セミナーメモ　クラウドと情報セキュリティについて　Tweet

update:2010.03.09

セキュリティ普及促進委員会のセミナーでクラウドの情報セキュリティについて聴講してきました。※１

非常に興味深いものでした。セミナーの内容で興味深かったことをとりあげてみました。講演全体を聞かないと理解できないようなセンテンスしか記載できないので、ご質問がありましたらスピーカーの先生ご本人に直接おたずねください。

「ためになった」講演内容のダイジェスト

■ 奈良先端科学技術大学院大学　 山口　英　教授
・クラウドサービスを利用する場合には、これまでの境界防衛モデルの限界となる。ファイヤーウオールによるＤＭＺは、内と外の概念の無いクラウドサービスでは、意味が無い。
・小さな処理能力の小さいデバイスのセキュリティを考えなきゃいけない。ＷＥＢカメラに高価な暗号化装置はコストが合わないので使う人がいないようなもの。
・TRUSTの範囲、自分が信頼をあたえて権限を分けていた時代から、サプライチェーンや知らない人が利用する時代になったこと。

・セキュリティは計測できなければ意味が無い

・古い習慣　＋　古い技術　　＝　予測可能な結末
　古い習慣　＋　新しい技術　＝　劇的に変わってしまう結末

・情報セキュリティ新時代

■華為技術株式会社　セキュリティCTO 何利文（ハーリウェン）氏

・セキュリティのトレンドは、ネットワークとアプリケーションの両極に集約されてきている。
ネットワーク側では、セキュアルーターに機能をもたせ、アプリケーション側には、ＵＴＭに
ファイヤーウオールやＶＰＮ等の機能がよってきている。

・セキュリティの課題
　技術の速さ
　クラウトコンピューティング
　ＷＥＢ志向型アーキテクチャー
　ソーシャルネットワークによる新たな情報交換
　ユニファイドコンピューティング　ＩＭ等
　ビジネス交換

・問題を高める要因

　アウトソーシング
　ビジネスでモバイル　（情報を持ち出してしまう）
　サイバークライム　（大きなマーケット）
　データダメージ、ろうえい
　P2P　シェアリング　
　WEB2.0　（Facebook　などによりウイルスを広める）
　ウイルスコード
　ボットネットの構築
　企業秘密のろうえい
　金融機関の不正、　権限乱用
　Ipv6　（無限に増えることで、検知することが難しくなる）

■マカフィー株式会社　エンタープライズ営業本部　営業開発部　 本橋裕次氏

・マルウエアの増加、特にトロイの木馬ウイルスの増加が著しい。
　2007年　50万
　2008年　220万
　2009年　320万　　セキュリティツールは、これだけの情報を利用しているので速度が問題となっている。

・米国のセキュリティポリシーの改正
　情報通信インフラのセキュリティに対する国家戦略のアップデート
　大統領の主要なマネージメントの優先事項としてパフォーマンスの指標
　サイバーセキュリティ担当官（ハワードシュミット）
　プライバシーと市民の自由を守る
　全国民的にサイバーセキュリティを促進する教育啓蒙
　国際的なサイバーセキュリティ政策の枠組みを開発、国際的協調を強化
・プロセスについて
　縦深防御
　特定の民間企業でも受け入れる
　プライバシーの重視

・ Google、Yahoo!、アドビ等30社の有数の企業への不正侵入によりソースコードが奪われる事件が起こった。

・ＩＥの脆弱性を利用　ゼロＤＡＹ攻撃（初めての攻撃）

・どんなにセキュリティを強化しても、狙われると逃れることができない。

■株式会社セールスフォース・ドットコム
シニアプリンシパルアーキテクト
セキュリティ＆インフラストラクチャースペシャリスト 内田 仁史氏

・クラウドサービスを選ぶ際の機密性、保全性、可用性、監査性の確認が必要。

・機密性：スペックチェック、物理セキュリティチェック、システムセキュリティチェック、サービス事業者の内部漏洩対策、利用ユーザーの内部漏洩対策サービス機能

・保全性：段階的な方法がある。

・可用性：システムインフラがどうか、ネットワークのパフォーマンスや国、サービスの監視、サービスレベル

・監査性：ベンダーの情報開示、第三者認証をとっているのか

■日本アイ・ビー・エム株式会社
Security & Webプラットフォーム, 日本IBM 東京基礎研究所次長 浦本 直彦氏

・医療情報システムの安全管理に関するガイドラインにも外部サービスを検討する際のことが定められている。

■株式会社シマンテック　 コンサルティングサービス本部 プリンシパル コンサルタント 山本秀宣氏

・全世界の調査で、情報流出をしたことがあると気がついている企業　４３％。気がついていないものを含めれば８０％くらいあるかもしれない。
・事故の原因
　外部者　２０％　（不正２０％）
　内部者　３５％　(不正１０％）
　ビジネスパートナー　２０％　（不正１０％）
　業務プロセス不備　１５％

・事故の結果
　収益の低下　
　顧客の信頼低下　
　直接的なコストへの影響
　ブランドへの影響
　データの損失
　訴訟対応コスト
　公的な罰金
　生産性の損失
　事故発生後の法規制の対応コスト
　株の下落

・情報漏えいの対策は、機密性の確保をいかに実践するか。セキュリティ管理策は、人が運用している。

・ＤＬＰ技術の製品は、世界各国で導入や検討がすすめられている。

～～

セミナーを受けてみて、情報資産がクラウドの利用によって、便利になるとともにセキュリティが難しくなってきている。そして、それを狙う脅威は、想像よりも巨大だ。セキュリティに対する認識を新たにして取り組まないと大変なことになるかもしれない。

※１
開催概要
名称 情報セキュリティセミナー
～企業における情報セキュリティ対策の課題と今後の方策～
日時 2010 年 3月 9 日 ( 火 ) 13：00 - 17：50 （受付開始：12:00） 　
会場 ホテル日航 東京 1F 大宴会場 ペガサス
主催 セキュリティ普及促進委員会
（株式会社シマンテック、トレンドマイクロ株式会社、マカフィー株式会社、独立行政法人情報処理推進機構、
経済産業省）
運営
参加対象者 一般企業や官公庁・自治体等公共団体のIT管理者及び情報セキュリティへの関与がある方
参加費 無料（事前登録制）
定員 700名　

プログラム
13:00‐13:10 ご挨拶　　経済産業省　審議官（商務情報政策局担当）　富田 健介氏
13:10‐13:40 基調講演「我が国の情報セキュリティの今後の課題と対応」
奈良先端科学技術大学院大学　 山口　英　教授
13:40-14:10 特別講演「Creating value by security in China market」<通訳あり>
華為技術株式会社　セキュリティCTO 何利文（ハーリウェン）氏
14:10-14:40 「米国のサイバーセキュリティについて
オバマ政権下のサイバーセキュリティ政策及び民間企業の対応」
マカフィー株式会社　エンタープライズ営業本部　営業開発部　 本橋裕次
14:40-14:55 休憩
14:55-15:55 特別講演 「セキュアクラウドの賢い選び方」

株式会社セールスフォース・ドットコム
シニアプリンシパルアーキテクト
セキュリティ＆インフラストラクチャースペシャリスト 内田 仁史氏

日本アイ・ビー・エム株式会社
Security & Webプラットフォーム, 日本IBM 東京基礎研究所次長 浦本 直彦氏

富士通株式会社
セキュリティソリューション本部
情報セキュリティセンター長兼クラウドセキュリティセンター長 塩崎 哲夫氏
15:55-16:25 「サーバー仮想化に必要なセキュリティソリューション」
トレンドマイクロ株式会社 戦略企画室　統合政策担当部長 小屋　晋吾
16:25-16:55 「情報漏えい防止技術の最新トレンド
クラウドの本格活用を踏まえた上での情報漏えいリスクの効率的管理手法」
株式会社シマンテック　 コンサルティングサービス本部 プリンシパル コンサルタント 山本秀宣
16:55-17:05 休憩
17:05-17:50 パネルディスカッション
「情報セキュリティ対策が普及しない理由」
モデレータ： 東京大学情報システム本部特任講師　安東 孝二 先生
パネリスト：経済産業省　商務情報政策局　情報セキュリティ政策室長　山田 安秀 氏
　　　　　 　 独立行政法人　情報処理推進機構　セキュリティセンター　主幹　加賀谷 伸一郎 氏
　　　　　 　 株式会社ディアイティ 代表取締役社長　下村 正洋 氏
　　　　　 　 GMOホスティング&セキュリティ株式会社 クロスコミュニケーション事業企画室　常名 隆司 氏
　　　　　 　 株式会社シマンテック パートナービジネス営業本部 xSPビジネス営業部長　安元 英行 氏