「業務に基づく中小企業のセキュリティ対策ガイドライン」作成についてのご報告

講演者：アイネット・システムズ 元持氏

午後の部、1個目のセッションは出社してから退社するまでのリスク対策WGの活動成果報告です。
ここでは中小企業向けにセキュリティ対策用のガイドラインの策定をしているそうで、ISMSやプライバシーマークのような重たいセキュリティ対策の実施が難しいケースで活用されることを目的としており、主に300人以下の企業を対象企業として設定されているそうです。これの特徴としては情報の洗い出し（要はどういった情報をどのように扱っているのかを取りこぼしなく全て明確にする大変な作業）といった作業をなしで対策することが可能だそうです。具体的な対象企業はとりあえずやってはいるけども十分な対策が出来ていないケース、責任の明確化もなく、職務の分類も出来ず具体的に何をすればよいかもわからないようなケースの2つを対象としているガイドラインであり、WG独自のレベルを目標としているそうです。このガイドラインの対象読者は企業のシステム管理者、システム管理を外注している管理者であり、経営層は対象には含めていないとのことです。ガイドラインは全部で3つの構成から記述されており、まずは第一部の情報セキュリティ管理策を読んでいただき、この第一部は抽象的な書き方で、具体的なリスク管理策を見る場合は、第二部、そして参考資料という流れで使用されることを想定しているそうです。
管理策は18の管理項目で構成されており、次の管理策となります。★がつけられている管理策は、主にWebの開発管理に重きを置いたものだそうです。
　(1) セキュリティ境界
　(2) 入退室管理
　(3) 認証と管理
　(4) ウィルス及び悪意のあるプログラムに対する対策
　(5) パッチの適用
　(6) バックアップ
　(7) ログの取得
　(8) 記憶媒体の管理
　(9) 暗号化
　(10)アプリケーションの利用
　(11)電子メールの利用
　(12)外部サービスの利用
　(13)ネットワークのアクセス制御
　(14)クリアデスク・クリアスクリーン
　(15)変更管理 ★
　(16)構成管理 ★
　(17)障害・事故管理 ★
　(18)容量・能力の管理 ★
この管理策には対象外となるものもあり、紙や物といった物理的情報資産、電源・空調、DoS攻撃、個人情報保護、委託管理、対策が教育、啓蒙になるものなどが対象外とのこと。ただし、教育、啓もうについては参考資料に含めているそうです。なお、ISMSとの紐付は基本的にできているそうですが、先ほどの18項目のうち、アプリケーションの利用については紐づくものがないとのこと。そこで、アプリケーションの利用に関する管理策の概要についても話があり、情報の漏えいや改ざんから情報を保護するためを管理目的とすると記載がありました。
ガイドラインの第二部は出社から社内業務、退社帰宅までのそれぞれの業務、約62業務を挙げてあります。ただし、ウィルスなどの共通的なものは省いているそうです。第一部、第二部はそれぞれ対応付けが行われており、第一部を見て、どの業務に結びつくかを簡単に見るつくりになっていました。そして参考資料は強度、程度をどのように考えればよいかというものをパスワードポリシーや暗号などを取り上げてあります。
なお、課題としてはこの資料のベースにしたのはWGの経験則を元にしているところがあるため、実際の事件事故に基づいた対策例を提示する必要があるとのこと。また、クラウドサービスの利用に特化した対策例、スマートフォンなどの新しいデバイスへの対応を検討する必要があるとお話しされていました。なおここまでたどり着くまでに2年かけているそうで、大作になりそうです。
最後に質問として「いつ公開されるのか。」があがりましたが、ガイドライン自体は既に出来上がっているすで4月の頭には公開できるのではとのことでした。中小企業向けにフォーカスされた資料はIPA等からいくつか出ていますが、実践的な内容でもあるので期待大です。
　

リスク定量化への第一歩 〜紛失は居酒屋ではない、社内で起きてるんだ！〜

講演者：NTTデータ 大谷氏
休憩をはさんで2つ目のセッションからは連続して行われます。これはこの3つのセッションで成果を報告されるWGがそれぞれ関係しているためだそうです。まずはセキュリティ被害調査WGから。このWGではJNSAで発信されている情報の中でも有名な「情報セキュリティインシデントに関する調査報告書」をまとめているWGです。なお、この3つのWGは「セキュリティリスク対策三兄弟」という名称だそうです。三位一体での活動を目指して、調査や解析した資料の共有、活用を行っているそうです。
まずは、上半期速報とインシデント発生確率調査の結果報告から。昨年度に比べ漏えい人数が100万人近く減少しており、損害賠償総額が減っているそうです。比較的大規模なインシデントは発生していないのもポイントとしてあるそうです。漏えい原因の多くは誤操作、管理ミスで、他に紛失置き忘れ、盗難といったこの4つが大多数を占めています。漏えい媒体自体は昨年度と同様で、数としては1000人/件未満や100万円未満といった小規模のインシデントが多いものの、依然として数は少ないながら大規模な漏えい事件は起きているので、今後もこの部分をどうするか考える必要があるねということでした。ただ大規模な漏えいがなかったというのは事実ではありながらも、たまたま今回調査した期間で発生しなかっただけという可能性もあるのでこれだけを見て、傾向的に減っているとは言えないとのこと。なお、インシデントの対策としては管理ミスへの面が進んでおり、それゆえ誤操作を起因とするものが増加傾向、そして内部犯罪犯行も増えているので、今後はこの2つによる二極化が予想されるそうです。
また新しい試みとして、インシデントの発生確率というものを調べられないかということでリスクの定量化に向けた調査を実施した話がありました。調査手段は個人を対象としたWebアンケートで行われたそうで、予備調査5000人、本調査500人に対して実施したとのこと。回答者のうちパソコン、USBメモリの紛失を経験したことがある非とは4〜6%。また紛失場所は居酒屋が多いと思いきや、社内が一番多いそうです。
最後にインシデントの発生要因についてですが、ケアレスミス、意識不足、対策不備、内部犯罪内部不正行為を挙げられており、特に最後の内部犯罪についてはまだ対策が十分ではないところが多くあるのではないかとのことで、今後はこの部分にも注目して対策を検討する必要がありますね。
　

統計解析手法を使用したリスク分析へのアプローチ

講演者：住商情報システム 二木氏
次はリスク評価検討WGによる統計解析技法を行った結果のお話。
今までの情報セキュリティリスクについては絶対的評価が難しく、その面で経営陣から評判が悪いというのがあったそうです。そもそも大前提としてはインシデントの予防を考えるのは当然ですが、実際には多くのインシデントが発生しており、これをゼロにすることは不可能という前提に立って考える必要があるのではないかとのこと。そして企業の社長をはじめとした経営層と話をする際、彼らはリスクの総量を知りたいのであって、専門的な話よりどのぐらい発生する確率、いくら被害になるという話がよくあがるそうです。なお、被害調査WGが行っている既存のボトムアップ評価手法については定量化するためにも必要とのこと。また、モデル作りを色々と考え、多くのデータを積み上げていく必要があり、道のりが長いので大変と嘆かれてもいました。
さてリスクの総量ですが、これを推定できないだろうかと考えたそうです。そのため、統計解析技法を今年度は勉強して、データへの応用は来年度の課題といった計画を立ててらっしゃるそうです。
実際に行った内容の説明がされました。発生間隔に着目して分析を行ったそうですが、ちょっと算数が出来ない人間でもあったのでちょっと話が半分程度にしか理解できていません。ポイントは平均値をどう決めるかという話だそうで、テストケースとして一つサービス業の事例のお話がありましたが、発生間隔が直線的に従業員数に比例してしまうため、小規模な企業や大企業では実態とかけ離れた値になってしまい、どうも単純にはいかないことを再認識されたそうです。
また先ほどのWGで行われたアンケート調査方法の検証では個人の特性に対する依存性に着目されたいそうです。先ほどの居酒屋の話も、PCはそもそも持ち歩かないという話があるが、ケータイについては持ち歩くことも多く、実際に携帯電話を紛失した人は多いという結果が出ていました。今後の方向性としては、最終的にJNSAから提供する値を元に、自社データで補正出来るような方法を検討されたいそうで、算数のできる人は是非WGにきてください！とメンバー募集されていました。
　

