2013年4月5日金曜日

このところの活動サマリー

しばらく、ブログ更新が止まってしまいました。4月に入り、多くの会社では新しい年度がスタートしました。今年に入ってから、遠隔操作事件の容疑者逮捕や、韓国へのサイバー攻撃など、情報セキュリティの世界でも様々な動きが続いています。

ちょっとご無沙汰してしまったので、このところの私の動きをまとめておきます。

・COMPUTER WORLD Webへの新連載執筆

IT部門におけるセキュリティへの取り組み方、という視点での記事です。ちょっと辛口に書きました。様々な新技術が、昨今ではコンシューマから流行を始め、それがビジネスにも必要な物になるという流れが続いています。そのような中で、IT部門からは、現場が先に使い始めてしまって統制が取れない、というため息交じりの声が聞かれます。しかし、これはビジネス現場からすれば、当然のことのように思えます。むしろ、IT部門が世の中に後れを取ってしまっているのかもしれません。ビジネスにおけるITとIT部門の位置づけを見直し、ITがビジネスに先手を打って寄与できるようにしていく必要があるのだろうと思っています。それは、リソースの配分も含め、経営層の考え方を変える、という問題なのかもしれません。そうして初めて、セキュリティも必要なITの一部として考えられるようになるのだと思います。そんな切り口から書きました。現在、最終回を執筆中です。

・JNSA会報誌への寄稿「セキュリティを面で考えてみよう」

我々、情報セキュリティ技術者や専門家は、ともすれば自分たちの立ち位置から物事を見てしまいます。ですが、実は、その視点を変えると見え方も変わる事柄が意外と多いのです。こうしたことを、いくつか例を挙げて書いたのがこの記事です。


・RSAコンファレンスとCSAサミットへの参加

2月下旬にサンフランシスコで開催されたRSAコンファレンスとそれに先だって開催されたCSA(Cloud Security Alliance)のサミットに参加してきました。米国では、マンディアントのAPT1に関するレポート発表以来、様々な動きが出ています。たとえばオバマ大統領が署名した大統領令には、サイバー攻撃対策に関する様々な対応が、期限を切った形で書かれています。また、政府横断の枠組みや、個々の対応を行うべき組織なども明記されていて、その意気込みや危機感が伝わってくる内容となっています。こうした中で、官民連携と情報共有の枠組み作りも進んでいて、NCFTAのような組織も活動を強めているようです。講演の中で印象的だったのが、こうした組織に加わっているFBIのような捜査機関が、民間に対して、必要な情報を積極的に提供していくということを明言していたことでした。これまで機密扱いにしていたような情報も、一定の条件のもとで開示できるような枠組みを作っていく、というものです。米国では、DHS(国土安全保障省)が、こうしたサイバー攻撃対策を主導していますが、これを軸に、捜査機関や軍関係なども含めた連携で民間に対して、様々な支援をしていこうという動きになっています。(米国では、こうした機関が高度な専門要員をかかえて、官民連携でも指導的な動きができるところが、なかなか日本が真似できない部分ですが・・・)そんな感じですので、RSAコンファレンスでも、そうしたサイバー攻撃や大統領令にからんだ話などが中心になっていました。米国のセキュリティベンダはこうした国の動きを千載一遇のチャンスととらえて、みんなそちらの方向へ舵を切りつつあるようです。新しいソリューションやサービスも、どんどん出てきそうですが、そうしたものの中には、米国だから使える、といったものも少なくありません。米国では、専門家が、行政機関や、IT/セキュリティベンダ、一般のITユーザ企業などに広く雇用され、またそれらの間での人の行き来も盛んであるため出来ることも多いのです。一方日本はと言えば、専門家がIT企業・ベンダーに偏在してしまっています。この違いを意識しておかないと、米国発の枠組みは日本では機能しません。個人的には、もっと専門家が広く雇用され、米国のような形になればいいと思っています。

CSAは、今年の活動の力点を、クラウド事業者の認証制度(STAR レベル2)立ち上げに置いているようです。これまで、STARはCSAが提供する自己評価基準に基づいた自己評価の公表のための枠組みでしたが、今後、これを外部審査を伴う認証制度にしていこうという動きです。CCM(クラウド・コントロール・マトリクス)は、クラウドに必要なセキュリティの要件を、他の複数のセキュリティ規格の内容との関連を含めて記述したものですが、これをベースとして、現在、審査機関選定のための枠組み作りを行っています。今年後半には制度のスタートを予定しているようです。クラウドセキュリティガイダンスやCCMは現在のところ、CSA独自のものですが、こうした規格を国際的に標準化するISOなどの場にも、CSAはメンバーを送り込んでいて、かなり大きな存在感を持っています。そういう意味では、現在標準化作業が進んでいるISO27017(クラウドのセキュリティに関する規格)やISO27036(ITサプライチェーンマネジメントの規格)などの標準化に、CSAは大きな影響を与えていく可能性が高ですし、また逆にこうした標準化の場で議論された内容が、CCMなどにフィードバックされてくる可能性も高いだろうと思います。これらの動きは、引き続き注視していく必要があるでしょう。


さて、新しい年度はどのようなことになるのでしょう。日本でも、よりよい形での官民情報連携が出来ていくことを期待したいと思っています。

0 件のコメント:

コメントを投稿