こんにちは、SBT ブログチームの佐藤です。
今日は、2018年10月26日(金)仙台で初めて開催しました『情報セキュリティマイスターによる最新サイバーセキュリティ対策』のセミナーレポートをご紹介します。
本セミナーでは、アプリケーションセキュリティの世界最大コミュニティ OWASP の日本チャプターの創立者で、現在もリーダーを務めるアスタリスク・リサーチ社代表の岡田 良太郎氏、TV や書籍などでもセキュリティに関する情報発信を行っているセキュリティリサーチャーの辻 伸弘、業界屈指の知見と提案力を有するセキュリティスペシャリストの小林 青己が、サイバーセキュリティの最新動向やその対策についてご紹介しました。
当社、東北支社 支社長代行 古海 満からはじめにセミナー概要の説明とご挨拶をさせていただきました。
株式会社アスタリスク・リサーチ エグゼクティブ・リサーチャ 岡田 良太郎氏のセッションでは、「シフトレフト」というキーワードをもとにシステム開発における3つの問題として、「セキュリティ投資の配分」「オープンシステムソフトウェア(OSS)の使い方」「脆弱性対応のタイミング」が取り上げられました。
システムの脆弱性報告のうち、92%はソフトウェアが起因しているが、セキュリティに対する投資の約90%がネットワークプラットフォームやアプライアンスであり、残りの10%ほどしかソフトウェアのセキュリティ改善に投資されていないという報告があります。投資するにしても、本当に直面しているリスクに対応できているかを検討する必要があると提言しました。
また、OSS の普及によりシステムは開発しやすくなった反面、システムの脆弱性において気をつけるべきは自社の開発した部分だけでなく、OSS まで考える必要がある。利用している OSS の部分が攻撃面となっていることは明らかです。それで、OSS を使うということは、運用上、継続的に OSS のアップデートを適用する必要があるということです。
最後に、システム開発時のセキュリティ確保における脆弱性対応について説明されました。システムのセキュリティテストをリリース直前に実施することが多い。しかし、リリース直前に実施して脆弱性が発見される場合、スケジュールの面でも品質確保の面でも手戻りが多くなるため、対応が非常に難しくなる。実際に対応をあきらめる例も散見されています。そのためにも最終的なテストに頼るのではなく、要件定義・設計・構築フェーズといった前段階においてセキュリティ確保施策に注意を向けていくことが重要だと提言しました。
わかりやすいガイドラインとして、OWASP Proactive Controls(事前の対策)を用い、前もって段階的に気を配って開発を進めることで脆弱性を生みにくい、リスクに対応する能力の高いシステムを作ることができる、それが「シフトレフト」コンセプトのメリットであると説明されました。「いずれ起こるシステムのセキュリティ侵害の発生確率を下げるにはどうしたら良いのか。それは後付けできるものではなく、事前の段取りにあります。問題が発生しても、その対策プラクティスに丁寧に変換していくと、いずれセキュリティは、組織での常識、組み込まれたプロセスとなります」と締めくくりました。
当社のプリンシパルセキュリティリサーチャー 辻 伸弘のセッションでは、企業や官公庁での情報漏えいの事例をもとに、企業の対応のあるべき姿について提言しました。
総務省が公表した「安全なパスワード管理」の指針で、これまで推奨されてきたパスワードの定期変更ルールから、企業は定期変更を強制すべきではないと変わったといいます。定期変更を強制することで、ユーザーは変更したパスワードを覚えられないことから、より脆弱なパスワードを設定してしまい、情報漏えいの危険性が高まるためだという。そこでソフトバンク・テクノロジーの新しいパスワードポリシーを例にあげ、企業でのパスワード設定ルールのあり方を説明しました。
次に、従来の標的型攻撃(情報窃取型)ではなく、標的に狙いをすませたランサムウェアを利用した攻撃の対策として、脆弱性の修正や、ウイルス対策、NW 構成の把握をしておく必要がある。それでも感染してしまった後の対応として、バックアップからのデータ復旧や、金銭の支払いがあるが、それらは事後ではなく事前に検討を行っておく必要があると言います。バックアップのデータは取っていても、戻す手順を示すマニュアルが最新になっていないなど、さまざまな理由で素早く100%戻せる企業はなかなか無いと辻は言います。「被害にあったときにどれだけ早く戻せるか、確認や訓練をすることが大事である」と話しました。
最後に「セキュリティは誰のものか、それはみんなのものなのです。セキュリティ専門家のためのものではなく、特別なものでもありません。社内でセキュリティについて伝えたり、詳しくない人たちからも話を聞いてみてください。そういったことをすることで組織力を強め、底上げしていくことができます」と締めくくりました。
当社の技術統括 PMパートナー本部 プリンシパルセクリティコンサルタント 小林 青己のセッションでは、これまで数多くの公共の大型プロジェクトを推進してきた立場から、セキュリティの提案や運用に関するポイントについて、これまで導入してきた事例を交えてご紹介しました。小林は、提案ではあらかじめ「グランドデザインをしっかり描くこと」が重要だと提言しました。提案を依頼される背景として、法律やガイドライン変更への対応、課題解決などがある。そういった場合でも、同業他社がどのようなセキュリティ対策を行っているのかを把握し、課題を意識しながら業務整理を行い、グランドデザインを描くことでより良い提案ができるのだといいます。また前例にとらわれないことも重要であると説明しました。
ご来場いただきました皆さま、本当にありがとうございました。
最後の打ち上げでは、三陸の「舟盛」と仙台名物「ずんだシェイク」をいただいて東京に戻りました♪
関連ソリューション |