セキュリティ対策のモデル化と可視化（マップ化）への取り組み

講演者：富士通 奥原氏
連続セッション最後は情報セキュリティ対策マップ検討WGによる成果発表。基本的に去年からの中間発表。まずは去年までのおさらいで、IPA等をはじめとした色々なセキュリティ対策資料を収集し、対策を分類し、対策構造図を作成されたそうです。そして次に自然言語に関する表記の揺れを排除したいとの思いで、標準構文、標準辞書を作成、さらに分県図を作成したそうです。これをツリー化すれば何か見えるのでは、ということで分県図をツリー化してみたとのことですが、実際にはツリーを書く人によって変わってくるので決定版というものは存在しないそうです。
次に対策のオブジェクト化を行ったそうです。その効果としては対策がどのような要素で構成されているかをモデル化することが出来たとのことで、分県図とこのメソッド図を合成することを試みた紹介がありました。試行的にマルウェアを対象に行い、700以上のセルで構成される大きな図を作ることが出来たとのこと。これをISO27002に当てはめてみると実施的な部分が多く見えてきたそうで、このような使い方をすることで資料の傾向がつかめるのではという話もありました。
最後に今後の方向性ですが、今までは地図を描くための手法（いわゆる測量法）をやってきたとのことで、いよいよ今後はマップとして最終成果を示せるようなことをやりたいとして締められました。
　

情報セキュリティの現在、過去、未来

コーディネータ：マイクロソフト　高橋氏
パネラー：
　日経パソコン　勝村氏
　IIJ　齋藤氏
　Investment Portrait Limited CEO（元ISS社長）　林氏
　
NSF2011 最後のセッションは業界有識者によるセキュリティを語ろう！というBOFです。まずは登壇者の方のお話で、それが終わるとなんとコーディネータのMS高橋氏が直接会場に潜んでいる有名人をピンポイントでコメントを求めるというカオスな流れに。尚登壇者の方以外のコメントについてはここでの記載は伏せます。最初のお話はテーマが情報セキュリティの方向性を探るような感じですので、みなさんパネリストの方も含めて今までがどうで今後はどうなっていくかといった形でお話をされていました。
まずはMS高橋氏から。インターネットのここ30年ほどの振り返りから入り、世帯普及率は90%程度となりこれにより何が起こったのかというとインターネットのインフラ化だと。それゆえ、自分らの視野からこぼれている人たちがマジョリティになってきており、境界領域防御（ファイアーウォールのような）が崩壊しつつある、むしろボーダーがないのではないかと。今まではウィルスにはアンチウィルス、侵入にはIDSのような対策は限度が来ているんじゃないかともお話しされていました。またPDCAの功罪として、これを呪文として唱えすぎているとも。ポリシーの技術的ブレークダウンが結局できておらず、PDCAが現場で回らない現状があるように思えるとのことです。会計年度のような定期的に回すようなものではうまくいくが、小さいグループなどで回す場合、このPDCAの考え方が合わないのではないか。功罪として変化が起きているのではないのかともお話しされていました。
　
次に日経BP 勝村氏によるここ10年ほどのセキュリティトピックの振り返り。以下ざっくりとまとめています。
2000年 官公庁のWeb改ざんが相次ぐ
2001年 コードレッド、ニムダが出現 MSはセキュリティの話題はタブーにされているが、このニムダ出現以降MSの取材が応じてくれるようになったらしい。
2002年 脆弱性を悪用する増すメーラーKlezが全盛（プレビュー感染型）自分でそれを観測することが可能。編集部にも送られてきた。自分のメールボックスを見ることであたりを付けて調査することできた。個別のウィルスに注意喚起することが出来、非常に有意義であった。
2003年 SQL スラマー、ブラスター出現。セキュリティ関係者でブラスターへの対策で情報交換が行われた。伝えるべきメッセージは簡潔で具体的な対策が分かっており、対策をすることで防げる、対策をしないから被害にあうといった伝えることに意味があった。業界にも勢いがあり、セキュリティの専門誌も複数創刊。（セキュリティ対策と書けばうけるし、伝えるべきメッセージも書きやすいので非常に構成しやすい。）現在はHackerJapan一誌だけ。。
2004年 Winnyウィルス、フィッシング。技術的な勝負からソーシャルな場面へ移行。人間の隙を狙うようなタイプ。注意喚起をしてもやらない人はやらないような状況になる。記事を書いても暖簾に腕押しのような状態にも。
2005年 国内サイトへの不正侵入が相次ぐように。自分たちは被害者、過失なし、詳細は言えない。などが許された時代。基本的に被害者スタンスであり、謝罪は行わない、すみませんではなく応援ありがとうございますといった斬新的なテンプレートが出来上がった。標的型攻撃も目立つように。攻撃者の戦略が変化し、今までの対策だけでは防ぐことが難しくなってくる。テレコムアイザックとJPCERTがBOTを調査し、国内PCの40台に1台がBOTに感染している事実を確認した。
2006年 Winny経由の情報漏えいが止まらない事態。官房長官が「特定ソフトウェアを使用するな」との注意喚起を起こす異様な事態に。そして個別のウィルスが話題に上らず、ウィルスって減ってきている、対策はそこまでしなくてもよいのではないかという誤解が生まれる。そしてMSOfficeを狙ったゼロデイ攻撃が頻発するようになる。驚異の見えない化が進むようになる。
2007年 セキュリティで脅迫から業績アップへ考え方の転換を試みるベンダーが生まれたが、失敗。。そして経済状況が次第に悪化し、セキュリティにかける費用が捻出できないと企業側の体力が落ちている。ホラー営業（三輪氏）散々怖がらせて買わせた製品で十分な効果が得られないという背景もあるのではないか。驚異の現状と効果的な対策を速報していたが、脅威が分かりにくい時代になり、セキュリティへの関心が低下し、効果的な対策を提示できない状況に。以前ほどはセキュリティの記事が読まれなくなった気がする。これも攻撃者の思うつぼにではないか。以前のような詳細な技術情報を発信することが難しく、脅威について出来るだけ取り上げて、ネットではちっとも安全になっていないことを伝えることに力を注ぐ方向へ紙面も方向転換するように。ホラーといわれても淡々と描き続ける。そのためリストには脅威、危険、などの文字が並ぶようになる。CCCの本格運用開始。イタリアンジョブ。
2008年 企業サイトを狙う攻撃が増える。いよいよAdobeReaderがメインに。ワンクリック詐欺や偽ソフトも増えた。USBメモリを経由したウィルスが猛威を振るうようになった。
