検討委員として協力させていただいた「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」がIPAさんよりリリースされました。
とりわけモバイルデバイスでは、紛失・盗難などの際に暗号化による保護が有効とされていますが、どのような暗号方式をどのように使えば安全だと言えるのか、という点についての具体的なマニュアルがありませんでした。
こんかいのマニュアルは、そうした具体的な内容を提供するための物です。より保護レベルの高い暗号利用に役立てていただければと思います。
IPAプレスリリースへ
2013年4月30日火曜日
2013年4月24日水曜日
Infosecurity Europe 2013に参加しています
現在、ロンドンで開催中のセキュリティイベント Infosecurity Europe 2013 に参加しています。このイベントは、日本で言えばセキュリティEXPOのような、実質的に入場無料の展示会主体のイベントですが、キーノートやテクニカルセッションなどが有料コンファレンス並に充実しているので、そちらを目当てにやってきました。
昨日のキーノートセッションの冒頭では、政府の内閣府担当相がスピーチするなど、政府としてもセキュリティ強化に力を入れていることがうかがえます。たとえば、政府機関であるBIS(Department of Business Innovation & Skills)がPWCに委託して行ったセキュリティ事故調査レポートはなかなか面白い内容で、そのサマリーを紹介するセッションなどもありました。このレポートは、以下の政府サイトから入手できますので、英文ですが一読されるといいでしょう。
このレポートの中でも述べられていますが、標的型攻撃の対象が、従来の大企業から、有望な技術を有する中小企業にも広がってきているようです。そうした傾向を受けて、英国政府は、サイバー攻撃情報共有の枠組みをこうした中小企業にも広げつつあります。このあたりの状況はおそらく日本でも同じだと思われるので、とりわけ人的にも資金的にも乏しい中小企業をどう守っていくのか、行政が早急に考えていくことが必要だろうと思います。いわゆるSIやセキュリティ企業は、あまり儲けにならない、こうした会社を無視する傾向があります。残念なことですが、ここは行政の出番でしょうね。
昨日のキーノートセッションの冒頭では、政府の内閣府担当相がスピーチするなど、政府としてもセキュリティ強化に力を入れていることがうかがえます。たとえば、政府機関であるBIS(Department of Business Innovation & Skills)がPWCに委託して行ったセキュリティ事故調査レポートはなかなか面白い内容で、そのサマリーを紹介するセッションなどもありました。このレポートは、以下の政府サイトから入手できますので、英文ですが一読されるといいでしょう。
このレポートの中でも述べられていますが、標的型攻撃の対象が、従来の大企業から、有望な技術を有する中小企業にも広がってきているようです。そうした傾向を受けて、英国政府は、サイバー攻撃情報共有の枠組みをこうした中小企業にも広げつつあります。このあたりの状況はおそらく日本でも同じだと思われるので、とりわけ人的にも資金的にも乏しい中小企業をどう守っていくのか、行政が早急に考えていくことが必要だろうと思います。いわゆるSIやセキュリティ企業は、あまり儲けにならない、こうした会社を無視する傾向があります。残念なことですが、ここは行政の出番でしょうね。
2013年4月17日水曜日
UK(ロンドン)に行って来ます
今月23日~25日にロンドンで開催される Infosecurity Europe に参加するため、来週、一週間不在となります。
このイベントは、展示会主体の無料イベントではありますが、キーノートやワークショップが充実しており、なかなかお得なイベントみたいです。CSA(Cloud Security Alliance)のワークショップも開催され、CSAが現在進めているクラウド事業者のセキュリティ認証制度(STAR Level2)とその枠組みであるOCF(Open Certificate Framework)についての話が中心のようですので、また内容はフィードバックする予定です。
