(ISC)2コングレス参加報告

24日からシカゴで開催されていた(ISC)2 Congress に参加してきました。このイベントは、ASISという古くから物理的なセキュリティを含めて取り組んでいる団体のイベントと共催されているものです。どちらかといえば、60年近い歴史のあるASISの存在感が大きなイベントで、かなり大規模な展示会も、監視カメラやセキュリティゲート、はては防弾チョッキといった物理セキュリティ（警備）関係の製品が大半を占めています。しかし、こうした製品も、最近ではコンピュータ制御され、IPネットワーク、さらにはワイアレス接続されていて、我々、サイバーサイドのセキュリティ屋としては、一抹の不安を覚えるのも事実です。この2団体が協力関係に至った理由の一つがそういうことなのだろうと思います。

今回は、標的型攻撃やマルウエア関連のセッションを中心に聞きましたが、だんだん、こうした攻撃への対応事例が詳しく語られるようになってきています。実際、その対応はなかなか大変なもので、数万人の利用者がいるActive Directoryのシステムをすべて再構築したりと、リカバリのためのコストも相当なもののようです。ウイルス対策ソフトでも検出できず、派手な動きもしないマルウエアが、内部に入り込んでしまった場合、それを発見することも簡単ではありませんが、とりわけ高度な技術を扱う企業や重要インフラ企業などでは、様々な角度から対応を求められる状況になってきていると思います。最終日のパネル（上の写真）でパネリストがみな危惧していたものに、株式市場などへの不正介入がありました。取引時や証券会社のシステムがターゲットにされ、市場が混乱することで、経済に多大なダメージを与える可能性があります。

今回は割と具体的な事例の話なども聞くことができ、貴重な経験でした。なかなか日本では、こうした具体的な話を聞くことができるイベントやベンダーから独立したイベントで、かつマネジメントも含めて全体をカバーしてくれるものがないのが残念です。日本でもこうしたイベントが増えるといいのですが。

ということで、コンファレンスのあとは夕暮れのシカゴの街を夜景を見ながらあるいていました。

CSA APAC Congress / Cloud ASIA 参加報告

ちょっと遅くなってしまいましたが、先月下旬にシンガポールであった、Cloud ASIA と同時に行われたCSA（Cloud Security Alliance） Asis-Pacific Congress のトピックスをいくつか書きたいと思います。

５月１３日の羽田発夜行便で早朝にシンガポールに到着。それから、CSA APACリージョンのリーダーシップミーティングに参加しました。これは、Congressの前日に、CSA APACの各支部の代表が集まったもので、各支部の活動紹介や今後のAPACの活動の方向などの議論がありました。

現在、CSAとしては、OCF(Open Certification Framework）というクラウド事業者のセキュリティ・ITガバナンスに関する業界主導の認証制度の確立に向けて活動を進めています。これは、CSAがリリースしているCCM(Cloud Control Matrix）をベースとしたもので、現在、事業者の自己評価を公開登録する制度として機能しているSTARをさらに進めて、第三者監査と認証の制度にし（STAR Level2）さらに、それを継続的にモニタリングしていくという三段階の階層からなります。CCM自体は、クラウド事業者に必要なセキュリティ上の要求事項をISO/IEC27001やPCIDSS, FISMAといった様々な国際、業界、政府標準とのクロスリファレンスとして定義し、さらにクラウド固有の問題を追加した形となっています。従って、既にこうした既存の認証を取得済みの場合、STAR Level2認証はその差分についてのチェックのみでよくなるという利点があります。

現在、アジアでも一部の国の行政機関や地方政府などで、クラウド利用者側からの要求事項としてこれを採用する検討が行われており、CSA　APACとしても、今後、プロモーションを強化していく方向にあるようです。

ただ、世界的に見ても、この動きはまだ始まったばかりで、今後、CSA全体としての認知度向上や、現在、クラウドを意識して策定されているISO/IEC 27017やサプライチェイン管理でのクラウド固有の問題を規定するISO/IEC 27036 Part4、その他 ITU-Tなどの国際標準化活動との折り合いをどうつけていくかなど、まだまだ課題が多いのが現状と言えそうです。特に、日本に置いては、ISO/IEC 27017を重視する動きが強く、これとうまく統合できていくことが、普及の条件と言えるでしょう。ただ、CSAもそのあたりは十分意識していて、これらの標準化の場にキーパーソンを送り込んでいます。そのため、遠からず、こうした国際標準との整合は取れていくだろうと思います。あとは、各国で立ち上げられようとしている同種の認証制度との競合が大きなもんだとなりそうですが、このあたりは、うまく相互認証とか互換性の確保ができればいいのですけどね。こうした部分は、各国の支部や地域の努力だけでなく、CSA全体として大きな枠組みを作っていかなければいけないでしょう。