2009年 ガンブラー攻撃。MSEが登場。
2010年 スタックスネット。情報漏えいが相次ぐようになる。大規模なソリューションを導入しても防げない。
　
次はIIJ 齋藤氏。セキュリティ屋としてやってきたことは問題に対する対症療法であるとのこと。
現在の状況についてはIIRからいくつか紹介。IIRはここで参照可能です。
そして次に2011年の注目トピックについて。まずは自動ポルノ対策。有害コンテンツへの利用者からのアクセスを禁止するもので、エンドユーザーからのリクエストをチェックして、児童ポルノへのチェックを行って問題があるようなリクエストは禁止する方式。次にDDoS。これは去年たくさん起きており、今年始めには同業他社を狙ってDDoS攻撃を行った人間が逮捕されたそうです。また、クラウドコンピューティング利用の一般化、標的型攻撃 オペレーションオーロラ。関係者を装ったマルウェアを送付し、感染したPCの情報を盗んだりBOT化させるなど色々用途があるが、昔のような目立つような状況は起こさせずに情報だけを盗む傾向。そしてまじめな人ほどはまる手法も考案されており、偽ウィルスソフトを入れさせてはめるようなものもあったそうです。Web感染型マルウェア、ガンブラー、マイクロアド、mstmp、SNSワームなどこれらは正当なコンテンツの一部からマルウェア感染に誘導させられてしまうもので、攻撃側もとられている対策を熟知していることから、迂回する方法をあの手この手で考えているだろうとのことです。そしてスマートフォン。会社の組織の中のセキュリティ基準でどう扱っていいか不鮮明で、利用のされ方が公私の判別がエンドユーザー依存になっている。この辺の整理が必要ではないかと。ユーザーインタフェースが非常によくできていて、ついうっかり余計な情報を載せてしまうような機会が増えている。最後に頻発する情報漏えい事件として、ウィキリークスや尖閣諸島、一流法テルのつぶやきなど。これは個人の判断によるものであるが、結果的に企業、組織に大きな影響を与えており、このようなことが気軽にできることが1つの問題ではないかと考えることが出来るそうです。
最後に未来としてはステューピットネットワーク(舌噛みそう)からインテリジェントネットワークへ、クラウドと従来の防御手法迂回への対策、利用者のリテラシに依存して発生する情報の誤った取り扱いというのをポイントとしてあげられていました。
　
最後は元ISSの林氏。林氏がここに登壇されている理由としては、ビジネス的、経営的な視点からも意見もとのことで登壇されたそうです。
まずはISSの紹介から。インターネットが普及すれば必ずセキュリティのニーズが生まれると考えビジネスを始めたそうです。ビジネスの観点から見ると、セキュリティについても別段特別な聖域ではないそうです。また、OSはWindows,ERPはSAPのように統合と集約がされるのではないかとも話されていました。ニッチなメインストリームのマーケット（セキュリティのインフラ化）、ポイントソリューションからトータルソリューションからリスクマネジメントで、結論としてセキュリティは成長し続けると考えられているそうです。
　
さて、ここからはディスカッションに入ります。
MS高橋氏「アンチウィルスベンダ役割としてはどうあるべきか」
AVベンダT社「本来は患者がどういうことをしてその病にかかったかのトレースをすべきであるが、まだ出来ていない。現在は患者がどういう状態にあって、どのようにすれば治るのかというのが分かるだけで、今後はそのような部分に向かう必要がある」
次に国立大学教授「ユーザーがアンチウィルスベンダの情報をうのみにしてしまう点を問題視されている。結果として本来対策が取られるべき部分もユーザー自身の独自の判断で放置されてしまうような事態が発生してしまっているのではないか。」
AVベンダK社「ウィルスの検体からとりあえず見つけて対応している、ただその後のことが実は十分にはできていないように見える活動が主であるべき。解析は行っているので、それを表に出していけるような仕組みは会社としても考えていく必要がある。またはアンチウィルスベンダの業界、他の機関との連携も重要と考える。」
そして話は勝村氏が出していた「ホラー営業」に移ります。
日経BP 勝村氏「結局その脅かしという方法でないと興味を持ってもらえない。身近なホラーであることを知ってもらうことが重要。自分自身にどういう被害が起きるのか。ウィルスの名前は書かなくなってきている。セキュリティというものに対して訴求するにはホラー以外にはないのではないか。これをやるとこうなるというのは中々言いづらい。以前からの課題として効果を見せづらい。運が良ければ何も起こらない。運が悪いとすごいお金をかけていたとしてもやられてしまう。セキュリティというものは他のものとは毛色が違うので、ある程度は割り切って考える必要がある。プラス面を見せるたぐいのものではないような多少なりあきらめの状態になっているような面もある。セキュリティの意識を一般層にも持ってもらいたいという意識もあるので、淡々とホラーを伝えていくのが大事な時期ではないかと考えている。」
