 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
ECOM、セキュリティ対策を具体的に支援する評価モデルを策定中 |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
~第4回 ECOM 情報セキュリティ最新技術セミナー パネルディスカッション
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
ディスカッションでは、富士通株式会社 システムサポート本部 セキュリティビジネスユニット商品企画担当部長 岸田 明氏がコーディネータを務め、パネラーとしてインターネットセキュリティシステムズ株式会社のIT企画室 室長の高橋 正和氏、独立法人 産業総合研究所グリッド研究センター セキュアプログラミングチーム長の高木 浩光氏、ECOM主席研究員の重松 孝明氏の3氏が参加した。 まず岸田氏が、課題を検討する上でのアプローチとして、商談、設計、開発、テスト、運用の各工程において、価格、納期、機能、性能、セキュリティがどの程度の比重を占めるかについての見方を提示した。同氏は「各フェーズでイシューが違い、処理の完全性やサービスの可用性を含めたセキュリティは、運用段階で興味の中心となる」とした。 現在セキュリティ監査を行う上で注目されつつあるISMS適合性評価制度で、内容の参照元となっているISO 17799では、このうち「運用フェーズが中心」とし、また同じく国際標準であるISO 15408は「現在では商用アプリケーションの品質保証といった側面が強いが、システム構築や、アプリケーション開発を評価する手段として、設計にフォーカスされたもの」とした。そして「システムのライフサイクル全体でのセキュリティ制度が必要なのではないか」との考えを述べた。
そして「現在広く行われているセキュリティ対策は、ポイントソリューションでの対応が多い」とし、「システムとしての設計を考えなければ、どのツールを利用したからといって完璧はありえない」とした。一方でこうしたツールは「専門性を要求するものがほとんど」とした。インターネットの普及で、小規模企業でもECサイトなどを運用する現状では、「オールインワンのアプライアンスをひとつ入れれば対策できるようなアプローチも必要になる」と語った。
セキュリティ対策の現在の課題として、基本設計でセキュリティを要件定義するにあたって「完璧を目指せば個別具体的に書くしかなく、漏れたものは追加コストが発生する」と問題点を提起、「設計段階で適正な価格を把握できるようにし、費用をかけることを常識化すべき」として重松氏を中心にECOMで策定中の“セキュリティ対策評価モデル”への期待を述べた。
個別のシステムごとに具体的な対策内容は異なるものだが、同氏は「判断の尺度になるようなものにしたい」とした一方、「ITインフラを取り巻く技術や環境は変化し続けるものなので、維持管理するスキームが必要になる」との見方も示し、今後は、「各項目に専門家のノウハウを付け加えられる体制を目指したい」とした。 岸田氏は、セキュリティ対策評価モデルについて「技術に寄った内容なので、経営層が理解できるステップが必要になるのでは」との疑問を呈し、これを受けた重松氏は「セキュリティ対策は会社経営そのものの問題であり、現状ではまだ自らの問題と考えていない経営者が多い。次の段階として経営レベルに抽象化することは視野に入れている」とした。 重松氏は最後に、今後浮上するセキュリティ対策のテーマとして「データの真性への施策はノーガードに近い」として改ざん検知の問題を指摘、「Word文書で保管したデータが3年後に扱えるかといった継続性の問題とともに、情報保護の観点から、早い段階で重要な問題になるだろう」と述べた。 ■ URL 電子商取引推進協議会 http://www.ecom.or.jp/ 富士通株式会社 http://jp.fujitsu.com/ 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム http://securit.gtrc.aist.go.jp/ インターネットセキュリティシステムズ株式会社 http://www.isskk.co.jp/
( 岩崎 宰守 )
|
|
|
|
|
|
|