The reason why Audrey Tan says, "Digital and IT are completely different things" for Japanese people
2022/03/09
Ending "Security Supreme Principle", spreading "Security Displariture Society" Hiroshi Tokumaru × Nobuo Miwa × Shigehito Ishikawa Dialogue | Business+IT
開閉ボタンユーザーメニュー ユーザーメニューコンテンツLoginITジャンル イベント・セミナー Special ムービー FinTech Journal Sales Strategy Cost reduction Organizational reform Production / manufacturing crisis management compliance Energy saving and environmental support By industry / scale Core system Information system Operation management Security network mobile hardware development
三輪氏:もう20数年、Securityに関わっていますが、本質的なところは何も変わっていないと思います。コンピュータウイルスは昔から存在しますし、サイトへの攻撃も90年代からありました。攻撃の手段も大きく変わっていませんので、守り方も本質的には変わっていません。にもかかわらず、メディア等で事件が報道されるたびに大騒ぎになるのは、本質が分かっていないからだと思います。
徳丸氏:私も本質は変わっていないと思います。目的も、大きくは変わっていませんが、質的な変化はあります。具体的には、マネタイズの手段として新しいものが出てきました。たとえば、仮想通貨のマイニングをWebサーバや閲覧している人のPCでやるといったことです。ただ、これも改ざんの一種なので、対策は変わっていないのです。
石川氏:一方で、企業はクラウドを積極的に活用するようになりました。こうした企業側の変化とSecurityの関係はどう見ていますか。
三輪氏:クラウドを使うようになると、もはや一律のSecurityは成立しません。全員シンクライアント、PC持ち出し禁止、USB禁止、業務に無関係のサイトは閲覧禁止……。こういったすべてを縛るSecurityでは、企業として成長することは困難です。その意味では、「Security至上主義」の考え方は、改める時期にきていると思います。
ちなみに、平成29年5月に閣議決定された「世界最先端IT国家創造宣言・官民データ活用推進計画」では、「クラウド・バイ・デフォルト原則の導入」という方針が打ち出されました。これは、政府関連のシステムを構築する際には、パブリッククラウドを最優先に検討するという方針です。
石川氏:政府がパブリッククラウドを認めたということですね。
三輪氏:はい。すると「クラウドはいいものだ。安心だ」となりがちですが、決してそうではありません。クラウドにはクラウドのSecurity対策がありますから、そこを理解しないままクラウドに飛びつくのは危険です。
これからはSecurityを外部ベンダーに丸投げするのではなく、アクセス制御を含めて自分達で考えて、本当に必要なSecurityを自ら構築する必要があると思います。
徳丸氏:日本の情報システム部門は、networkの境界で守りたがります。それはそれで、いいことがたくさんあります。たとえば、世界で猛威を振るったランサムウェア「WannaCry」ですが、日本での被害は比較的少なかった。これは、境界での守りが強固だったからです。
ただし、いつまでも境界防御でいいのかというと、まったくそんなことはありません。クラウドになれば、会社の外に情報資産が出て行くわけですから、考え方を大きく変える必要があります。
常時SSLも、そういう文脈でとらえると分かりやすいでしょう。会社の資産が外にあるので、SSLが必須になるのです。これで盗聴は防げますが、認証とアクセス制御はより重要になってきます。やはり、従来の境界型の考え方を変えて、クラウドに適したSecurityを勉強し、慣れなければなりません。
石川氏:エンタープライズの領域では、Office 365が大きな転換点、もしくはトリガーになると考えています。2020年1月にはWindows 7、10月にはOffice 2010のサポートが終了します。Windows 10とOffice 365への移行が一気に進み、クラウド化も進むでしょう。
三輪氏:Office 365にすれば、スパムメールやメールのウイルスチェックも行ってくれます。ただし、2要素認証はしっかりやらなければなりません。こうした「クラウドに任せること」と、「こちら側でしっかり対応すべきこと」を区別して、バランスをとることが重要になります。
徳丸氏:確かに、いいツールを使ってセキュアな作り方をすれば、脆弱性はほぼ発生しません。ただ、これは2008年あたりからなのですが、developmentにおける“格差社会”が広がっていると考えています。
しっかりとした教育を受けて、セキュアプログラミングに習熟し、「SQLインジェクションなどありえない」というdevelopment者がいる一方で、クラウドソーシングによく見られるような、信じられない低コストでECサイトの構築を請け負うdevelopment者もいます。こういう人たちがセキュアプログラミングできるかというと、厳しいのが実態です。
しかも、クラウドソーシングに丸投げするような案件では、そもそも脆弱性診断をしていません。従って、「脆弱性診断ではSQLインジェクションが減っている」といった統計が出るにもかかわらず、現実には脆弱なサイトがたくさん存在することになります。