#ついでに、初ロンドンの観光も・・・・(笑)こちらでも、来週マラソン大会があるので警備は厳重だと思いますが・・・
このイベントは、展示会主体の無料イベントではありますが、キーノートやワークショップが充実しており、なかなかお得なイベントみたいです。CSA(Cloud Security Alliance)のワークショップも開催され、CSAが現在進めているクラウド事業者のセキュリティ認証制度(STAR Level2)とその枠組みであるOCF(Open Certificate Framework)についての話が中心のようですので、また内容はフィードバックする予定です。
#ついでに、初ロンドンの観光も・・・・(笑)こちらでも、来週マラソン大会があるので警備は厳重だと思いますが・・・
COMPUTERWORLD連載最終回が公開されました
COMPUTERWORLD Webに執筆中の連載記事の最終回
第4回「セキュリティをITの価値に変える」
が公開されました。セキュリティ対策は、ともすれば「コスト」とされがちですが、考え方次第で「価値」に変わると考えています。とりわけITにおいては、セキュリティはIT活用における価値創造の一部にほかなりません。IT部門やCIO自身がこうした感覚で取り組むことで、セキュリティを兼ね備えたITのビジネス活用ができるはずです。お読みいただき、ご意見を頂戴できれば幸いです。
第4回「セキュリティをITの価値に変える」
が公開されました。セキュリティ対策は、ともすれば「コスト」とされがちですが、考え方次第で「価値」に変わると考えています。とりわけITにおいては、セキュリティはIT活用における価値創造の一部にほかなりません。IT部門やCIO自身がこうした感覚で取り組むことで、セキュリティを兼ね備えたITのビジネス活用ができるはずです。お読みいただき、ご意見を頂戴できれば幸いです。
2013年4月5日金曜日
このところの活動サマリー
しばらく、ブログ更新が止まってしまいました。4月に入り、多くの会社では新しい年度がスタートしました。今年に入ってから、遠隔操作事件の容疑者逮捕や、韓国へのサイバー攻撃など、情報セキュリティの世界でも様々な動きが続いています。
ちょっとご無沙汰してしまったので、このところの私の動きをまとめておきます。
・COMPUTER WORLD Webへの新連載執筆
IT部門におけるセキュリティへの取り組み方、という視点での記事です。ちょっと辛口に書きました。様々な新技術が、昨今ではコンシューマから流行を始め、それがビジネスにも必要な物になるという流れが続いています。そのような中で、IT部門からは、現場が先に使い始めてしまって統制が取れない、というため息交じりの声が聞かれます。しかし、これはビジネス現場からすれば、当然のことのように思えます。むしろ、IT部門が世の中に後れを取ってしまっているのかもしれません。ビジネスにおけるITとIT部門の位置づけを見直し、ITがビジネスに先手を打って寄与できるようにしていく必要があるのだろうと思っています。それは、リソースの配分も含め、経営層の考え方を変える、という問題なのかもしれません。そうして初めて、セキュリティも必要なITの一部として考えられるようになるのだと思います。そんな切り口から書きました。現在、最終回を執筆中です。
・JNSA会報誌への寄稿「セキュリティを面で考えてみよう」
我々、情報セキュリティ技術者や専門家は、ともすれば自分たちの立ち位置から物事を見てしまいます。ですが、実は、その視点を変えると見え方も変わる事柄が意外と多いのです。こうしたことを、いくつか例を挙げて書いたのがこの記事です。
・RSAコンファレンスとCSAサミットへの参加
