017』~「情報セキュリティ・マネジメント 再考~ビジネス成長のためのサイバーセキュリティ強化策~」~”に参加した。

DSC_2708_20171206_colm.JPG

最近は、生き残りをかけて「デジタル革命」に取り組む企業が多くなり、バズワードとして“デジタル・トランスフォーメーション(DX)が使われるようになってきた。

このDXを進める為には、高度な情報技術を使うことが求められ、多様なテクノロジーやサ―ビス等を活用する事になり、結果としてサイバー攻撃に晒される事になる。

また、IoTの出現により繫がるデバイスの爆増や、ネットワーク経由の接続の増加もあり、サイバー攻撃に対する関心も急速に高まってきている。

最近では、サイバー攻撃に対する対策を疎かにした場合、ネットワークを介してサプライチェーンが繫がっているため、自社のみならずネットワークで繋がっているサプライチェーン内の、他社への影響を及ぼす可能性もあり、企業責任として重要課題として取り組む必要があり、その認識も急速に広がってきている。

また、セキュリティ対策については、技術的な対策だけでは十分とは言えず、セキュリティ担当部門は、完全防御は難しく(莫大な投資等が必要)インシデント発生を前提にして、被害拡大を最小限に抑えるために、全社員に対する教育の実施や、運用・体制面を積極的に整備し、日頃からのセキュリティ対策の為の活動を推進していく必要もある。

これらの現状を踏まえて、セキュリティインシデントやその対応策、及び事例等の最新情報を入手する為に参加した。

イベントは、2トラックで各々基調講演と特別講演×2、協賛企業講演×5セッションが行われ、最後に特別講演が行われた。(計17セッション)、9セッションに参加したので、その概要について報告する。

Ⅰ.基調講演
“2020東京オリンピック・パラリンピックに向けたセキュリティ対策~サイバー攻撃防御における情報共有の価値~“と題し、日本放送協会 情報システム局/ICTーISACーJAPAN事務局次長 熱海 徹氏から講演があった。

セキュリティ対策を始めたキッカケ、エラーとして多いヒューマンエラーの原因、セキュリティ機器の性能、制御システムにおけるセキュリティリスク、有効なセキュリティコントロールについて、リスクマネジメントとは、防御側が有利になる方法、ISACの必要性と機能、今後の対策等についての話があった。実践の最前線の話しであり聞き応えがあった。

Ⅱ.特別講演
特別講演については、午後の2トラックのセッションで各々2セッションと最後(1トラック)が行われ、3セッションを聴講したので、その概要を報告する。

1.特別講演1
“企業の実践者たちが語る、IoT時代のセキュリティ対策における課題〜自動車・医療分野を中心に〜“と題し、パネルディスカッションが行われた。

パネラーとして、トヨタ自動車株式会社 情報セキュリティ推進室 主査 古田 朋司氏、株式会社ディー・エヌ・エー システム&デザイン本部セキュリティ部 部長 茂岩 祐樹氏、医療法人鉄蕉会 最高情報責任者 中後 淳氏、元ヤマハ発動機 プロセス・IT部 主務/日本シーサート協議会 運営委員/現ラック セキュリティコンサル部 エバンジェリスト 原子 拓氏、モデレータとして、明治大学ビジネス情報倫理研究所 客員研究員 守屋 英一氏で、“医療機器や自動車を中心に安全・安心のIoTを作るために”と題し、パネルディスカッションが行われた。恒例で内容については省略。

2.特別講演2
“積み重ねるだけの多層防御の見直し”と題し、S&J株式会社 代表取締役社長 三輪 信雄氏から講演があった。

ランサムウェア“WannaCry”への対応について、ワーム対応から見えるCSIRTの課題、マルウェア対策、多層防御の見直し、セキュリティ対策のバランスについて、インターネットの分離について、最も危険なのに対策が難しいメール、セキュリティ設計について、サイバーセキュリティガイドラインと新版について、等の話しがあった。