三輪氏:なるほど、格差社会ですか……。development者全体が増えて、セキュアプログラミングができる層とできない層に分かれているということですね。だとすると、セキュアプログラミングを身につけたかどうかを証明する資格があるとよいかもしれませんね。
石川氏:発注する側としては、信頼できる人や会社に頼めると安心ですね。
徳丸氏:最終的には国家資格みたいな仕組みがあればよいのでしょうが、現段階では敷居が高いのが現実です。ただ、ECサイトのような顧客のお金を扱うサイトを構築するのであれば、最低限の力量は保証されるべきだと考えます。
徳丸氏:脆弱性を発見すると、むしろdevelopmentベンダーに感謝される。
三輪氏:そうです。そして「修正しました」で終わってしまう。脆弱性診断がdevelopmentプロセスの中に当たり前のように組み込まれて、緊迫感がなくなってしまった。本来、脆弱性が発見されたら、developmentプロセスを見直さなければならないのに、それがないがしろにされているように思えます。
徳丸氏:おっしゃる通りです。脆弱性が見つかったら、developmentベンダーはプロセスを改善しなければならないし、その数が多ければ、発注側はベンダーの変更も含めて検討すべきなのです。ところが、発注側も“勝手知ったる”developmentベンダーなので変えたくない。
それに関しては、面白いエピソードがあります。ある会社で脆弱性診断の報告会を実施しました。経営者(サイトオーナー)、developmentベンダー、診断を行った私が参加し、発見された脆弱性を淡々と報告していきました。
すると、経営者が突然、「徳丸さん、話を聞いていると悪いことばかりおっしゃいますが、何かよいことはないんですか?」と言い始めたのです。よいことを褒める場ではなく、“脆弱性”診断の報告会なのに、なぜかベンダーの肩を持つんですね。誘拐事件で被害者が犯人に対して好意的な感情を抱く「ストックホルム症候群」という現象がありますが、それと似ているかもしれません(笑)。
三輪氏:緊張感のない「なあなあ」の関係同士でやっているから「見つけました」「直しました」になってしまう。深刻な脆弱性が見つかったら、何らかのペナルティを課す仕組みが必要かもしれませんね。
石川氏:徳丸さんは、6月に著書『体系的に学ぶ 安全なWebアプリケーションの作り方』を改訂されました。かなりページ数が増えたようですが、その内容について簡単に教えていただけますか。
徳丸氏:本質は変わっていません。ただ、Webを作るテクノロジーが多様化したので、それに合わせて内容を改訂しました。簡単にいうと、以前はサーバ側で処理していたのが、現在はクライアント側のJavaScriptでさまざまな処理をするようになった結果、新しい脆弱性が増えたので、その内容を盛り込みました。
また、WebアプリケーションのSecurityに関する課題解決を目的とするOWASP(The Open Web Application Security Project)という国際的なオープンなコミュニティがあるのですが、その取り組みについても盛り込みました。
石川氏:最後に、12月4日、5日に開催される『Canon Security Days 2018』でご講演いただく内容について、見所を少しだけお聞かせください。
徳丸氏:基本的なところは変わりませんが、最新のトレンドは紹介したいと思います。たとえば、つい最近、あるWebサイトでカード情報が抜かれました。
商品を購入して決済ボタンを押すと、偽の入力画面を表示して、カード情報を盗みます。しかし、ここで終わるとすぐにバレるので、エラーメッセージを出して、もう一度入力を促すメッセージを出したあと、今度は本物の入力画面に飛ばすのです。そこで正しく決済されて商品も届くので、バレにくいというわけです。こういった最新の手口についても、ご紹介したいと思います。
三輪氏:クラウドやテレワークが当たり前になると、Securityの考え方も変えなければなりません。外部ベンダーに任せっきりにするのではなく、自分達のSecurityは自分達で考えて、自らきめ細かく取り組まなければなりません。もはや、ノートPC持ち出しを禁止する時代ではありません。政府が「クラウド・バイ・デフォルト」を主張している時代なのです。
ただし、だからといって政府の方針に右にならえという単純な話ではありません。クラウドには注意すべきことが山のようにありますが、それでも得られるメリットが大きいので、政府も「クラウド・バイ・デフォルト」を主張しているのです。セミナーでは、そのあたりのお話ができればと思っています。
石川氏:非常に楽しみなセミナーになりそうです。続きは、ぜひセミナーでお聞かせください。本日は、貴重なお話をありがとうございました。
■Canon Security Days 2018 開催
標的型攻撃、マイニングマルウェア、ランサムウェアなど、サイバー攻撃が巧妙化する一方で、IoTやワークスタイル変革などの環境変化に伴い、新たなSecurity対策が必要になってきています。今回の『Canon Security Days 2018』では、これからのサイバーSecurityにどのように対処すべきかをテーマに、最新の実態と対策についてご紹介いたします。品川でのセミナー開催に加え、オンラインセミナーも同日で開催いたします。
・開催日:2018年12月4日(火)・5日(水)
・会 場:キヤノンマーケティングジャパン株式会社
東京都港区港南2-16-6 Canon S Tower
・申 込:事前登録制(無料)
本セミナーの詳細、お申込みはこちらから
Solve business issues by fusion of IT and management
What is business + IT?
Login
E -mail magazine registration
IT strategy
Why is "medical digitalization" delayed?What are the Japanese issues and solutions indicated by 12,000 people?
2022/03/07
The reason why "120 hours of work reduction" was realized by minor changes in expense settlement
2022/03/07
Core system
How can more than half of the person in charge do stress, data analysis "before"?
Special
2022/03/09
Why should we respond now to the "revised electronic book storage method", which has a two -year grace?
2022/02/08
What are the tips for "data linkage that will be pleased with the site"?How to promote "automation" without programming
2022/01/24
Information system
What is advertising distribution that utilizes the "customer data" required in the end of returns and the post -cookie era?
Special
2022/02/02
What is the availability of networks needed after Corona?How to implement "the ability to respond to changes"
2021/12/16
How to utilize Webinar to know more about customers, which does not end with "just real alternative"
2021/12/09
Operation management
Does "server power consumption" pull the AI / machine learning foot?What is the suffering unique to high performance?
Special
2022/03/08
How to build a DX infrastructure that "snacks" the goodness of the cloud while taking advantage of on -premises
2022/03/07
What is the optimal solution of "next -generation infrastructure operation", which 30 % of companies adopt cloud natives and ITR surveys?
2022/03/03
Security
No way to do it if you get infected?Why the backup data requires the idea of "Zero Trust"
Special
2022/03/07
How safe is the data in Microsoft 365?A mechanism where SaaS is targeted at ransomware
2022/03/03
SaaSのSecurity対策、ガートナーが説くID管理高度化のアプローチ3点
2022/02/28
network
What is the first place to be worried about in the World Market Survey of IoT investment (Part 2)?Is the investment standard "cost" after all?
2022/01/26
World Market Survey of IoT Investment (Part 1), what are the top 10?Commentary along with success examples
2022/01/25
The six major trends in the 2022 IoT market, 42 % are willing to invest aggressively investment, which is the reason for expanding the gap between companies.
2021/12/23
mobile
テレワークで負荷増のデバイスSecurity、もっと柔軟で効率的な方法はないのか
Special
2021/04/02
テレワーク最大の懸念…“Security確保”がそう簡単ではない理由
2020/08/28
IEEE802.What is 11ax (Wi-Fi 6)?Details of the latest wireless LAN standards to understand with 5 benefits
2020/06/03
hardware
Association has been launched at eight companies such as Pana and Honda, the spread of delivery robots and future issues
2022/03/03
The possibility of the data sharing that the first person in the storage talks about the super city that sprout in Tohoku?