2月下旬にサンフランシスコで開催されたRSAコンファレンスとそれに先だって開催されたCSA(Cloud Security Alliance)のサミットに参加してきました。米国では、マンディアントのAPT1に関するレポート発表以来、様々な動きが出ています。たとえばオバマ大統領が署名した大統領令には、サイバー攻撃対策に関する様々な対応が、期限を切った形で書かれています。また、政府横断の枠組みや、個々の対応を行うべき組織なども明記されていて、その意気込みや危機感が伝わってくる内容となっています。こうした中で、官民連携と情報共有の枠組み作りも進んでいて、NCFTAのような組織も活動を強めているようです。講演の中で印象的だったのが、こうした組織に加わっているFBIのような捜査機関が、民間に対して、必要な情報を積極的に提供していくということを明言していたことでした。これまで機密扱いにしていたような情報も、一定の条件のもとで開示できるような枠組みを作っていく、というものです。米国では、DHS(国土安全保障省)が、こうしたサイバー攻撃対策を主導していますが、これを軸に、捜査機関や軍関係なども含めた連携で民間に対して、様々な支援をしていこうという動きになっています。(米国では、こうした機関が高度な専門要員をかかえて、官民連携でも指導的な動きができるところが、なかなか日本が真似できない部分ですが・・・)そんな感じですので、RSAコンファレンスでも、そうしたサイバー攻撃や大統領令にからんだ話などが中心になっていました。米国のセキュリティベンダはこうした国の動きを千載一遇のチャンスととらえて、みんなそちらの方向へ舵を切りつつあるようです。新しいソリューションやサービスも、どんどん出てきそうですが、そうしたものの中には、米国だから使える、といったものも少なくありません。米国では、専門家が、行政機関や、IT/セキュリティベンダ、一般のITユーザ企業などに広く雇用され、またそれらの間での人の行き来も盛んであるため出来ることも多いのです。一方日本はと言えば、専門家がIT企業・ベンダーに偏在してしまっています。この違いを意識しておかないと、米国発の枠組みは日本では機能しません。個人的には、もっと専門家が広く雇用され、米国のような形になればいいと思っています。
CSAは、今年の活動の力点を、クラウド事業者の認証制度(STAR レベル2)立ち上げに置いているようです。これまで、STARはCSAが提供する自己評価基準に基づいた自己評価の公表のための枠組みでしたが、今後、これを外部審査を伴う認証制度にしていこうという動きです。CCM(クラウド・コントロール・マトリクス)は、クラウドに必要なセキュリティの要件を、他の複数のセキュリティ規格の内容との関連を含めて記述したものですが、これをベースとして、現在、審査機関選定のための枠組み作りを行っています。今年後半には制度のスタートを予定しているようです。クラウドセキュリティガイダンスやCCMは現在のところ、CSA独自のものですが、こうした規格を国際的に標準化するISOなどの場にも、CSAはメンバーを送り込んでいて、かなり大きな存在感を持っています。そういう意味では、現在標準化作業が進んでいるISO27017(クラウドのセキュリティに関する規格)やISO27036(ITサプライチェーンマネジメントの規格)などの標準化に、CSAは大きな影響を与えていく可能性が高ですし、また逆にこうした標準化の場で議論された内容が、CCMなどにフィードバックされてくる可能性も高いだろうと思います。これらの動きは、引き続き注視していく必要があるでしょう。
さて、新しい年度はどのようなことになるのでしょう。日本でも、よりよい形での官民情報連携が出来ていくことを期待したいと思っています。
ちょっとご無沙汰してしまったので、このところの私の動きをまとめておきます。
・COMPUTER WORLD Webへの新連載執筆
IT部門におけるセキュリティへの取り組み方、という視点での記事です。ちょっと辛口に書きました。様々な新技術が、昨今ではコンシューマから流行を始め、それがビジネスにも必要な物になるという流れが続いています。そのような中で、IT部門からは、現場が先に使い始めてしまって統制が取れない、というため息交じりの声が聞かれます。しかし、これはビジネス現場からすれば、当然のことのように思えます。むしろ、IT部門が世の中に後れを取ってしまっているのかもしれません。ビジネスにおけるITとIT部門の位置づけを見直し、ITがビジネスに先手を打って寄与できるようにしていく必要があるのだろうと思っています。それは、リソースの配分も含め、経営層の考え方を変える、という問題なのかもしれません。そうして初めて、セキュリティも必要なITの一部として考えられるようになるのだと思います。そんな切り口から書きました。現在、最終回を執筆中です。
・JNSA会報誌への寄稿「セキュリティを面で考えてみよう」
我々、情報セキュリティ技術者や専門家は、ともすれば自分たちの立ち位置から物事を見てしまいます。ですが、実は、その視点を変えると見え方も変わる事柄が意外と多いのです。こうしたことを、いくつか例を挙げて書いたのがこの記事です。
・RSAコンファレンスとCSAサミットへの参加
2月下旬にサンフランシスコで開催されたRSAコンファレンスとそれに先だって開催されたCSA(Cloud Security Alliance)のサミットに参加してきました。米国では、マンディアントのAPT1に関するレポート発表以来、様々な動きが出ています。たとえばオバマ大統領が署名した大統領令には、サイバー攻撃対策に関する様々な対応が、期限を切った形で書かれています。また、政府横断の枠組みや、個々の対応を行うべき組織なども明記されていて、その意気込みや危機感が伝わってくる内容となっています。こうした中で、官民連携と情報共有の枠組み作りも進んでいて、NCFTAのような組織も活動を強めているようです。講演の中で印象的だったのが、こうした組織に加わっているFBIのような捜査機関が、民間に対して、必要な情報を積極的に提供していくということを明言していたことでした。これまで機密扱いにしていたような情報も、一定の条件のもとで開示できるような枠組みを作っていく、というものです。米国では、DHS(国土安全保障省)が、こうしたサイバー攻撃対策を主導していますが、これを軸に、捜査機関や軍関係なども含めた連携で民間に対して、様々な支援をしていこうという動きになっています。(米国では、こうした機関が高度な専門要員をかかえて、官民連携でも指導的な動きができるところが、なかなか日本が真似できない部分ですが・・・)そんな感じですので、RSAコンファレンスでも、そうしたサイバー攻撃や大統領令にからんだ話などが中心になっていました。米国のセキュリティベンダはこうした国の動きを千載一遇のチャンスととらえて、みんなそちらの方向へ舵を切りつつあるようです。新しいソリューションやサービスも、どんどん出てきそうですが、そうしたものの中には、米国だから使える、といったものも少なくありません。米国では、専門家が、行政機関や、IT/セキュリティベンダ、一般のITユーザ企業などに広く雇用され、またそれらの間での人の行き来も盛んであるため出来ることも多いのです。一方日本はと言えば、専門家がIT企業・ベンダーに偏在してしまっています。この違いを意識しておかないと、米国発の枠組みは日本では機能しません。個人的には、もっと専門家が広く雇用され、米国のような形になればいいと思っています。
CSAは、今年の活動の力点を、クラウド事業者の認証制度(STAR レベル2)立ち上げに置いているようです。これまで、STARはCSAが提供する自己評価基準に基づいた自己評価の公表のための枠組みでしたが、今後、これを外部審査を伴う認証制度にしていこうという動きです。CCM(クラウド・コントロール・マトリクス)は、クラウドに必要なセキュリティの要件を、他の複数のセキュリティ規格の内容との関連を含めて記述したものですが、これをベースとして、現在、審査機関選定のための枠組み作りを行っています。今年後半には制度のスタートを予定しているようです。クラウドセキュリティガイダンスやCCMは現在のところ、CSA独自のものですが、こうした規格を国際的に標準化するISOなどの場にも、CSAはメンバーを送り込んでいて、かなり大きな存在感を持っています。そういう意味では、現在標準化作業が進んでいるISO27017(クラウドのセキュリティに関する規格)やISO27036(ITサプライチェーンマネジメントの規格)などの標準化に、CSAは大きな影響を与えていく可能性が高ですし、また逆にこうした標準化の場で議論された内容が、CCMなどにフィードバックされてくる可能性も高いだろうと思います。これらの動きは、引き続き注視していく必要があるでしょう。
さて、新しい年度はどのようなことになるのでしょう。日本でも、よりよい形での官民情報連携が出来ていくことを期待したいと思っています。
登録:
投稿 (Atom)