皆さま、こんにちは。 てくさぽBLOG メンバーの梶原です。
今回は、先日2月4日(木)に開催された、
SBクリエイティブ株式会社主催「セキュリティ マネジメント カンファレンス 2016 冬」
に参加してきましたので、どんなカンファレンスだったかレポートします。
会場はベルサール神田の2階、3階を貸切にした大規模イベントです。
■どんなカンファレンス?
このイベントでは、各種セキュリティ製品の説明や、
標的型攻撃等のトピックの説明だけでなくセキュリティの課題に対して、
国際情勢なども含めた現状認識と、対応策を整理するというイベントでした。
↓は前半の全体セッションが行われた会場です。
この会場が最終的に満員に近いレベルまで参加者で埋まりました。
やはり、昨今の情勢からセキュリティに関する企業の関心の高さが感じられます。
■当日の内容
◎基調講演 :慶應義塾大学大学院政策・メディア研究科 兼 総合政策学部教授 土屋大洋 氏
サイバーセキュリティと国際政治
◎全体セッション :KPMGコンサルティング株式会社 河合 剛志 氏
サイバー・フィジカル・アタックに対する次世代セキュリティ戦略
◎個別セッション:4つの会場に分かれ、
主に【ネットワークセキュリティ関連】【ID管理関連】【端末管理関連】のセッション開催
◎特別講演:国立研究開発法人 産業技術総合研究所 中田 亨氏
情報セキュリティにおけるヒューマンエラー対策
◎展示ブース :10社の展示。
詳細は下記のURLをご覧ください。
http://www.sbbit.jp/eventinfo/30822/
■基調講演
慶應義塾大学大学院政策・メディア研究科 兼 総合政策学部教授 土屋大洋 氏
「サイバーセキュリティと国際政治」
この基調講演では、国際政治における発生イベントとそれに関連して発生した、
サイバーセキュリティ問題について具体的な事例を時系列で解説することで、
映画の世界のような出来事が、すでに日常の中で起こっている時代であることを実感させられる内容でした。
・3つのタイプのサイバーアタック
①DDoS攻撃:国際問題発生後の、DDoS攻撃の事例を具体例を交えて紹介
②APT:JPモルガンのコメント「企業には二つのタイプしかない。すでにハックされた企業と、これからハックされる企業だ、そしてそれは、ハックされた企業と、もう一度ハックされた企業になる」という言葉とともに、具体例の紹介
③CCC:CCCとは、Cyber-Conventional Combinationの略。サイバーアタックによる物理的な攻撃事例などを紹介
例えば、コンピュータウィルスにより大規模な機械を誤作動させることで、物理的な破壊に至らしめる事例
これらの内容を踏まえて
・インテリジェンスの必要性
・ソフトウェアだけなく、ハードウェアを如何に守るか
・味方になるギークの必要性と育成
などが語られました。
■全体セッション
KPMGコンサルティング株式会社 サイバーセキュリティ アドバイザリーグループ マネージャー 河合 剛志 氏
「サイバー・フィジカル・アタックに対する次世代セキュリティ戦略」
基調講演でも触れられましたが、何らかの物理的な事象を発生させる、
サイバーフィジカルアタックについて、具体的な事例を交え紹介するとともに、
企業に与えるインパクトと、経営層がとるべき対策について講演されました。
現状の課題
①OSやプロトコルのオープン化が進んだことによる、脆弱性増加
②企業のサプライチェーンに対するガバナンス対策の難しさ
③攻撃のオーダーメイド化(標的型攻撃など、特定の攻撃対象にカスタマイズ化した攻撃)
この課題に対して、経営層は
①サイバーフィジカルアタックのインパクトを理解すること
②経営課題として経営者が認識し、説明責任を果たすこと
③パラダイムシフトに順応し、次世代セキュリティ戦略を行うこと
を実行する必要があると語られました。
■個別セッション
個別セッションでは、最新のセキュリティ製品についてのセッションが開催されました。
私は、主にネットワークセキュリティ機器のセッションに参加しましたが、
展示ブースも含めて「如何に気づくか」に主題を置いた製品が多かったと言えるでしょう。
現状では、残念ながらサイバーアタックを完璧に防ぎきることはできないという認識が
一般的であり、如何に早く、正確な対処をすることができるかが重要になってきています。
ですので、利用者は自社のセキュリティリスクを理解して、
適材適所なセキュリティ対策を実施していく必要があります。
■特別講演
国立研究開発法人 産業技術総合研究所 人工知能研究センター 知識情報研究チーム長 中田 亨氏
「情報セキュリティにおけるヒューマンエラー対策」
この講演では、結局のところ最終的には「人」ということで、
ヒューマンエラー対策について講演されました。さまざま事例が紹介されましたが、
対策としてPC持ち出しルールの厳格化や、
メール誤送付防止、社員教育や日々の声掛けなどの基本動作が、
結局最後の砦になると語られました。
■まとめ
-国際政治とサイバーセキュリティは密接に関連しており、
企業活動においても対岸の火事ではない。
-サイバーフィジカルアタックに備えた、経営層の説明責任を果たす姿勢と対策が重要。
-如何に防ぎつつ、如何に気づくかという考えに基づき、インテリジェンスのある、
セキュリティ製品の適材適所な配置が必要。
-最後の砦は「人」当たり前の動作を徹底することがすべての基本。
情報の重要度の意識を合わせることが重要。
最後に今回のカンファレンスに参加したことで、
ITインフラ(サーバやストレージなど)の販売・構築を主要サービスとしている
企業の方々に、ぜひお伝えしたい点があります。
それは「BCP対策やDR対策」もセキュリティ対策の1つになるということです。
震災以降、BCP(事業継続計画)やDR(ディザスタリカバリ)に対する注目が集まりました。
これらは、地震等の自然災害を主眼としたイメージがありますが、
サイバーセキュリティ対策にも必要な大事な要素です。
情報セキュリティには
「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availavility)」
という3大要素があります。
(最近はこれに、
「信頼性(Reliability)」、「責任追跡性(Accountability)」「真正性(Authenticity)」
を加え6要素とされることもあります。)
この中の可用性は、
「情報へのアクセス許可のある人が必要な時点で情報にアクセスできること」
を意味していますから対応策としては、システムの2重化やRAID、UPSなどになります。
セキュリティと言えば、外部からの不正なアクセスや、内部犯行等を思い浮かべますが、
基調講演にあったように、大規模なサイバーテロによる停電や通信回線の遮断などが起きた時
のことを考えれば、「BCP対策やDR対策」も必要なセキュリティ対策と言えるのです。
この場合、サーバ構築を主体としていますので、
セキュリティ製品を自社のソリューションとして必ずしも持たない企業でも、
顧客に対してサービス提供ができると言えるのです。
ということで、今回のレポートは以上になります。
セキュリティに携わる方はもちろん、そうでない方も、
色々な気づきがあるかと思いますので、
こういったカンファレンスに参加されてはいかがでしょうか。
★★★おまけ★★★
今回のカンファレンスでは、軽食が提供されましたので、そちらを紹介・・・
こちらです。何かな~。
どーん
軽食どころか、昼食として十分なサンドイッチじゃないですか!
これを、参加者全員に用意するなんて、素敵です。
このあと、美味しくいただきました。
この記事に関する、ご質問は下記までご連絡ください。
エヌアイシー・パートナーズ株式会社
技術支援本部
E-Mail:nicp_support@NIandC.co.jp