2022/02/09
"Intelligent robot" and "data driven" change the warehouse and factory
2022/02/03
development
"I can't get results" even though I introduced RPA?Common points of failed companies
Special
2022/03/04
Introducing what is CI/CD is an easy -to -understand illustration, specific tools and approaches.
2022/03/0101
ローコード/ノーコードdevelopment市場が24.Significantly increased by 3 %, to 100 billion yen in 2023
2022/02/18
E -mail magazine registration
What is business + IT?
Related genre
Content provided by Canon Marketing Japan
終わる「Security至上主義」、拡がる「Security格差社会」
Mr. Hiroshi Tokumaru x Nobuo Miwa x Shito Ishikawa.
ランサムウェアやビジネスメール詐欺(BEC:Business Email Compromise)など、サイバー攻撃は手を替え品を替え、企業に襲い来る。一方で、クラウドの広がりやテレワークの推進など、企業を取り巻く技術的・社会的な環境も変化している。こうした中で、企業はどのようにSecurityを考えるべきか。キヤノンマーケティングジャパン Securityソリューション企画部 部長 石川 滋人氏がファシリテータとなり、WebSecurityの専門家であるEGセキュアソリューションズ 代表取締役 徳丸 浩氏、総務省の最高情報Securityアドバイザー(CISA)を務めるS&J 代表取締役社長 三輪 信雄氏のお二人に、企業を取り巻くSecurityの現状と課題について語ってもらった。
「Security至上主義」の考え方は改める時期にきている
石川氏:まずは、現在の企業・組織が置かれているSecurity状況について、専門家としてのご意見を伺えますか。三輪氏:もう20数年、Securityに関わっていますが、本質的なところは何も変わっていないと思います。コンピュータウイルスは昔から存在しますし、サイトへの攻撃も90年代からありました。攻撃の手段も大きく変わっていませんので、守り方も本質的には変わっていません。にもかかわらず、メディア等で事件が報道されるたびに大騒ぎになるのは、本質が分かっていないからだと思います。
徳丸氏:私も本質は変わっていないと思います。目的も、大きくは変わっていませんが、質的な変化はあります。具体的には、マネタイズの手段として新しいものが出てきました。たとえば、仮想通貨のマイニングをWebサーバや閲覧している人のPCでやるといったことです。ただ、これも改ざんの一種なので、対策は変わっていないのです。
石川氏:一方で、企業はクラウドを積極的に活用するようになりました。こうした企業側の変化とSecurityの関係はどう見ていますか。
三輪氏:クラウドを使うようになると、もはや一律のSecurityは成立しません。全員シンクライアント、PC持ち出し禁止、USB禁止、業務に無関係のサイトは閲覧禁止……。こういったすべてを縛るSecurityでは、企業として成長することは困難です。その意味では、「Security至上主義」の考え方は、改める時期にきていると思います。
ちなみに、平成29年5月に閣議決定された「世界最先端IT国家創造宣言・官民データ活用推進計画」では、「クラウド・バイ・デフォルト原則の導入」という方針が打ち出されました。これは、政府関連のシステムを構築する際には、パブリッククラウドを最優先に検討するという方針です。
石川氏:政府がパブリッククラウドを認めたということですね。
三輪氏:はい。すると「クラウドはいいものだ。安心だ」となりがちですが、決してそうではありません。クラウドにはクラウドのSecurity対策がありますから、そこを理解しないままクラウドに飛びつくのは危険です。
これからはSecurityを外部ベンダーに丸投げするのではなく、アクセス制御を含めて自分達で考えて、本当に必要なSecurityを自ら構築する必要があると思います。
クラウドによって変わるSecurityの考え方