3.特別講演3
“データの利活用とニッポンの課題(仮)”と題し、パネルディスカッション方式で講演が行われた。

演題に(仮)が付いていたが、話は昨年に続き“まんぼう”の話しが中心に。“まんぼう”は“万引き防止”の略で、万引き被害を防止する為に、万引き常習者のDBを作ると、どの様な問題が発生するか?等について個人情報保護等の観点からその道の専門家から意見を出され、討論が行われた。

参加者は、新潟大学 法学部 教授 鈴木 正朝氏、独立行政法人産業技術総合研究所 セキュアシステム研究部門 主任研究員 高木 浩光氏、イレギュラーズアンドパートナーズ株式会社 代表取締役 山本 一郎氏、ひかり総合法律事務所 弁護士 板倉 陽一郎氏。中々ユニークな内容で興味深く聞く事が出来たが、少し気になる事も!あり。

Ⅲ.協賛企業講演(ソリューション講演)
協賛企業5社から製品やソリューション、事例等についての講演があった。内容が多岐に渡るためタイトルとポイントのみについて報告する。

1.協賛企業講演1
“サイバーセキュリティ経営ガイドラインとセキュリティ”と題して、S&J株式会社 コンサルティング部 部長 上原 孝之氏から講演があった。サイバーセキュリティ経営ガイドラインの概要と技術的対策等についての話があった。

2.協賛企業講演2
“真の次世代アンチウイルスとは”と題し、株式会社ネットワークバリューコンポネンツ プロダクトマーケティング部 佐藤 佑樹氏から講演があった。

EPPとEDRの両方の機能を持つ“cb Defence”の話があった。ストリーミングブリベンションが鍵!

3.協賛企業講演3
“システムを設計する時からセキュリティを組み込むSecurity by Design”と題し、デロイト トーマツ リスクサービス株式会社 パートナー 北野 晴人氏から講演があった。

“Security by Design”により設計・開発段階でセキュリティ対応を組み込む事を考える必要がある、との話しであったが、設計標準化等を行いプロジェクト内への徹底が必要と思った。

4.協賛企業講演4
“既存対策ではもう限界! 近年の標的型攻撃や無差別型攻撃をどう防ぐ?”と題し、株式会社FFRI 執行役員 事業推進本部長 川原 一郎氏から講演があった。振る舞い検知エンジンを搭載した“FFRI Yarai”の機能の説明、ハイブリッド防御等についての話があった。

5.協賛企業講演5
“CybersecurityもAs A Serviceの時代”と題し、EYアドバイザリー・アンド・コンサルティング株式会社 サイバーセキュリティー CoーLead パートナー 藤井 仁志氏から講演があった。

協業先のLos Alamos社の、CaaS(Cyberas a Service)Framework等についての話があった。
Ⅳ.全体的な感想
サイバー攻撃の多様化に伴い対応策も多様化してきており、今回のセミナーでも新しい対応技術を知る事が出来、改めてセキュリティインシデント対応の奥の深さを感じた。

また、セミナーや展示会に於いて、標的型攻撃やランサムウェア等に対して、パターン認識やAI等を駆使して”対応可“や”完全対応“をうたった製品やサービスが出ているが、攻撃者の動きを見ると、“完全”という対応(検知)は難しく、多層防御やネットワークの分離、バックアップの採取等が必要な事には変化はないようだ。

セキュリティ対策については、被害をゼロにする事は、費用面や運用・利便性等を考えた場合難しく、何を・どこまで・どう守る必要があるかを考え、最終的に投資できる費用と相談して企業として対応策を決める事が重要だと思う。

ただ、毎回書いているが、攻撃の多様化や大幅な増加に対応する為、対応の為の製品やソリューションの数も非常に増加しているため、それに伴い、製品やSI費用、運用費用も大幅に増加し、中小企業での対策が益々難しくなって来ているように感じている。

クラウド活用拡大のためには、セキュリティ対策は必須であり、何らかの対策が必要なことには変化は無く、セキュリティベンダーにも是非優先課題として取り組んで貰いたい。

 

コラム著者紹介
 
 
HNコンサルティング代表
永松 秀通 (ながまつ ひでみち)

アクセスランキング 総合


業種別メニュー

サービス別メニュー


このページのTOPへ