翌日のCongressでは、日本のセキュリティ監査協会から永宮事務局長が登壇し、現在日本で考えているクラウド監査制度の枠組みについて紹介されていました。それを最前列で聞いていたのが、CSAのOCFを統括している Daniele Cattedduでしたので、彼らもこのあたりは多いに関心を持っているということでしょう。講演終了後、Dannieleと永宮さんを引き会わせて少し議論をしてもらいました。今後、CSA日本支部とJASAで、あれこれ調整を進めていく上で有意義な議論だったのではないかと思います。

その翌日に、今度は DanieleがOCFのプロジェクト紹介をやったのですが、以下がCSAが関与している国際標準化活動のスライドです。

その他のトピックとしては、Trend MicroのKen Low（CSA APAC Exective CouncilのChair）のプレゼンで、こんなスライドが出てきたことなど。

いわく、ウイルス対策ソフトを正しく運用していても、実際９０％の組織が、内部にマルウエア感染したPCを持っているという話。対策ソフトベンダ自身からこうした話が出てくるというのは時代が変わったなという印象です。それだけ、脅威が複合化し、単一のソリューションではもはや対応が難しくなっているということなのでしょう。

Cloud ASIAの最後のセッションでは、クラウド利用についてのパネルディスカッションがあり、ここにはCSAのFounderであるJim Reavisもパネリストとして参加しました。パネリストは、どちらかといえば、クラウド推進派ばかりでしたが、モデレーターがあれこれ鋭い質問を投げかけて、場を湧かせていたのが印象的です。会場からの質問なども総合して考えると、アジア各国でも、ITガバナンスとセキュリティ問題にユーザの関心が集中しているようです。ここにきちんとした答えを出し、それを保証していく枠組みが、やはりクラウド普及の鍵となっていくのでしょうね。

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル

検討委員として協力させていただいた「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」がIPAさんよりリリースされました。

とりわけモバイルデバイスでは、紛失・盗難などの際に暗号化による保護が有効とされていますが、どのような暗号方式をどのように使えば安全だと言えるのか、という点についての具体的なマニュアルがありませんでした。

こんかいのマニュアルは、そうした具体的な内容を提供するための物です。より保護レベルの高い暗号利用に役立てていただければと思います。

IPAプレスリリースへ

Infosecurity Europe 2013に参加しています

現在、ロンドンで開催中のセキュリティイベント Infosecurity Europe 2013 に参加しています。このイベントは、日本で言えばセキュリティEXPOのような、実質的に入場無料の展示会主体のイベントですが、キーノートやテクニカルセッションなどが有料コンファレンス並に充実しているので、そちらを目当てにやってきました。

昨日のキーノートセッションの冒頭では、政府の内閣府担当相がスピーチするなど、政府としてもセキュリティ強化に力を入れていることがうかがえます。たとえば、政府機関であるBIS（Department of Business Innovation & Skills）がPWCに委託して行ったセキュリティ事故調査レポートはなかなか面白い内容で、そのサマリーを紹介するセッションなどもありました。このレポートは、以下の政府サイトから入手できますので、英文ですが一読されるといいでしょう。

このレポートの中でも述べられていますが、標的型攻撃の対象が、従来の大企業から、有望な技術を有する中小企業にも広がってきているようです。そうした傾向を受けて、英国政府は、サイバー攻撃情報共有の枠組みをこうした中小企業にも広げつつあります。このあたりの状況はおそらく日本でも同じだと思われるので、とりわけ人的にも資金的にも乏しい中小企業をどう守っていくのか、行政が早急に考えていくことが必要だろうと思います。いわゆるSIやセキュリティ企業は、あまり儲けにならない、こうした会社を無視する傾向があります。残念なことですが、ここは行政の出番でしょうね。

UK（ロンドン）に行って来ます

今月２３日～２５日にロンドンで開催される Infosecurity Europe に参加するため、来週、一週間不在となります。

このイベントは、展示会主体の無料イベントではありますが、キーノートやワークショップが充実しており、なかなかお得なイベントみたいです。CSA（Cloud Security Alliance）のワークショップも開催され、CSAが現在進めているクラウド事業者のセキュリティ認証制度（STAR Level2）とその枠組みであるOCF（Open Certificate Framework）についての話が中心のようですので、また内容はフィードバックする予定です。

＃ついでに、初ロンドンの観光も・・・・（笑）こちらでも、来週マラソン大会があるので警備は厳重だと思いますが・・・

COMPUTERWORLD連載最終回が公開されました

COMPUTERWORLD Webに執筆中の連載記事の最終回

第４回「セキュリティをITの価値に変える」

が公開されました。セキュリティ対策は、ともすれば「コスト」とされがちですが、考え方次第で「価値」に変わると考えています。とりわけITにおいては、セキュリティはIT活用における価値創造の一部にほかなりません。IT部門やCIO自身がこうした感覚で取り組むことで、セキュリティを兼ね備えたITのビジネス活用ができるはずです。お読みいただき、ご意見を頂戴できれば幸いです。

このところの活動サマリー

しばらく、ブログ更新が止まってしまいました。４月に入り、多くの会社では新しい年度がスタートしました。今年に入ってから、遠隔操作事件の容疑者逮捕や、韓国へのサイバー攻撃など、情報セキュリティの世界でも様々な動きが続いています。

ちょっとご無沙汰してしまったので、このところの私の動きをまとめておきます。

・COMPUTER WORLD Webへの新連載執筆

IT部門におけるセキュリティへの取り組み方、という視点での記事です。ちょっと辛口に書きました。様々な新技術が、昨今ではコンシューマから流行を始め、それがビジネスにも必要な物になるという流れが続いています。そのような中で、IT部門からは、現場が先に使い始めてしまって統制が取れない、というため息交じりの声が聞かれます。しかし、これはビジネス現場からすれば、当然のことのように思えます。むしろ、IT部門が世の中に後れを取ってしまっているのかもしれません。ビジネスにおけるITとIT部門の位置づけを見直し、ITがビジネスに先手を打って寄与できるようにしていく必要があるのだろうと思っています。それは、リソースの配分も含め、経営層の考え方を変える、という問題なのかもしれません。そうして初めて、セキュリティも必要なITの一部として考えられるようになるのだと思います。そんな切り口から書きました。現在、最終回を執筆中です。

・JNSA会報誌への寄稿「セキュリティを面で考えてみよう」

我々、情報セキュリティ技術者や専門家は、ともすれば自分たちの立ち位置から物事を見てしまいます。ですが、実は、その視点を変えると見え方も変わる事柄が意外と多いのです。こうしたことを、いくつか例を挙げて書いたのがこの記事です。


・RSAコンファレンスとCSAサミットへの参加

２月下旬にサンフランシスコで開催されたRSAコンファレンスとそれに先だって開催されたCSA(Cloud Security Alliance）のサミットに参加してきました。米国では、マンディアントのAPT1に関するレポート発表以来、様々な動きが出ています。たとえばオバマ大統領が署名した大統領令には、サイバー攻撃対策に関する様々な対応が、期限を切った形で書かれています。また、政府横断の枠組みや、個々の対応を行うべき組織なども明記されていて、その意気込みや危機感が伝わってくる内容となっています。こうした中で、官民連携と情報共有の枠組み作りも進んでいて、NCFTAのような組織も活動を強めているようです。講演の中で印象的だったのが、こうした組織に加わっているFBIのような捜査機関が、民間に対して、必要な情報を積極的に提供していくということを明言していたことでした。これまで機密扱いにしていたような情報も、一定の条件のもとで開示できるような枠組みを作っていく、というものです。米国では、DHS（国土安全保障省）が、こうしたサイバー攻撃対策を主導していますが、これを軸に、捜査機関や軍関係なども含めた連携で民間に対して、様々な支援をしていこうという動きになっています。（米国では、こうした機関が高度な専門要員をかかえて、官民連携でも指導的な動きができるところが、なかなか日本が真似できない部分ですが・・・）そんな感じですので、RSAコンファレンスでも、そうしたサイバー攻撃や大統領令にからんだ話などが中心になっていました。米国のセキュリティベンダはこうした国の動きを千載一遇のチャンスととらえて、みんなそちらの方向へ舵を切りつつあるようです。新しいソリューションやサービスも、どんどん出てきそうですが、そうしたものの中には、米国だから使える、といったものも少なくありません。米国では、専門家が、行政機関や、IT/セキュリティベンダ、一般のITユーザ企業などに広く雇用され、またそれらの間での人の行き来も盛んであるため出来ることも多いのです。一方日本はと言えば、専門家がIT企業・ベンダーに偏在してしまっています。この違いを意識しておかないと、米国発の枠組みは日本では機能しません。個人的には、もっと専門家が広く雇用され、米国のような形になればいいと思っています。

CSAは、今年の活動の力点を、クラウド事業者の認証制度（STAR　レベル２）立ち上げに置いているようです。これまで、STARはCSAが提供する自己評価基準に基づいた自己評価の公表のための枠組みでしたが、今後、これを外部審査を伴う認証制度にしていこうという動きです。CCM（クラウド・コントロール・マトリクス）は、クラウドに必要なセキュリティの要件を、他の複数のセキュリティ規格の内容との関連を含めて記述したものですが、これをベースとして、現在、審査機関選定のための枠組み作りを行っています。今年後半には制度のスタートを予定しているようです。クラウドセキュリティガイダンスやCCMは現在のところ、CSA独自のものですが、こうした規格を国際的に標準化するISOなどの場にも、CSAはメンバーを送り込んでいて、かなり大きな存在感を持っています。そういう意味では、現在標準化作業が進んでいるISO27017（クラウドのセキュリティに関する規格）やISO27036（ITサプライチェーンマネジメントの規格）などの標準化に、CSAは大きな影響を与えていく可能性が高ですし、また逆にこうした標準化の場で議論された内容が、CCMなどにフィードバックされてくる可能性も高いだろうと思います。これらの動きは、引き続き注視していく必要があるでしょう。


さて、新しい年度はどのようなことになるのでしょう。日本でも、よりよい形での官民情報連携が出来ていくことを期待したいと思っています。

新年あけましておめでとうございます

２０１３年がはじまりました。いきなり、農水省のウイルス感染やら遠隔操作事件の犯人からの新たなメールなどが話題になっていて、今年も（不遜かもしれませんが）退屈しない一年になりそうです。

昨年は、外国人による内部情報持ち出し事件あたりから始まって、霞ヶ関界隈、政党関連などを標的にしたサイバー攻撃、データセンタの大規模障害事故、領土問題にからんだサイバー攻撃、そして、大きな話題になった「遠隔操作」事件、それに隠れてあまり大きくは扱われなかった、ネットバンキングを標的とした暗証詐取ウイルス（これが、一番面倒な事件だったような・・・）やスマホ不正アプリ問題など、列挙にいとまがありません。また、あいかわらず、個人情報などを扱うサイトの脆弱性が放置されていて、そこから大量の個人情報が流出するといった状況も続いています。

一方で、サイバー犯罪とサイバー戦争（インテリジェンス）が混同され、後者に関する海外動向をもとに、偏った政策を進めてしまいそうな雰囲気も見え隠れしています。たしかに、事象だけを見れば前者と後者の差異はあまり大きくありません。ただ、少なくとも前者に対する対策ができないようでは、後者の対応などおぼつかないという点は強調していきたいと思っています。前者で最も重要なことは、何度も書いていますが、IT界全体でのセキュリティ底上げです。IT現場のそれぞれの分野で、最低限のセキュリティを基礎として位置づけなければ、どれだけ高度な対策も人材育成も砂上の楼閣になってしまいます。CTFもいいですが、それ以前に政策としてやるべきことは、かなり多いと思います。ぜひ、政治家も官僚も、そのあたりに気づいて欲しい物だと思います。

セキュリティはそれ単独では存在し得ません。それは、守るものがあってのセキュリティだからです。では、守るものはなんでしょうか。それは、国民の生活や安全、財産であったり、企業のビジネスや競争力であったり、すなわち、セキュリティ以前に我々が、もしくは日本がよりよくなっていくために必要なものなのです。決して誰かの立場やメンツを守るためのものではありませんし、ましてや責任逃れの道具ではありません。この「守る対象」を間違えると、セキュリティは、本来守るべきものを守れないだけでなく、それを阻害してしまいます。この現象は、残念ながら多くのところで見られます。これを正して、本来の形に戻さなければ、先に述べたようなIT全体のセキュリティ底上げなど決してできません。今、本当に必要なのは、それができる人材なのかもしれません。

様々な問題をかかえた日本のセキュリティ界ですが、今年も微力ながらその向上に寄与していきたいと思っています。