三輪氏:最近のSecurity関連で気になっているのは常時SSLです。データが暗号化されるので、networkの入口と出口にプロキシやファイアウォールを置いて監視する従来の手法が使えなくなります。通信の中身を見て、危険なURLやマルウェアを含むコンテンツをフィルタリングできなくなるので、従来のゲートウェイ監視の在り方は、変えざるを得ないと感じています。徳丸氏:日本の情報システム部門は、networkの境界で守りたがります。それはそれで、いいことがたくさんあります。たとえば、世界で猛威を振るったランサムウェア「WannaCry」ですが、日本での被害は比較的少なかった。これは、境界での守りが強固だったからです。
ただし、いつまでも境界防御でいいのかというと、まったくそんなことはありません。クラウドになれば、会社の外に情報資産が出て行くわけですから、考え方を大きく変える必要があります。
常時SSLも、そういう文脈でとらえると分かりやすいでしょう。会社の資産が外にあるので、SSLが必須になるのです。これで盗聴は防げますが、認証とアクセス制御はより重要になってきます。やはり、従来の境界型の考え方を変えて、クラウドに適したSecurityを勉強し、慣れなければなりません。
石川氏:エンタープライズの領域では、Office 365が大きな転換点、もしくはトリガーになると考えています。2020年1月にはWindows 7、10月にはOffice 2010のサポートが終了します。Windows 10とOffice 365への移行が一気に進み、クラウド化も進むでしょう。
三輪氏:Office 365にすれば、スパムメールやメールのウイルスチェックも行ってくれます。ただし、2要素認証はしっかりやらなければなりません。こうした「クラウドに任せること」と、「こちら側でしっかり対応すべきこと」を区別して、バランスをとることが重要になります。
脆弱性がなくならない原因は、developmentの「格差社会」にある
三輪氏:徳丸さんと対談できるということで、ぜひお聞きしたいと思っていたのが「脆弱性」についてです。私は前職で脆弱性診断をやっていたのですが、そのとき「この仕事はいずれなくなる」と思いました。しっかりした作り方をすれば、脆弱性は発生しないからです。それが15年ほど前の話ですが、いまだになくなっていません。こうした状況は、これからも続くのでしょうか。徳丸氏:確かに、いいツールを使ってセキュアな作り方をすれば、脆弱性はほぼ発生しません。ただ、これは2008年あたりからなのですが、developmentにおける“格差社会”が広がっていると考えています。
しっかりとした教育を受けて、セキュアプログラミングに習熟し、「SQLインジェクションなどありえない」というdevelopment者がいる一方で、クラウドソーシングによく見られるような、信じられない低コストでECサイトの構築を請け負うdevelopment者もいます。こういう人たちがセキュアプログラミングできるかというと、厳しいのが実態です。
しかも、クラウドソーシングに丸投げするような案件では、そもそも脆弱性診断をしていません。従って、「脆弱性診断ではSQLインジェクションが減っている」といった統計が出るにもかかわらず、現実には脆弱なサイトがたくさん存在することになります。
三輪氏:なるほど、格差社会ですか……。development者全体が増えて、セキュアプログラミングができる層とできない層に分かれているということですね。だとすると、セキュアプログラミングを身につけたかどうかを証明する資格があるとよいかもしれませんね。
石川氏:発注する側としては、信頼できる人や会社に頼めると安心ですね。
徳丸氏:最終的には国家資格みたいな仕組みがあればよいのでしょうが、現段階では敷居が高いのが現実です。ただ、ECサイトのような顧客のお金を扱うサイトを構築するのであれば、最低限の力量は保証されるべきだと考えます。
Current vulnerability diagnosis that is becoming "Nanaa"
三輪氏:もう1つ聞きたかったのが、最近は脆弱性診断が「当たり前」になっていないか、ということです。以前は、脆弱性の報告会は緊迫感がありました。developmentベンダーにとっては、自らのミスを第三者に指摘されるわけですから。ところが最近は……。徳丸氏:脆弱性を発見すると、むしろdevelopmentベンダーに感謝される。
三輪氏:そうです。そして「修正しました」で終わってしまう。脆弱性診断がdevelopmentプロセスの中に当たり前のように組み込まれて、緊迫感がなくなってしまった。本来、脆弱性が発見されたら、developmentプロセスを見直さなければならないのに、それがないがしろにされているように思えます。
徳丸氏:おっしゃる通りです。脆弱性が見つかったら、developmentベンダーはプロセスを改善しなければならないし、その数が多ければ、発注側はベンダーの変更も含めて検討すべきなのです。ところが、発注側も“勝手知ったる”developmentベンダーなので変えたくない。
