(1) クラウド導入に向けた情報セキュリティ技術の最先端 〜JNSA/ISFにおける共同研究成果を含む〜

講演者：KDDI 中尾殿

まずはマルウェアのお話からです。どんな種類があるかから始まり、マルウェアの年表など。昔は「発見」という部分に強く注目がおかれてマルウェアも開発されていましたが、ここ最近は主に悪用するために開発されていることが主だそうで、その典型例としてセキュリティウェアに偽装したウィルスなどの話もありました。ここ最近ではConfickerが過去最大のパンデミック状態にあるそうで、この規模はブラスター以来だとか。およそ900万台の感染マシンがあるそうで、その国も様々だそうです。特徴としては想定異常に複雑な機能(たとえば通信経路を署名を使って暗号化するなど)持っている点だそうです。他にGumblerやStuxnetの話も。Stuxnetでは4つの脆弱性が利用されており、特徴としては問題ないソフトウェアであるとして、ルートキットそのものが署名されている点。そして、このような閉じたネットワークでも問題になっていることからも、たとえプライベートクラウドであっても、マルウェアの脅威は色々と考えられるよねということでした。ちなみに友達の友達にハッカーの方がいるそうで、その人いわく「今はクラウドが普及するのを待っているのだ」そうで。恐ろしい世の中です。
次にITU-Tで行われているクラウドコンピューティングWGのお話です。ここら辺の内容は昨年末のSecurityDay2010でお話いただいた内容とかぶります。
成果物の紹介(5つあることや、その概要)が行われた後、現在8割程度の出来となっているCloud Security,threats & requirementsの中身のお話です。ITU独自の表現でCaaS（Communication as a Service）、NaaS（Network as a Service）という考え方があるそうです。定義は具体的な説明は無かったと思います。クラウドセキュリティの関連組織が出しているドキュメントをレビューしているそうで、例えばNISTが出している資料を他の資料と表で関連付けするなどの検討活動を行っているみたいです。ITU-Tのクラウドセキュリティ課題の現状案には8つの項目があり、セキュリティ管理・監査、BCP、セキュリティ/プライバシー確保、アカウント/ID管理、ネットワーク監視・インシデント対応、ネットワークセキュリティ、インターオペラビティセキュリティ、仮想化セキュリティの8つから構成されています。仮想化セキュリティについては、AISTの須崎氏が12/27にJITA講演会でお話された「IaaS型クラウドにおける仮想マシンのセキュリティ課題」を参考にされているみたいです。お話された内容も論文として情報処理学会誌に入っているようなので今度読んでみようと思います。
最後にJNSAの視点からのクラウドセキュリティについて。ITU-TやCSAなどで行われている活動のレビュー継続の他、クラウドプロバイダが1つの参照点として参照するほか、プライベートクラウドを作る際の参考、利用者がパブリッククラウドをセレクトする際に参考に出来るガイドライン化を行うそうです。
　

情報セキュリティとリスクマネジメント 〜セキュリティ専門家の大きな挑戦とISFの役割〜

講演者：ISF Steve Durbin氏

逐次通訳での講演だったので、十分に聞き取れずです。取れたメモも断片的なので、ご容赦ください。
講演中にお話されたのは主に３点。Information Security Forumの組織紹介、ここ最近の１年間の活動報告、そして将来的な方向性についてです。ISFとは１９８９年に設立されたNPO組織で、約300の組織が参加しており、特に大企業が多く参加しているフォーラムです。このフォーラムでは独自のモデル「ISFモデル」と呼ばれるものを定義し、このモデルに準拠した様々なツールやネットワークを通じてメンバーへ情報発信を行っているそうです。このISFモデルは「ツールと方法論」、「知識の交換」、「リサーチ及びレポート機能」の3つから構成されています。ISFではいくつかの報告書を公開されていますが、今回はその中で「脅威の展望」に関する報告書について取り上げられていました。今回これを取り上げるに際し初めての試みとして、メンバー外の人でも参照でき、そして日本語訳されるそうです。現時点ではISFのサイトに行くとまだ日本語化された資料はあがってないようですが、いずれ公開されるのでしょうか。
直近となる今年第１四半期の計画としては、クラウドの継続調査、展望の検討の他、トレーニングワークショップを初めて行うそうです。
また、チューリッヒ保険の事例の話がありました。去年の８月に起きた話のようですね。概要としては、南アフリカでバクアップテープを紛失して、罰金令を受けたというもの。ただし、漏えいした時期は実はもう少し前で２００８年の８月に発生したもので、今になって罰金令を受けてしまったというもので、外部の委託先の適切な管理をする義務があるねというお話でした。
クラウドセキュリティの7つの大罪というお話もありました。まず無知である点で、そもそもクラウドが使われているかすら知らないという話。また次に「あいまい」でセキュリティ上の要件もSLAもきちっとできていない、ライセンス契約が出来ていない、セキュリティ要件がなんであったかはっきりしないなど。他にもあったのですが、メモが取りきれませんでした。。
次にソーシャルメディアのお話。実はソーシャルメディアを課題として認識している見方があまり広まっていないそうです。ソーシャルメディアを通じて仕事のやり取りが行われるような状況は既に起こっており、この脅威への対策としてISFではツールを提供しているそうです。ソーシャルメディアの考え方自体が新しいため、既に教育が終わった人に対しても再度の教育が必要となるそうです。
今後の話としては、より一層インターネットが利用されることを前提として、2012年はモバイルマルウェアの増大を挙げていました。また長期的には国際化や自宅のセキュリティレベルの問題、そして太陽面の爆発、イエローストーン公園の火山の爆発などの自分たちが制御できない脅威に対してどのように対処していくのかも考えないといけないという点で最後を締められていました。
　