JNSA 井上氏「もう一度原点に戻って、きちんと整理整頓していきましょうと。そしてベンダ向けに質問として、「OS、NW、製品様々なベンダがいるが、形としては統合化のような、サービスのインフラ化が進んでいくうえで、どこがひっぱっていくのだろうかというところを考えてほしい。」
日経BP 勝村氏「経済状況の悪化などを起因として、セキュリティの投資をやめているような話をよく聞くが、実際のところはどのような状況なのか」
井上氏「目に見える効果は中小企業といえどもお金を出してでも対応をしている。それ以外のマネジメント関連などになるとお金が出せない状況とのこと。大手企業や取引先から要求される場合は対応するが、自分でやろうと考えるところとしては費用対効果として圧迫される要素となり得るので抑えているところは多いものと考える。」
IIJ 齋藤氏「マルウェアは複数の種類、機能を備えており、扱う上で焦点が定まっていない問題を突き付けらえている。これは本質的にどのように喚起すべきなのか。今回は外部に有名になっていない種類も含めたru.8080をマップとしてまとめているが、IIJとしてこれをビジネスで行うのは難しい。情報の需要はあるだろうが、果たしてだれがやるのか。」
MS 高橋氏「境界領域防御が迂回されているに代表されるような事例は、一つ一つの検体の話であったが、このガンブラーのように境界領域に入ってしまった場合この防御がうまく働かなくなってしまうため、同じレベルの技術開発が必要とされる。」
ITベンダI社「単体だけでは数字につながっていないが、ISSのソリューションがはまることでトータルとして非常に良いものが出来た。顧客にも徐々に売り上げつつある。スピードが若干落ちているが持ち直してきている。ホラー営業の時代は完全に過ぎており、販売する側よりも勉強しており、下手に煽ろうものなら勉強して出直して来いと言われるような事態にもなる。トータルソリューションとして、同スピードとして動いているような時代であるので、きちんとしたソリューションを提供していく必要がある。しかし、高価なソリューションとして、ダミーカメラしかないのではないかといった事情もある。昔のような入れるといったら全部ソリューションを入れるような時代は終わっており、まずリスクが何かなどのアプローチをとり、最適なソリューションを入れることを繰り返すことで信頼を勝ち得ることでセキュリティという言葉そのものが消え、インフラというものになるかもしれません。」
IIJ 齋藤氏「ポテンシャルとしても顧客には伝わらない。結局それで何で終わってしまう会話。リスクを見せるというのは例えばどんなふうに見せればいいのか。ポテンシャルを見せるのは技術屋は得意だが、それをリスクとして見せるにはどうすればいいのか。火事場泥棒営業、事件を起こしたお客さんとは非常に付き合いやすい。顧客にとって自分たちがどれぐらい価値のある情報を持っているのだろうか、意外と何でもかんでも重要な情報になってしまっているのではないだおるか、その辺の見直した必要と考える。」
そして徐々に可視化とかそういった話に。
MS 高橋氏「投資対効果はどんなふうにとらえているか。」
ITベンダS社「自社のセキュリティをやっていたとき、経営層とそういった話をすることがあるが、結局どうなのかという部分を要求されてしまう。どのように起きないようにするかという話やマルウェアに感染しないようにするにはどうしたらよいか、そしてそれはお前の仕事だろうといわれる。経営層としてそういう考え方はある。自分たちがやっている仕事がどのように信頼を取得するか、人間関係、精神的な話かもしれないがこのような環境づくりがセキュリティには非常に重要と思われる。顧客サイドに同じ土俵に立ってお話しできるのであれば、フランクに色々とお話が出来る、専門家の立場で説明でできる、経営層への説明も考える必要がなくなる。そういう意味では日本にはユーザーサイドにセキュリティの専門家が不足している。セキュリティは単独では成り立たず、一つのパーツとして考えらえる。うまく分担を決めながら、きちんと関係づくりを決めていかなければならない。」
MS 高橋氏「JOモデルからもってきて、簡単にできるリスク算出アプリがある。」
MSのリスク算出シュミレーションツールの紹介がありました。
ITベンダF社「社内のISMSを担当していて現場ではメール誤送信、顧客物紛失などの解決策としてPC持ち歩きを禁止するなどの話が中心。しかしウィルス感染というのはあまり実感がない。今日話を聞いて見て、話されている次元が多少違うようにも思えた。あくまでも安心を与えているという実感。多少意識の違いがあるように思える。」
MS 高橋氏「情報漏えいとして紛失するものは紙。ものを落とすというのはITではないという考え方。PC落とした際のリスクを逓減することも出来る。安心を売るということは1つのヒントだと思う。」
JNSA 井上氏「セキュリティ対策は人、ITでやる部分をきちんと使い分けましょう。うっかりミスというのは人として習慣をしても、無意識の中で対策出来るものはテクニカルな部分ではないか。」

ということで2時間のBOFは終わりです。
多分抜けていたり、解釈が異なる部分もあるので、当日他の方がまとめられているTogetterもぜひ合わせてご覧ください。
BOFをまとめるのは思ったより大変ですね。。次回はもう少し読み手にもわかりやすいまとめ方が出来る様に心がけたいところです。