Planet, Programing, Sapporo, workshop

第11回北海道情報セキュリティ勉強会に参加しました

Written by irasally on . Leave a comment

5月18日(土)に開催された、第11回北海道情報セキュリティ勉強会(せきゅぽろ)に参加しました。
今回のテーマは「クラウドのセキュリティ」。
当日朝まで参加を迷っていたのですが(寝だめしたくて…)、セキュリティについての根本的なところの話が聞け、参加して良かったと思えました。

セキュリティとは科学である

株式会社ディアイティの河野省⼆さんがいらっしゃり、3部構成でセキュリティのお話を聞きました。

  1. 情報セキュリティの現場力・使えるスキルと⼈材像
  2. クラウドサービスにおけるセキュリティ
  3. 最近のいろいろなセキュリティの話題

「情報セキュリティは目的ではなく手段である」「ISMSを取得するための情報セキュリティ対策ではなく、真に会社に必要な対策を考えるべき」「利用者の意識を向上させるのではなく、システムで何ができるかを考えるべき」・・・などなど、出てくることが目から鱗の言葉ばかりでした。

特に今まで勘違いしていた(というかそういうもんだと思っていた)ことで、ハッとなったのは次の3つ。

  • 社で許可されたUSB以外の外部メディアをPCに接続するのを禁止するのはウィルスが入り込まないようにするため?
    → 否。ウィルスからの保護はウィルスソフトがやればいい。本来の目的は残存データが漏れないようにするため
    (USB上のデータは初期化しても消しきれない、復元できる可能性がある)
  • 大事な書類をメールに添付する危うさ
    → 上司があるファイルに必要事項を入力して返信するよう、5人の部下に書類を添付してメールを出したとする。
    この場合最終的に、マスタファイル(1)、上司の送信フォルダ(1)、各部下の受信フォルダ(5)、各部下のマシン(5)、各部下の送信フォルダ(5)、上司の受信フォルダ(5)、上司のマシン(5)合計27ファイル、つまり26ファイルものデータコピーができる。
    データコピーができればできるほど、漏洩のリスクが高まるわけなので、共有サーバーやクラウドの利用などで適切に管理するべき。
  • メールで重要書類を送る時は、ファイルを圧縮して暗号化し、送信メールとは別便でパスワードを送りましょう
    → 別便でパスワードを送ることに何の意味もない。だって同じNW上じゃない?POPメールなら1つのデータになることもあるよ。(金庫を盗まれた道を鍵を持って歩くようなもの。泥棒は待ち伏せしているだけでよい。)
    この場合、パスワードはメール以外の手段で伝えたり、送り先と共通の認識(相手先の会社の電話番号など)をパスワードにするよう取り決めておく方が有効。

どれもやっていることだなあと。しかも何も疑問に思っていなかった。

特に2番目。クラウドなど外部にデータを預けることは危険・禁止となる風潮が多いけれど、ファイルが大量にコピーされるという脆弱性がメールにはあるのだということを恥ずかしながら意識したことがなかったなあ。
適切にログが取れて、管理権限も調整できる共有サーバーやクラウドの方が脆弱性は少ないのですね。

禁止は何も生み出さない

「○○してはいけない」というルールを生み出すことが情報セキュリティではない。これも目から鱗。
どうしても「あれもできない」「これもできない」「これも禁止された」「セキュリティって面倒」となってしまう事が多いので…。
これは「情報活用のための情報セキュリティ」について考えられていないから。
ISMS取得のためであれば、禁止を増やし続ければよいのだろうけれど、新しい事をはじめる・次の時代の事を考えるときに禁止は足かせにしかならない(「一つでも禁止事項があればそれに足を引っ張られて新しい事が導入できない」)。
「してはいけない からの脱却」のために、正しい知識を持った情報セキュリティマネジメントができる人が必要なのですね。(SSCPという資格があるよ!)

クラウドのセキュリティ

「クラウドを利用してリスクがないわけがないじゃないか、でも、リスクがあるからと言って利用を禁止するのはもっと馬鹿」
という最初の言葉が印象的でした。
大事な事は「免疫力を高める」こと(風邪をひくからどこへも行かない?体力つけてどこかへ出かける方がよくない?)。
そのためにはクラウドの特徴を知って、メリットデメリットをきちんと把握する事が大切。
どのようなリスクマネジメントをするかは、その会社・組織に応じた適切な方法や範囲を選択する事になる。
だから資料を参考にしてどーんとは決めきれない事も多い。
そのために中小企業向けのチェックリストなどを作って配布しているようです。

また、ガイドラインは参考程度にとどめておく事も重要。ガイドラインを丸写ししてもリスク対策はできない(「知識を集約するだけではよいものは作れない」)、現場に合わせて息を吹き込む事が大事。
この辺りはプロジェクトマネジメントなどとも似ているなあと思いました。
どちらも人間が関わる、組織によって文化的背景が違う、生のもの。

最近のセキュリティ色々

興味深かったことを箇条書きに。(3部は力尽きていてメモも少なかった・・・)

  • アンチウイルスソリューション
    クラウド型(ソーシャル型)であれば、ゼロデイ攻撃にも対応できる可能性があるかも?!集合知。
  • 標的型攻撃の判定にクラウドを使う
    クラウド型(ソーシャル型)であれば、自社が狙われているのか皆狙われているかわかる。
  • 結局スマートフォンもガラパゴス化している
    Androidのバージョンだけじゃなく、各機種にデフォルトアプリが色々入ってるー。
  • スマートフォン対策が大変だけど重要になる
    クラウド系のアプリってブラウザだけじゃなくAPIもあるよね?つまりAPIやアプリのレベルでの対策を講じる必要がある。
    技術が高度になった分、その辺りの対策は大事になる。

—-
自分のメモ+当日配布いただいた資料で思い出しながら書いてみました。
こうやって、まとめてみると濃いですね。
冒頭に書いたセキュリティについての意識、これが変わったのが一番大きいです。
普段の行動の目的を考える事ができるようになった。

例示がわかりやすい

全体を通して、途中途中で出てくる例示がとてもわかりやすかったです。
例えば
「今財布の中に入っているお金が1円/10円/100円/1000円単位でわかる人?」(それぞれに手を挙げる)
「お財布の中身を1000円単位でしか把握できていない人は10円、100円がなくなってもたぶん気がつきません」
「=セキュリティを高めるには、きちんと管理できている事が重要になります。」
という例。なるほどー!!と思いました。

おやつ

和菓子、和菓子たっぷり。
Untitled
お団子も柔らかくて素敵でしたが、ここの豆大福、美味!

IT勉強会スタンプラリー

全国規模で行われている勉強会のスタンプラリー、IT勉強会スタンプラリーにせきゅぽろが参加している、ということで、記念すべき1つ目のスタンプを押しました。
Untitled

北海道では、せきゅぽろCLR/HLOCAL PHP部がスタンプ対象の勉強会です。
「違う勉強会に3回」か「同じ勉強会に3回」で何かもらえるみたいです。
行ったことのない勉強会ばかりだけど、スタンプを押すために参加してみようかなぁ。
面白そうな内容の勉強会があったら飛び込んでみよう、と思いました。

2012年3月31日から1年間で始まっているこの試み、次回はもっと北海道でも参加する勉強会が増えたら上位を狙えて楽しいですね!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください