Enterprise Watch
最新ニュース

KDDI中尾氏「リスクが許容値を下回るのが情報セキュリティのコンセプト」

Web Application Security フォーラム 基調講演

 日商エレクトロニクスなど6社により2004年3月に設立されたWeb Application Security(WAS)フォーラムが主催する第1回目の「Web Application Security コンファレンス」が5月25日に開催され、KDDI株式会社 技術開発本部 情報セキュリティ室長 中尾 康二氏が「情報セキュリティ戦略と課題」をテーマに、情報セキュリティにかかわる戦略と標準化について、基調講演を行った。


KDDI株式会社 技術開発本部 情報セキュリティ室長 中尾 康二氏

情報資産の機密性、完全性、可用性を保護する情報セキュリティマネジメント
 同氏は、情報セキュリティの背景となる今日のビジネス環境について、「顧客やマーケットからの要求増大による、ASDLをはじめとした回線の普及と、アクセスの容易化、モバイルの普及による利便性の向上などから、ネットワークへの依存度が高まっている」とした。一方でウイルス/ワームの悪質化と脆弱性公表から出現までの短期化、セキュリティパッチを適用していないユーザーの存在などから、「セキュリティの脅威は増加し、被害も拡大している」とした。

 「脆弱性はシステムの穴」とした同氏は、情報セキュリティマネジメントの確保について、管理面の脆弱さを突くウイルス/ワーム、内部流出、不正アクセスやファイル破壊などの要因から、守るべき情報資産の機密性(Confidenciality)、完全性(Integrity)、可用性(Avaravirity)を保護することと定義した。

 これを実施するにあたっては、経営情報や顧客情報、人事情報などの情報資産を把握し、それぞれのリスクを計量・評価しなければいけないという。「もし損害を受けた際に、信用の失墜などを含めてどれほどのダメージになるのかを把握し、これに見合った低減・回避の対策を行うべき」とした。

 また同氏は「情報資産の重要度は変化しないが、時間経過により脅威の度合いは変わっていく」とし、「それぞれの情報資産にリスク値を定量的に付与する一方、脆弱性にはどんなものがあり、どういう脅威が存在するのか、また発生頻度などを分類・評価する必要がある」と述べた。

 これをPDCAサイクルにのっとって継続的に行うことで、「許容レベルを下回るようにするのがコンセプト」とのこと。またリスク回避および移転の手段として、アウトソース、損失を補てんする保険などを挙げた。

 具体的な情報セキュリティ対策としては、入退室管理などの物理的なもの、ファイアウォールやIDS、アクセス制御などの技術的対策、インシデントが発生した緊急時の危機管理面の整備を挙げたほか、教育や運用などの面にも触れ、「いかに人を管理し、要員をコントロールして認識をもってもらうかが非常に大きい」と述べた。そして「これらの対策が総合されていないとうまくいかない」と語った。


算定のための指標となる脆弱性発見からワーム発生まで
脆弱性を数値化する計算式。経験則によるもので「必ずしも証明できるものではない」という 脆弱性と脅威レベルの変動を踏まえ、資産の重要度と許容レベル以下に

情報セキュリティに関する国際的な標準化動向

情報セキュリティに関する各主国際規格・基準

ISMSを取得する国内企業は、大幅な増加を見せている

インターネットセキュリティ対策推進協議会での情報伝達網の概念
 続いて同氏は情報セキュリティに関する国際的な標準化動向を紹介した。国際標準化機構であるISO/IECで、情報セキュリティを担当するのはJTC1/SC27という組織。同氏はテクノロジーを踏まえた要求条件に基づいて、セキュリティマネジメントやTTPサービスの標準化を進めるワーキンググループ1の議長を務めている。このほか暗号アルゴリズムや認証メカニズムなど基礎的な技術についてのWG2、製品やシステムの評価基準を担当するWG3が存在しており、バイオメトリクスに関するJTC1/SC37とも連携して、基準策定を進めているという。

 ここで定められたのが、10のマネジメントドメイン、127のコントロール管理策で構成されるISO 17799。しかし現在この規格は、制定直後の2001年10月から改定作業に入っているという。「もともとはイギリスのBS 7799を規範にしており、アメリカ、カナダ、ドイツ、フランスなどが強く反対していた」ためだという。同氏はISOの標準化プロセスについては「3~4年かかるため、その間に世の中変わってしまう」とし、「策定当時のメインフレームを中心としたシステムを前提にしたものから、環境の変化を織り込み、目的をクリアに、管理策もしっかりと」明記した内容を目指しているという。

 また来会期からは、モバイル利用を含めたセキュアなWebサービスなどアプリケーションやサービスに関するものと、脆弱性情報の共有、インシデント運用など通信インフラにおけるネットワークレベルの対策についての議論を始める予定だという。

 ISMS規格については、国内でISMS評価認定制度として広まっている点に触れ、「現在世界でISMSを取得するうちの約半数が日本企業で、このペースは当分衰えないだろう」とした。またこちらの改訂作業についても同氏が携わっており、「2004年中にも取りまとめたい」とした。また国内でも11月にユーザーグループを立ち上げるとのこと。

 同氏はISOは「あくまで基準となるガイドラインで、英語で言えば“Should”、一方のISMSは認証、認定の軸になるもので“Shall”」とその違いを表現した。そしてISMS監査制度について「客観的な国の基準に即して、独立した人間が評価するもので、企業の対策を構築するひとつの手段」とした。

 こうした情報セキュリティの規格・基準をいかに共有、流通させるかについて、同氏はインターネットセキュリティ対策推進協議会の設立を公表した。「何かが起きたとき、ユーザーに情報を配布するのが狙い」だという。先ごろIPAより発表された脆弱性情報取扱いに関するガイドラインの策定と同じ趣旨の元、エンドユーザーに対策を流通させる役割を担うという。

 同氏は「一般ユーザーや一部企業への情報伝達がうまくいっておらず、ベンダーから対策が公開されたとき、内容がわかりにくい面がある。また伝達手段も不徹底で、発生の際の窓口や相談側の知識にもばらつきがある」とし、「ユーザー状況に依存はするものの、PCを購入した店やベンダー、SI、地域のエキスパートなどに向け、回避修正方法を明確化した情報をPush型で配信していきたい」とした。

 協議会については7月に正式発表、9月よりサービス開始の予定となっている。



URL
  Web Application Securityフォーラム
  http://www.wasf.net/
  KDDI株式会社
  http://www.kddi.com/

関連記事
  ・ 日商エレクトロニクスなど6社、Webアプリケーションセキュリティの研究フォーラムを設立(2004/03/11)
  ・ IPA、脆弱性情報取り扱いに関する体制の提言を発表(2004/04/06)


( 岩崎 宰守 )
2004/05/25 20:08

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.