それに関しては、面白いエピソードがあります。ある会社で脆弱性診断の報告会を実施しました。経営者(サイトオーナー)、developmentベンダー、診断を行った私が参加し、発見された脆弱性を淡々と報告していきました。
すると、経営者が突然、「徳丸さん、話を聞いていると悪いことばかりおっしゃいますが、何かよいことはないんですか?」と言い始めたのです。よいことを褒める場ではなく、“脆弱性”診断の報告会なのに、なぜかベンダーの肩を持つんですね。誘拐事件で被害者が犯人に対して好意的な感情を抱く「ストックホルム症候群」という現象がありますが、それと似ているかもしれません(笑)。
三輪氏:緊張感のない「なあなあ」の関係同士でやっているから「見つけました」「直しました」になってしまう。深刻な脆弱性が見つかったら、何らかのペナルティを課す仕組みが必要かもしれませんね。
最新の攻撃手法や、クラウド・テレワークによって変わるSecurityの考え方を解説
石川氏:徳丸さんは、6月に著書『体系的に学ぶ 安全なWebアプリケーションの作り方』を改訂されました。かなりページ数が増えたようですが、その内容について簡単に教えていただけますか。
徳丸氏:本質は変わっていません。ただ、Webを作るテクノロジーが多様化したので、それに合わせて内容を改訂しました。簡単にいうと、以前はサーバ側で処理していたのが、現在はクライアント側のJavaScriptでさまざまな処理をするようになった結果、新しい脆弱性が増えたので、その内容を盛り込みました。
また、WebアプリケーションのSecurityに関する課題解決を目的とするOWASP(The Open Web Application Security Project)という国際的なオープンなコミュニティがあるのですが、その取り組みについても盛り込みました。
石川氏:最後に、12月4日、5日に開催される『Canon Security Days 2018』でご講演いただく内容について、見所を少しだけお聞かせください。
徳丸氏:基本的なところは変わりませんが、最新のトレンドは紹介したいと思います。たとえば、つい最近、あるWebサイトでカード情報が抜かれました。
商品を購入して決済ボタンを押すと、偽の入力画面を表示して、カード情報を盗みます。しかし、ここで終わるとすぐにバレるので、エラーメッセージを出して、もう一度入力を促すメッセージを出したあと、今度は本物の入力画面に飛ばすのです。そこで正しく決済されて商品も届くので、バレにくいというわけです。こういった最新の手口についても、ご紹介したいと思います。
三輪氏:クラウドやテレワークが当たり前になると、Securityの考え方も変えなければなりません。外部ベンダーに任せっきりにするのではなく、自分達のSecurityは自分達で考えて、自らきめ細かく取り組まなければなりません。もはや、ノートPC持ち出しを禁止する時代ではありません。政府が「クラウド・バイ・デフォルト」を主張している時代なのです。
ただし、だからといって政府の方針に右にならえという単純な話ではありません。クラウドには注意すべきことが山のようにありますが、それでも得られるメリットが大きいので、政府も「クラウド・バイ・デフォルト」を主張しているのです。セミナーでは、そのあたりのお話ができればと思っています。
石川氏:非常に楽しみなセミナーになりそうです。続きは、ぜひセミナーでお聞かせください。本日は、貴重なお話をありがとうございました。
■Canon Security Days 2018 開催
標的型攻撃、マイニングマルウェア、ランサムウェアなど、サイバー攻撃が巧妙化する一方で、IoTやワークスタイル変革などの環境変化に伴い、新たなSecurity対策が必要になってきています。今回の『Canon Security Days 2018』では、これからのサイバーSecurityにどのように対処すべきかをテーマに、最新の実態と対策についてご紹介いたします。品川でのセミナー開催に加え、オンラインセミナーも同日で開催いたします。
・開催日:2018年12月4日(火)・5日(水)
・会 場:キヤノンマーケティングジャパン株式会社
東京都港区港南2-16-6 Canon S Tower
・申 込:事前登録制(無料)
本セミナーの詳細、お申込みはこちらから
Security戦略 ジャンルのセミナー
To List
Security戦略 ジャンルのトピックス
To List
Security戦略 ジャンルのIT導入支援情報
To List
PR
SB Creative Co., Ltd.
ビジネス+ITはソフトバンクグループのSB Creative Co., Ltd.によって運営されています。
ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、Specialセミナーにもご招待!