重要インフラ情報セキュリティフォーラム2010

情報セキュリティ研究室 > 学会/セミナー報告 > 重要インフラ情報セキュリティフォーラム2010
【会議名】重要インフラ情報セキュリティフォーラム2010
【日時】2010年1月25日(月)
【場所】秋葉原コンベンションホール(東京都千代田区 秋葉原ダイビル2F)
【URL】http://www.ipa.go.jp/security/event/2009/infra-sem/index.html 
【参加者】午前の部 約300名 (会場ほぼ満席)
     午後の部 約250名から300名
【主催】独立行政法人 情報処理推進機構 (IPA)
    一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
【報告者】江藤研究員

+++++++++++++++++++++++++++++++++++++++
午前の部
+++++++++++++++++++++++++++++++++++++++
■特別講演「重要インフラの情報セキュリティ対策について」
 [10:20-10:58]
  内閣官房情報セキュリティセンター 内閣参事官 丹代 武 氏
  1) 内閣官房情報セキュリティセンターについて
     -センタ長、副センタ長(2名)、
   情報セキュリティ補佐官(奈良先端大:山口英教授、他1名)
   重要インフラ対策等、5グループ 約80名の組織。
   2) 第2次行動計画の目標
   -目標:「IT障害が国民生活や社会活動に重大な影響を及ぼさない
       ようにすること」
   -"重要インフラにおけるIT障害の発生を限りなくゼロにすること"
   を目指す(第1次行動計画からの「継続」)
   -分野毎の重要インフラサービスの合理的な水準をサービスレベル
   として定める(第1次行動計画からの「発展」)
  3) 第2次行動計画の対象
  4) 情報セキュリティ対策の5つの柱
  @第1次行動計画の4つの柱[安全基準等の整備及び浸透/情報共有体制の強化/
   共通脅威分析/分野横断的演習]を着実に経験・改善に加え、に5つめの柱
   [環境変化への対応]を追加。
  A指針に記載する情報セキュリティ対策項目:政策会議決定待ち
   (1)4つの柱 
   (2)5つの重点項目
  B安全基準等の状況把握のための取組
   省庁側の"状況等の把握及び検証"と利用者側の"調査"の頻度を周期化
   (毎年実施)に改善
   *不況下ではあるが、セキュリティ対策の現状は継続の状況と認識。
  5) 関係主体の役割と取組み
   -実施プログラム「セキュア・ジャパン20xx」として策定
  6) 評価・検証と見直し
  7) 参考:資料のWeb公開後に別途追記

[所感]
  a) 昨年と比較して、第2次基本計画の話はなく、第2次行動計画、特に、
   "環境変化への対応"が具体的に説明された。
  b) 昨年から話題のクラウドについて、政府の関心レベルに興味があったが、
   資料上に記述はされているが特に取組や考慮の話はなかった。


■基調講演「脅威の総論」[10:59-12:02]
  株式会社ラック 取締役常務執行役員
 サイバーリスク総合研究所 特別研究員 西本 逸郎 氏
  0) 最近の印象的な事件から
   -あるホスティング会社でのガンプラーウィルス感染
   -IP-VPN環境なのに専用線のイメージで利用。
    -仮想化も、仮想は仮想であり実物ではない。
  1) クラウドインパクト
   -日本人は品質にこだわるのは本当か?
   ->そうは言えないのではないか。
   -クラウドをトリガーとして、大航海時代へ。世界的規模でサービスバトル。
    ->犯罪は既に大航海時代(ex.犯罪専用クラウドサービス)
  2) セキュリティ事件
   -サイバ―救急センタ出動状況2009
     情報窃取は不変。情報漏洩は減(依頼しない?)。侵入(踏み台増)
     -ガンプラー:報道は感染しないことを重視。が、改竄させないことが重要。
   -ウイルス対策=駆除、ではない。ウイルスはいるのが当然、脅威に着目すべき。
    -職業倫理やプロ意識がない組織、企業人が多い。プロ意識を持て!
  3) 情報セキュリティって?
   @)組織で実施するセキュリティ(トップダウン)
        @経営意思やコンプラアンス
    Aシステム基盤でのセキュリティ
   A)人で実施するセキュリティ(ボトムアップ)
    プロ意識、職場の5S
     -最悪の状態を想定
   -セキュリティ上の課題を経営上の課題に繋げることのできる人が少なすぎる
     -セキュリティ屋もセキュリティ家へ進化すべき

[所感]
  c) 日本のサービスは中国が低価格で提供、日本の製品は品質を武器に
   必要としてくれるユーザ、国へ提供、するようになる、と氏は予想される。
   極論のようにも思えるが、昨今の景気停滞やコスト認識からするとありえる
   こととも考えられる。
   d) 証券会社幹部の情報漏洩事件や某社長秘書のミスをしない心構えを例に、
   プロ意識の必要性を閑話として紹介されたが共感。構造計算偽造をはじめ
   私利私欲の犯罪により、無用の社会的コストが増加し、国際競争力の低下に
   つながっている。個々が倫理観を持ち、プロ意識を持つべきと感じる。


+++++++++++++++++++++++++++++++++++++++
午後の部
+++++++++++++++++++++++++++++++++++++++
■パネルディスカッション「重要インフラ事業者におけるリスク管理、事業継続」
 [13:00-14:19]
  モデレータ:東電大未来科学部)佐々木 良一 教授
 パネラー :東京海上日動リスクコンサルタント 主席研究員)指田 朝久氏
       IPA 重要インフラ信頼性研究会主査、東大)中尾 政之 教授
       IPAセキュリテイセンタ セキュリティ技術ラボラトリ長)小林 偉昭氏
 テーマ1.セキュリティ侵害のリスクと心霊性
 テーマ2.事業継続の教育・訓練の課題
 
  各パネラーが各15分ずつのプレゼン後、佐々木教授の司会によりディスカッション。

 中尾教授:
 HW失敗学研究からからSW失敗学の研究会主査へ。
 HWとSWはちがう、HWは経験、知識が役に立つSWは失敗の原因が明らかとならない。
 事故起きても訴追されない為か? ソフトも事故、セキュリティ事象含め、
  既存事故例を把握して過去の経験、対処を活かすことが重要。
 特に上流工程が重要。上流ミスを下位でいくら対応しても対応しきれない。
 また、上位(正社員)と下位(派遣外注)で分けて考える視点も必要かもしれない。

 指田氏:
 発生を抑える対策はとるべきだが発生をゼロにはできない。
 発生を想定して準備することが重要。1例への対応だけでなく複合事象に
 対応可能な人材育成も重要。

 小林氏:
 最新動向をIPAで近々公開するので参照してもらいたい。

[所感]
  e) 午前の西本氏の講演にも関連して、複合事象に柔軟に対応可能な人材育成
   が必要、という点にプロへのニーズを感じた。
  f) "訓練"という日本語の表現は、英語では、"Drill", "Exercise", "Training",
      "Practice", "Education"等の6種類で表現されると聞く。違う言葉の存在は
   それだけ意識しているという点で、米国他との意識の差を認識する。


■対策各論「脆弱性対策に向けた機械処理基盤SCAPと標準化動向」
 [14:24-15:10]
 IPA情報セキュリティ技術ラボラトリー)寺田 真敏 氏

  #脆弱性対策自動化フレームワーク
  マルチベンダ環境において、作業自動化を普及させるための共通仕様や
   基準を含むフレームワークのこと。
 
  #SCAP:Security Content Automation Protocol:セキュリティ設定共通化手順
  
  #脆弱性対策に関連する標準化動向
  米国:NISTがSCAP(セキュリティ設定共通化手順)推進
  欧州:ENISAが情報共有モデルを検討中
  英国:CPNIが対応中
  
  #脆弱性対策自動化フレームワークとして、MyJVNを提案
   2008/10 脆弱性対策自動化フレームワークMyJVNの開始
   2008/10 MyJVM ver.1:脆弱性対策情報収集ツール
   2009/11 MyJVM ver.2:MyJVNバージョンチェッカ
   2009/12 MyJVM ver.2:MyJVNセキュリティ設定チェッカ
   実装報告

 #MyJVN
    検査データ提供
  -セキュリティ検査言語の導入
   -JVN WebサービスAPIの拡張
   -http://jvndb.jvn.jp/apis/myjvn/

[所感]
  g) 実用化、標準化されれば有用なツールになると考える。


■対策各論「知的ヒューマンシステムによる高信頼性・安全性の獲得」
 [15:25-16:20]
 電気通信大 大学院情報システム学研究科)田中 健次 教授

 #安心情報社会は、高信頼性技術のみで実現可能?をテーマの講演。
 #"システム・製品の不信"に陥る理由として以下の4つを挙げる
  1)プロセスの不透明性・意図の不一致
  2) リスクレベルが高い
  3)トラブル発生パターン
    →微係数に敏感 航空機事故>自動車事故
  4) 対応が遅い(crisis management)
   「人は起こしたことで非難されるのではなく、
    起こしたことにどう対応したかによて判断される」
  その対策として、透明化・可視化により、「〜のはずだ」の回避
  が可能と主張。
 #"システム・製品への過信"に陥る理由として以下の3つを挙げる
  1)知識の欠如→リスク感覚の欠如
  2) 安全装置の限界や盲点を知らない
    →安全装置が招く事故
    →安全対策の盲点
     →シナリオ分析の重要性
  3) 長時間トラブルが発生しない
    →安全経験が事故を招く
 #さらに、グレイゾーンでのトラブル対応として、安全保証設計
  (操作・警報表示の改善や表記法の使い分け)を提案。
   また、フールプルーフ設計で安心は得られないとし、
  安全に使う人の育成、組み込む設計を必要とし、
  受動的安全から獲得する安全を主張。
   情報システムの真のリスクを全ユーザに正しく認知させるべきで、
  その判断ができる人間が必要と説く。

[所感]
  h) 具体的、社会的ニュースを事例とした話で興味深い内容であった。
   安心情報社会は高信頼性技術だけでは実現不可。人間の認識、
   判断可能な行動分析の上での情報提供と何よりも人間教育と
   情報システムを理解する人材、人間育成こそが重要と理解した。


■対策各論「サイバー攻撃対応演習の意義
  〜Telecom-ISAC Japan サイバー攻撃演習 2009の実施結果から〜」
 [16:20-17:07]
 Telecom-ISAC Japan
  サイバー攻撃演習ワーキンググループ主査)則包 真一 氏

 #想定外の危機に対応するためには
  一次判断:対応すべき危機=インシデントであるか判断する
  二次判断:自分で対応できることは何か、どのような対応をしたらよいかを決定
  これらを、どれだけ体験しているかが肝であり、演習により疑似体験、
  シミュレーション可能と主張。
  具体的事例として、以下の2009年度サイバー攻撃対応演習を報告
  2009/12/11(金) 9:00~17:00 大田区産業プラザにて開催
  参加者:ネット証券、ロジスティック会社、国内主要ISP、政府関係者等、
      総勢100名
  対象:人的過失、自然災害、ハッカー、犯罪者、テロリスト、他国政府からの
     攻撃により発生する障害を想定=IT通信インフラ障害を引き起こす
     全てを対象
  演習:ディレクタが投入するイベントに対し、各島の参加者(組織)で
     議論・対応・課題抽出を目的とし、改善点を発表。

[所感]
  i) 本フォーラムが重要インフラ事業者を主参加者と想定しており、
      該事業者向けの演習の内容説明及び報告。


■対策各論「重要社会インフラのための制御システム・セキュリティ強化
            に向けたガイド」[17:08-17:25]
  JPCERTコーディネーションセンター 理事)宮地 利雄 氏

 #プロセス制御システム(PCS:Process Control Systems)
  重要社会インフラ等の様々な分野で実施されるコンピュータベースの
  システムが物理的プロセスの監督・制御システム
  →分野例:電力、鉄道、航空、水道、ガス、農業、製造業、化学、石油 etc.
  #ITシステムとPCSの統合が進む一方で、サイバー攻撃が脅威となり
   つつある現状から、PCSのセキュリティ強化を目的に、PDCAサイクル
  ・モデルに関連付けて整理した報告。
 #PDCAの各stepにおいて、PCSならではの考慮すべき条件を提示し、
  プロトコル標準化の必要を説く。接続ルールを議論し、安全な運用の
  維持とシステムベンダの協力のもと堅牢化及びアップグレードを提案。

[所感]
  j) 社会インフラとしてのPCSのセキュリティはITシステムと同様と捉えて
   いたが、管理者や運用者の知識やノウハウ、業務内容や事象発生時の
   社会的提供の考慮やそもそも異なるシステムであることを認識すべきことを
   新たな視点として認識した。

[全体所感]
   k) 午前も午後も会場はほぼ満席、盛況であり、情報セキュリティへの
   関心の高さを認識した。但し、質問がゼロであった。
  l) 前回(2009/2/20)は午後の部が2セッションに分かれていたが
   (A.技術トラック、B.マネジメントトラック)が、今回は1セッションに
   統一されており、網羅的に聴講することができた。
   m) 複数のセッションで共通していたことは、セキュリティをシステムに
   依存するのではなく、運営する人材、対応する人材にプロ意識や
   対応するスキルを求め、そのような人材を育成することが重要という
   意見である。例えば、CIOと表現されたいたが、より現場に近い
   実務レベルにおいてそのような人材が当然のようになれば、社会の安定
   とIT社会の発展につながると考える。
  n) 参加出張の機会を与えていただいたことに、感謝致します。


以上

ページトップへ戻る

Copyright © 2010 Institute of Systems, Information Technologies and Nanotechnologies. All Rights Reserved.