韓国の知識情報セキュリティ事情及び最近のイシュー

講演者：KISIA/イグルーセキュリティ 崔氏

韓国のセキュリティ事情を聴ける貴重な機会でした。
まずはイグルーセキュリティ社の紹介。ESM（企業向けセキュリティ管理）やMSS（セキュリティ監視サービス）を事業領域とされており、特にESM分野において韓国では実に７割以上の市場占有率だそうです。次にKISIA（知識情報セキュリティ産業協会）についてですが、参加組織は149社で、JNSAとは昨年から連携が活発化しているようで、最近の1/20には日韓情報保安シンポジウムをJNSA,JASAと共同開催したそうです。
セキュリティ事情の話として、まずは韓国のセキュリティ組織、団体の話。トップにはCIAのような国家情報院(NIS)があり、その中にセキュリティ全般を管理する国家サイバー安全センター、その下に放送通信委員会の直下にKISA（日本でいうIPAのような組織）と知識経済部（日本でいう経産省）の直下にKISIAといった体制になっているそうです。次に韓国の国家CERT体制についてで、日本でいう総務省に近い行政安全部というのがあり、そこに政府のサイバーセキュリティセンターというのが設置されています。ここでは様々な下位センター（民間や自治体のESMなど）と外部機関（KISAやIPAなどの外国機関）を対象に情報収集、インシデントの対応支援が行われているそうです。
そして韓国のセキュリティ市場についてで、韓国では国を挙げてセキュリティ分野の支援が行われており、特にネットワーク関連では優位にいるそうです。ただし、売上的には日本の10分の1(700億円程度)だそうで、市場規模自体はまだまだこれからという感じなんでしょうか。割とここら辺は進んでいるイメージだったのでやや小さいなぁとも思いました。ただ、この辺は韓国独自の事情もあるようで、サービスはあくまでもサービスという考え方だそうで、中々お金を要求するのが難しいそうです。また、「融合セキュリティ」と考えられている分野が今後伸びると予測されているそうで。セキュリティの市場規模は2013年には世界で3680億ドルになるそうですが、その内融合セキュリティが最も伸びて1408億ドルになると予測されているそうです。韓国で怒ったサイバーインシデントを9つ挙げられていましたが、7月に起きたDDoS攻撃はいまだに具体的な攻撃元が判明していないそうです。他に韓国ではオンライゲーム市場の規模が大きいことから、この分野を狙ったフィッシングやハッキングが横行しているそうです。
次にセキュリティ関連の法制度の話です。韓国では今年個人情報保護法が制定されており、その際JNSAやJASAなどの取り組みが参考になったとのことです。また、国家サイバー安全管理規定が改訂され、セキュリティ管理監視センターの設置が義務化されるようになったとのことで、自前での設置が難しい場合は、MSS専門企業のサービスを利用する必要にあり、このMSSの認定を国で行うといった仕組みは今年中に制定される模様です。日本とはこういった面での取り組み姿勢が違いますね。ESMシステムの概要紹介がありましたが、ログの収集から相関分析、コンソール機能が構成され、早期検知や相対的な情報収集に役立てられるような構成も決まっているみたいです。
先ほどの融合セキュリティについての話もありました。この融合セキュリティ自体は割と新しい概念だそうで、語源はいわゆる「融合産業」から。資産を守るセキュリティ、ITの中でのセキュリティだったが、物理セキュリティと融合させ、バラバラでやるのではなく一緒に管理しましょうという考え方。この融合セキュリティの1つの事例として、国を挙げておこなっているスマートグリッドの紹介がありました。韓国では2030年までにスマートグリッドの構築を目標としており、試験的に行われている済州島で起こったセキュリティ問題なども解決していくのだとか。ここら辺の情報が英語か、日本語で出てくれるとうれしいですね。。
最後に動画を使ったお話。まずはダイハード４を参考例になぜファイアーセールといわれるか。サイバーテロが起きた場合、交通システム→金融システム→社会インフラの順に止まっていくそうで、これが火災などが起きた場合と同じ自体を指すことからきているそうです。次にDC管理の融合セキュリティの事例として、サーバールームを３D化したものをラック単位まで詳細に状況を把握することが出来るように細かい情報を出力することが出来るようになっていました。今まではどこのラックにあるのかを判断するには複数のシステムを横断帝に見ていく必要があったのですが、このシステムでは一目でどこに問題が生じているかを判断することが出来るようになるため、早急に直感的に扱うことが出来るようになるとのことでした。最後には韓国の世界遺産（王様の墓）を一括で監視している事例の動画紹介。一元的に管理している事を紹介して講演は締められました。

お昼を挟んで、続けてJNSAの活動報告に移ります。