[Internet Week 2016] 厳選セキュリティセッション第6回「ファイルの受け渡し方法を考える～暗号化ZIPは何のため？」 JPNIC 木村泰司氏 2ページ目

―― 今年のInternet Weekもセキュリティ関連のセッションがたくさんありますが、「暗号化ZIPは何のため？」は、ほかのセッションよりも具体的な印象を受けました。企画意図は何でしょうか？

Internet Weekのプログラム委員会の中には「セキュリティチーム」というものが組成されており、セキュリティに関するセッションはほぼ、このチームで考えています。チームのメンバーで他のセッションも含めてさまざまな企画を出し合っている時に、「セキュリティはSOC(セキュリティオペレーションセンター)とか、CSIRT(Computer Security Incident Response Team、シーサート)の話ばっかりじゃないよね」ということが話題になったんです。

多くの職場で、暗号化ZIPでなんとなくファイルを送受信してしまう状況は、身近でありつつも、「誰かセキュリティ関連の人が対応してれば良い」という類の問題でもないと言えます。それをみんなで考えたいということで、きわめて具体的なテーマをあえて取り上げたという背景があります。

―― 暗号化ZIPに対する、具体的な問題意識とはどういうものでしょう？

企業などで多くの方が、ZIPファイルにパスワードをかけ、暗号化してメールに添付する形でファイルのやり取りをしていると思います。そして、その次に送るメールにそのパスワードが書かれているという形ですね。それは果たして安全なのか？というのがこの問題意識の発端と言えます。パスワードを別メールとして送るのは誤送信の対策だと思うのですが、同じ宛先に送っていたら意味がないですよね。

一方で別の見方をすると、この方法にはユーザーとして実現されていて欲しい要件も入っているとも言えます。後になってからメールを掘り出すことでファイルを取り出せるとか、パスワードをもともと知らない人にもファイルを転送すれば共有できるといった点です。しかしそのために本来のセキュリティがおぼつかないのでは意味がありませんよね。

また「会社からやれと言われたから」「ルールで決まっているから」でストップして、「自分たちのやっていることは大丈夫なのか？」を考えていない現状に警鐘を鳴らしたいと思います。

―― そのために、どうセッションを組み立てる予定ですか？

まずは、正しく安全にファイルをやりとりするのはどういうことなのか、例にあげた暗号化ZIP＋パスワード送付の何が悪くてどうすれば良いのかということを説明しつつ、利便性や他の面でのセキュリティの観点にも触れて、ユーザーの視点とセキュリティ担当者の観点の両方から、この問題を整理したいと思います。

その後、別の方法という位置づけで、GnuPGやS/MIMEのチュートリアルを予定しています。しかし、こうしたツールを使えばよいというものでもないので、課題を深掘りするお話をいただく予定です。その上で、Web上でファイルを受け渡せるサービスについても触れていきたいと思います。そのサービスを使うことで、課題に関してどうやってアプローチできるのかを一緒に考えていきます。

最後のパネルディスカッションでは、送受信者のリテラシーや予算、その他要因など、組織によってさまざまな制約があるなかで、いくつかのケースを挙げながら解決策を模索し、ファイルを受け渡すケースに応じた解決策について議論することを考えています。

―― 今年のテーマ「見抜く力を！」つけるためのプログラムと言えそうですね。

そうなんです。「ルールで決まっているから」「みんなが使っているから」という理由でセキュリティに関わることをやってしまっている現状に対して、「何のために仕組みがあるのか」「自分たちの業務ではどういうことをやりたいのか」「これからもずっとこのファイルを共有したいのか、それともワンタイムの受け渡しでいいのか」といった点も考慮し、セキュリティや業務の本質を見抜いてセキュリティ施策の改善をして欲しいと考えています。

そういう意味で、ご登壇いただいている皆さまが、学術方面、セキュリティ方面と、立場を超えたところでこのセッションができるところは面白いと思います。

―― このプログラムをどのような方に聞いていただきたいですか？

常日頃、暗号化ZIPでファイルをやり取りしている方をはじめ、組織の中で業務のセキュリティを考えている方、または組織においてセキュリティの施策に関わっている方に聞いていただきたいです。

―― 最後に、読者にメッセージをお願いします。

セキュリティの技術を導入しさえすれば安全だという考え方は、通用しないと言われて久しいと思います。「うちはIPSでセキュリティ対策できている」とか「CSIRTがあれば安心」とか、施策として必要ではありますが、それは一つの側面でしかありません。やはり、実態として効果があることをやらないといけませんよね。

繰り返しになりますが、本質を見抜いて、ルールや施策を考えることが重要だという考えで、このセッションを企画しました。このセッションが扱うテーマは暗号化ZIPのことですが、この話題を一つのきっかけに、皆さまのセキュリティ施策を考え直せる場になれば良いなと思います。パネルディスカッションでは、そういったところまで深く話せればいいです。ぜひご期待ください。

●プログラム詳細
「T17 ファイルの受け渡し方法を考える～暗号化ZIPは何のため？」
https://internetweek.jp/program/t17/
- 開催日時:2016年12月1日(木)16:15～18:45
- 会場:ヒューリックホール＆カンファレンス(浅草橋)3F Room3
- 料金:事前5,500円／当日8,000円

16:15～16:35
1)暗号化ZIPは何のため？
木村泰司(一般社団法人日本ネットワークインフォメーションセンター)
中津留勇(SecureWorks Japan 株式会社)

16:35～17:15
2) チュートリアル GnuPG と S/MIME ～組織間での利用を見据えて～
中村素典(国立情報学研究所)

17:15～17:55
3) 添付ファイルにせずにファイルを受け渡すサービスの意義
講演者調整中

17:55～18:45
4) パネルディスカッション：ファイルの受け渡しにまつわるケーススタディ
モデレータ
木村泰司(一般社団法人日本ネットワークインフォメーションセンター)
パネリスト
中津留勇(SecureWorks Japan 株式会社)
中村素典(国立情報学研究所)、その他調整中

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。