Black Hat Japan 2007 Briefings 潜入レポート基調講演：「情報セキュリティ管理のための新しい技術」奈良先端科学技術大学院大学情報科学研究科教授山口英氏

10月25日,26日の2日間、新宿で情報セキュリティの専門家が集う国際会議「Black Hat Japan 2007 Briefings」が開催された。Scanでは同会議に特派記者を派遣し、その模様を報告する。最初に、26日の午前に行われた山口英氏の基調講演をレポートする。

─

●コンピュータとネットワークがビジネスを駆動する社会
情報システムが社会に浸透したと言われて、もう何年も経った。それがこの5年ぐらいで、フィールドでも実感できるようになった。

たとえば、宅配便を受け取る際に配達員の方をよく見てみると、腰などにたくさんのガジェットをぶらさげている。受け渡しをした後は、端末を叩いて何かデータを送信しているようだ。これまで”配達する”という部分は、ビジネスの中で人間が担っていたが、今やこういったフィールドに出ている部分にまで情報システムが浸透している。

こういった情報システムは複雑さを増すばかりであり、何か問題が起きた際には一気にシステムが停止してしまう事態もしばしばある。複雑故に相互の依存関係が見えにくくなり、問題箇所が判明しにくいという状況になっているのだ。

基調講演を行った奈良先端科学技術大学院大学の山口英氏は、近年の情報システムの基盤化について、情報セキュリティの観点で、技術が担うべきものがまだまだ残っていると指摘する。

●情報システム＝ビジネスそのもの
冒頭の例のように、ビジネスにおいて情報システムは欠かすことができないものであり、末端部分にまでネットワークが行き届いていることも増えてきた。情報システムに対する投資も積極的に行われており、情報システムの基盤化がますます進んでいる。今や、情報システムがビジネスそのものであることも多いため、何か起こった場合にはそれによる経済的損失は小さくはない。

こういった情報システムは全体を一気に作り上げるのではなく、ビジネスの状況などに応じてシステムが継ぎ足されていることも多く、新旧のシステムが混在し、大規模かつ複雑になっている。そのため、事態が起こってしまう前に問題箇所を特定することが困難か、特定できたとしてもシステムをリセットする以外に解決手段がないということもある。

●テクノロジーが担う情報セキュリティ
情報セキュリティマネジメントでは、リスク評価や戦略、検収や訓練などがあるが、重要なのは普段のビジネスプロセスに情報セキュリティを組み込むことである。

トラブルが発生した場合の対応手順を用意していても、とっさに実践できる人は少ない。人は普段やっていることしかできないと考えた方がよい。たとえば、日常的にバックアップを取っている人は多いだろうが、リストア作業はたまにしか行わないため、いざリストアとなると戸惑うことも少なくないだろう。

また、昨今の内部統制事情などによって、情報のライフサイクルを考えなければならないこともあるだろう。そのサイクルの中で情報の作成・入手時には、“重要”や“機密”などのように情報の格付けを実施しなければならないとあったとする。しかし、これを人に任せるとまったく機能しないことが多い。

コンプライアンスで求めても統制することは無理な話である。システムの中にルーチンを組み込むなど、テクノロジーで解決すべきである。

●問題を解決するために必要な技術
情報システムの基盤化の進展に伴い、様々な新しい技術が登場し、また運用への統合が求められている。情報セキュリティの観点から、この問題を解決するために求められる技術については次のものがある…

【取材・執筆：株式会社トライコーダ上野宣(http://www.tricorder.jp/)】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec