2005年10月11日

ネットワークセキュリティ・ワークショップin越後湯沢

10月6日〜8日にあった「ネットワークセキュリティ・ワークショップin越後湯沢」にいってきた。
 http://www.yuzawaonsen.gr.jp/conf/

今回で5回目ということだった。白浜シンポジウムの姉妹シンポジウムらしい。

セキュリティの様々な分野の話がきけたし、車座会議などで参加者の方とお話する機会もあり楽しかった。

第1日目のメモ
-----------------
「サイバースペースを守るための2つの課題:人材と技術」
フランクリン・S・リーダー(Mr.Franklin Reeder)

情報システムコントロール協会(ISACA)のチェアマン。
CISのチェアマン。


ベンダーは安全性に欠けるシステムを出荷して、ユーザに設定をまかせている。
ユーザの多くは、システムを強化するための知識や時間がない。
理由は、ベンダーが問題だとおもっていない。ユーザも望んでいないなど。
→より安全なものを出荷するよう圧力を。

コンセンサス構成ベンチマークとスコアリングツール
○the CENTER for INTERNET SECURITY(CISベンチマーク)
 http://www.cisecurity.org/

 無料のコンセンサス構成「ベンチマーク」とスコアリングツールダウンロードできる。
 OSや市場占有率の高い製品に対応。

 レガシー、エンタープライズ、ハイセキュリティの3段階。
 たいていはレガシーかエンタープライズ。

 既知の脆弱性の80%〜100%は、ベンチマークのセキュリティ設定で阻止できる。
 
 米国政府が利用。FISMAへの準拠。
 民間でも、規制要件に準拠するためのベストプラクティスとして利用
  Sox法
  HIPAA:患者の個人記録のプライバシー確保のため
  GLBA:グラム・リーチ・ブライリー法。HIPAAの金融版。3人の議員の名前から。
  EDUCAUSE:大学が集まった非営利団体。
    大学のセキュリティは一番難しい。

 今後の対応予定は、アプリケーションやプリンターなどの機器なども。
 ダッシュボード機能を予定。自社のセキュリティ情報を絵でわかるように。

CISについて
 2000年10月設立
 かつての安全な車をつくろうという団体がモデル
 ユーザによる非営利団体
 ベンダーはユーザが圧力をかけないと安全な製品を作らない。
 ソフトベンダの言い訳は、1960年代の車メーカーと同じ。
 専門家を抱えずに、会員の専門家が活動。

CISベンチマーク作成過程
 製品を決定。
 ファーストドラフトをまとめる。類似点など
 積極的に活動したいという団体が活動(20くらいある)
 →メール、会議でコンセンサス
 ベータ版が出ると、会員に配布。→フィードバック
 
優秀なプロをどのように識別するか
 サイバーセキュリティは医師のような制度がない。
 証明書の必要性。多くの米国政府省庁がスタッフに証明書を求める。

代表的な証明書
 ISACA:CISAとCISM
  http://www.isaca.org/
  http://www.isaca.gr.jp/homepage_j.htm
 (ISC)2:CISSP
  http://www.isc2.org/
  https://www.isc2.org/japan/
 CompTIA(メーカーの集まり):Security+
  http://www.comptia.org/certification/security/
  http://www.comptia.jp/
 SANS:GIAC
  http://www.giac.org/
  http://sans-japan.jp/SJ/giac/giac.html

 ISACAや(ISC)2などは、次の5つの基準をみたす。
 1、新しい国際基準に準拠。べき論ではなく、実際に何をしているかをみる。
 2、厳しい独立
 3、実践を求める
 4、定期的な更新を要求
 5、プロとしての倫理(剥奪されることがある)
-----------------

「金融分野における個人情報保護ガイドラインと実務指針について」
金融庁 情報化統括責任者(CIO)補佐官
喜入 博

金融審議会の中に金融分科会の中に特別分科会を作って個人情報保護法対応を協議

金融は医療、情報通信と並んで個人情報保護を充実させる重点分野に指定される
→対応が遅れて金融機関は対応する時間がないという事態に

金融分野なのでいろいろな業態
 預金系の銀行、生保損保、証券会社(大規模から家族単位のPCもあまりつくってない)
 どの程度まで要求するのか?
 業態・規模を考えながら

ガイドライン→実務指針(具体的な対応を決めたもの)

生体情報の取り扱い
 キャッシュカードの安全性の問題から生体情報を使う商品が、去年の夏ぐらいからでてくる
 →どのように対応していくのか
○柳田国男さんの提起した偽造キャッシュカードの問題
  金融分野としてとうするか
  個人情報保護の観点からどうするか
   →特別分科会で検討

個人情報保護法
事業者には、第一章「総則」、第四章「個人情報取り扱い事業者の責務」が関係。

○安全管理措置
 個人情報保護法第20条及び基本方針関連→ガイドライン第10条
○従業者の監督
 個人情報保護法第21条及び基本方針関連→ガイドライン第11条
○委託先の措置
 個人情報保護法第22条及び基本方針関連→ガイドライン第12条

ガイドライン案に対する意見募集
 http://www.fsa.go.jp/news/newsj/16/f-20041001-1.html
 パブリックコメント
 http://www.fsa.go.jp/news/newsj/16/f-20041228-4.html
→記述の明確化、解釈を求めるなど

実務指針案に対する意見募集
 http://www.fsa.go.jp/news/newsj/16/f-20041119-4.html
 パブリックコメント(89件)
 http://www.fsa.go.jp/news/newsj/16/f-20050128-3.html

ガイドラインの目的と内容
1、口座を開くときに、機微な情報が強制的に集められる。
2、取り扱う個人情報の経済的価値が高い。
3、グループ、信用機関への対応
4、情報の利用方法への対応

法制上の措置
1、罰則を定めるか議論→実効性、透明性が必要
2、刑罰を伴う立法の必要性
  これが一番論点だった。
  銀行法で監督権、立ち入り権限で十分ではないのか?
  情報管理の不行き届きのとき、情報を盗んだ人間は立件できない
  →片手落ちではないか。
  実務指針について情報漏えいしたとき立法措置は行わないことになった。

実務指針策定の背景
 どこまでやったらいいのかを示す
 義務規定:しなければならない
 推奨:こととする。望ましい。(こととすると望ましいの違いはない)

 ガイドラインも実務指針も義務規定の具体的な方法は書いていない
 →基準が満たされれば方法は問わない。

委託先の監督を重視
 だいたい半数以上が委託先から漏れている

個人情報管理における経営者のかかわりが重要

金融庁の情報セキュリテイィの取り組み
1、偽造キャッシュカード問題
  海外の状況などを調べて、6月24日に最終報告
2、手形小切手
  電子債権。今年中に方向を決める。
3、有価証券取引証
  世界的な流れから必要なのかなと

-----------------
名刺交換会とナイトセッション

ナイトセッションではいろいろと面白い話もあったけど、メモをとっていないのでほとんど忘れた。それにオフレコな場だし。

ダースベイダー卿が登場して、なにやら語ってた。

インシデント時の記者会見は、予行演習をちゃんとやるものらしい。

飲み会?で聞いた話では、広告代理店がインシデント時の記者会見などのコンサルをやっているらしい。


2日目のメモ
http://animemo.seesaa.net/article/8438725.html

3日目のメモ
http://animemo.seesaa.net/article/8668892.html
posted by 端っこなひと at 19:35| Comment(0) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック