「始まりの始まり」に気づくのは価値があるけど難しい。今まで何度も不明を恥じる思いをした。それに比べると、いくらかわかりやすいように思えるのが「終わりの始まり」。これは、MNP導入以来、喧伝されてきた「ドコモ一人負け」がいよいよ「終わりの始まり」を迎えているのでは、と言うお話。
私は、ドコモがiPhoneを取り扱うかどうかは、Appleの強気の条件の前にドコモが膝を屈するかどうかではないと思っている。ドコモが本気で交渉していないからで、その理由はネットワークインフラが不十分だからだと思う。ドコモクラウドがどうのと言ったって、これまでだってBlackberryもやってきてる。iモードの教訓に学ばずにそんな教条主義に陥っているとは思えない。
とはいえ、ドコモが今iPhoneを売り出すといっても、インフラ部門が受け入れないだろう。昔、JR絡みの仕事をした時、保安部(安全を担保する部門)が圧倒的に強かったけど、それはきっとドコモも同じ。加入者増より、きちんと通信サービス品質優先という声が勝つはず。だから、実際には頼まれても受けられない。とはいえ、売りたくないというのはAppleの顔も立たないから、今の体になっている、のだと私は思う。
そしてiPhoneの事情でいきなりチキンレースを始めることになってしまったauとSB(SBがテザリングを急遽やると言い出したが、体感上の品質がどうなるのか興味深い。プラチナバンドは関係ないよ)を横目に、ドコモは通信インフラを強化する。そのうち「iPhone、ドンと来い」になっている(近づいている?はず)。ドコモクラウドが気の利いたサービスになっているとは思わないが、ことネットワークの品質改善力は期待できるだろう。FOMA時代に実証済みだし、今回の土俵はドコモの本丸"LTE"だ。
時が流れて次期iPhoneのタイミングが来たが、Appleが今回みたいな新型しか用意できなかった、としたら、どうなるだろう。彼らは販売条件を緩和せざるをえないだろうし、するだろう。両者は協力して「(FOMAPlus対応で)エレベータの中や地下でもつながり、しかも体感的に速い。普通に使う分には、auやSBより安い通信料の新型iPhone」の準備を整える、んじゃないか、普通。それなら次期iPhoneがいささか斬新さに欠けていても、相当売れるだろう。それがわかっていても、AppleはSBに義理立てして、ドコモが受け入れがたい条件を突きつけるだろうか。Appleが誰かをやっつけるためにビジネスをしているのでなければ、そんなことにはならないはずだ。
ドコモがiPhoneを売り出せば、今ドコモをディスっているマスコミは手のひらを返してSBをディスるだろう。それでも、これがドコモの栄光の「始まりの始まり」だとは思わない。マスコミが「ドコモ独走」なんて書くころには、また新しい「終わりの始まり」となっているだろう。通信業界には、神ならぬ見えざる手があるからね。
2012/09/26
2012/09/23
ID&IT2012に行ってきた(2)~組織とコンシューマライゼーションとアイデンティティ
ID&IT2012というアイデンティティマネジメントに特化したイベントの鳳として、最も多くの聴衆を集めて開かれた「組織はコンシューマライゼーションとどう向き合うか」というセッションから感じたことを備忘メモする。
タイトルにもなっている問いは、要するに『BYODが一般化したら、またぞろBYOCloud(個人契約のDropboxやGoogleDriveの業務利用)という言葉がでてきました。次はBYOSNSとか言い出しそうです。はて、各人の裁量に任せていいのでしょうか、まずいとしたらどうしたらいいでしょうか』という趣旨で、大変興味深いパネルディスカッションだった。
第一観は(i)この問いに対する答えは、企業が感じるID管理やフェデレーションに対するモチベーションにかなりの影響を与えていきそうだが、(ii)かなり原理的なレベルから順番に整理していかないと、きれいな答えは出そうにない、といったところ。
どういう順番に整理していくべきか、ざっくりと考えてみると…
(1)そもそもそのBYOxxxは組織にどのような「価値」をもたらすのか?
(2)価値を考慮して取り入れるにしても、運用上、法務上、etcでの実際的な潜在的脅威を生まないのか(まず生まないという答えは考えにくいが)?
(3)その脅威を評価すると、どの程度のリスクになるのか(評価され管理されていないものはリスクと呼ばない)?
(4)そのリスクはマネジメント可能か?リスクを除去あるいは軽減できる手段はあるか?
といったところだろうか。事業として考えると当たり前だが、こんな生真面目に考えるところは少なそうだ、と思う。なにしろ、この問いへの客観的・具体的な答えが出ている組織の方が少ないだろう。
◎ 職場で個人契約したDropboxやTwitterを使えるようにすると、組織にどんな価値があるのか?
そこを建設的に議論したとして、選択肢はどうなるのだろう。こんなところだろうか-。
(1)アカウントを取得することを認めない
(2)個人でアカウントを取得することは認めるが、従業員(公人)としての利用は認めない
(3)特定の時期、時間帯に限って公人としての利用は認めない
(4)ドレスコードならぬ投稿コードを設定し、それに抵触しない範囲であれば利用はいっさい制約しない
(5)黙認する
最も民主的な(4)を選んだ場合、投稿コードの設定や結果の監査など、それ相応のコストが生じるはず。それだけのコストをかけても活用する「価値」があるのか考えもせずに、選ぶと言うこともなく(5)を選び、潜在的脅威を受容する結果となっているケースがやはり多いらしい。
アイデンティティはどうあるべきか。公人と私人との境目はつけるべきか否か。つけないと、どんな問題があるのか。ザッカーバーグが言うように、SNSでは唯一のアカウントから同じ人格として発信するべきなのか、しかし、アメリカ人女性は平均6つのアカウントを使い分けているらしい。やはり、LinkedInとFacebookとTwitterを用途別に使い分けるほうが賢明なのか。前者は乱暴なのか、後者は欺瞞なのか。
望むと望まないとにかかわらず、投稿コードを決めると、企業や経営者の性根が透けて見えるものだ。期待される価値を尊重し、想定されるリスクに配慮した内容を作れば、従業員からは共感が得られ、金など掛けずともリスクは減少する。その逆になれば、取り組みの足を引っ張るだろう。
しかし、この国では、どう評価するか、どうガイドラインを定めるか、この一連の作業にどの程度のコストを受容するか、を議論するより、効果のありそうなソリューションを導入して対応しようと考えがちである。ソリューションを導入して問題が出なければよし、出た時は出た時、という危うさが今も支配的だという。
あぁ、どうにもめんどくさい感じになってしまう。しかし、このめんどくさい話は結局いつか来た道になるようだ。BYODを率先して導入した企業が最近BYODを止め始めているという。こういう本質論を些末なことにしないことが、リスクマネジメントには欠かせないし、経営者に求められる能力の一つだと思う。FBをイントラにするという佐賀県某市長さんは、パネラーから失笑を超えて嫌悪(侮蔑?)が向けられていた。考えなしに推奨するのは、頭ごなしに禁止するより、よっぽど質が悪い、というのはその通りだと思う。
タイトルにもなっている問いは、要するに『BYODが一般化したら、またぞろBYOCloud(個人契約のDropboxやGoogleDriveの業務利用)という言葉がでてきました。次はBYOSNSとか言い出しそうです。はて、各人の裁量に任せていいのでしょうか、まずいとしたらどうしたらいいでしょうか』という趣旨で、大変興味深いパネルディスカッションだった。
第一観は(i)この問いに対する答えは、企業が感じるID管理やフェデレーションに対するモチベーションにかなりの影響を与えていきそうだが、(ii)かなり原理的なレベルから順番に整理していかないと、きれいな答えは出そうにない、といったところ。
どういう順番に整理していくべきか、ざっくりと考えてみると…
(1)そもそもそのBYOxxxは組織にどのような「価値」をもたらすのか?
(2)価値を考慮して取り入れるにしても、運用上、法務上、etcでの実際的な潜在的脅威を生まないのか(まず生まないという答えは考えにくいが)?
(3)その脅威を評価すると、どの程度のリスクになるのか(評価され管理されていないものはリスクと呼ばない)?
(4)そのリスクはマネジメント可能か?リスクを除去あるいは軽減できる手段はあるか?
といったところだろうか。事業として考えると当たり前だが、こんな生真面目に考えるところは少なそうだ、と思う。なにしろ、この問いへの客観的・具体的な答えが出ている組織の方が少ないだろう。
◎ 職場で個人契約したDropboxやTwitterを使えるようにすると、組織にどんな価値があるのか?
そこを建設的に議論したとして、選択肢はどうなるのだろう。こんなところだろうか-。
(1)アカウントを取得することを認めない
(2)個人でアカウントを取得することは認めるが、従業員(公人)としての利用は認めない
(3)特定の時期、時間帯に限って公人としての利用は認めない
(4)ドレスコードならぬ投稿コードを設定し、それに抵触しない範囲であれば利用はいっさい制約しない
(5)黙認する
最も民主的な(4)を選んだ場合、投稿コードの設定や結果の監査など、それ相応のコストが生じるはず。それだけのコストをかけても活用する「価値」があるのか考えもせずに、選ぶと言うこともなく(5)を選び、潜在的脅威を受容する結果となっているケースがやはり多いらしい。
アイデンティティはどうあるべきか。公人と私人との境目はつけるべきか否か。つけないと、どんな問題があるのか。ザッカーバーグが言うように、SNSでは唯一のアカウントから同じ人格として発信するべきなのか、しかし、アメリカ人女性は平均6つのアカウントを使い分けているらしい。やはり、LinkedInとFacebookとTwitterを用途別に使い分けるほうが賢明なのか。前者は乱暴なのか、後者は欺瞞なのか。
望むと望まないとにかかわらず、投稿コードを決めると、企業や経営者の性根が透けて見えるものだ。期待される価値を尊重し、想定されるリスクに配慮した内容を作れば、従業員からは共感が得られ、金など掛けずともリスクは減少する。その逆になれば、取り組みの足を引っ張るだろう。
しかし、この国では、どう評価するか、どうガイドラインを定めるか、この一連の作業にどの程度のコストを受容するか、を議論するより、効果のありそうなソリューションを導入して対応しようと考えがちである。ソリューションを導入して問題が出なければよし、出た時は出た時、という危うさが今も支配的だという。
あぁ、どうにもめんどくさい感じになってしまう。しかし、このめんどくさい話は結局いつか来た道になるようだ。BYODを率先して導入した企業が最近BYODを止め始めているという。こういう本質論を些末なことにしないことが、リスクマネジメントには欠かせないし、経営者に求められる能力の一つだと思う。FBをイントラにするという佐賀県某市長さんは、パネラーから失笑を超えて嫌悪(侮蔑?)が向けられていた。考えなしに推奨するのは、頭ごなしに禁止するより、よっぽど質が悪い、というのはその通りだと思う。
2012/09/22
ID&IT2012に行ってきた(1) ~クラウド基盤ソフトの最新市場動向
講師:ユニアデックス株式会社 松隈基至氏
◇SI事業者の視点に立ったクラウドコンピューティング台頭の背景と現状
◆仮想化技術普及の功罪
2004年ごろから広まった仮想化技術によって、HW、OS、ミドルウェアなどの組み合わせ自由度が大幅に増した。
■その結果のメリット:透明度の向上→選択肢の増加→競争の激化→導入価格の抑制
■その結果のデメリット:システムの複雑化→障害切り分けの困難化→事前検証の必要性
ここに、グリーンIT、コンプライアンスなどの付帯要件の追加によって、見えないコストが増大した結果、端的に言えば安くなったが、現場にしわ寄せが増えた。
2008年にクラウドコンピューティングが提唱されたとき、ユーザ企業(の情報部門)からは、こうした現場にしわ寄せが増えるシステム構築に対する対案として期待を寄せられた。つまり、現場にしわ寄せの少ないシステムを実現するために必要なコストを見える化し、新たな選択肢になることを期待されたのである。
◆ようやく落ち着きかけたか、クラウドコンピューティングの位置づけ
2008年にクラウドコンピューティングが提唱されてからの2年間は、パブリッククラウドとプライベートクラウドの優劣の議論に費やされた。しかし、メリット、デメリットはトレードオフという考え方が浸透し、適材適所で使い分けるという穏当な考え方が主流派になってきている。
当面は異なるパラダイムのシステムがサイロ型に乱立することになろうが、当面は「自社でどの程度そのシステムの詳細な制御を手中に収めたいか」という視点で選択すべきであろう。
◇クラウド基盤ソフトウェアの台頭
◆クラウド基盤ソフトウェアとは
異なるパラダイムのシステムが連携していく上で重要な役割を果たすのが、クラウド基盤ソフトウェアである。ハードウェア資源をリソースプール上の仮装リソースにマッピングする仮想化技術にに、クラウド上の多様なサービスを容易に使えるようにするための標準化と自動化の技術を追加している。
◆クラウド基盤ソフトウェア製品市場
OSやRDB市場以上に、商用ソフトを尻目にOSSが注目されている。
OSS
■CloudStack Citrix出身者が設立→同社が買収→Apacheに寄贈というユニークな経緯
■OpenStack Rackspace社とNASAを中心に急成長する新興勢力
↑
↓
商用ソフト
■仮想化技術のリーダ VMwareのvCloud Director
■VMwareの元CEOらが設立したNimbula社のNimbula Dirctor
■カナダのスタートアップEnomaly社のEnomaly ECP
◆先行するCloudStack
すでに導入実績は100社(印 タタ、韓 KT、米 Zinger、NTTコム、KDDIなど)を超え、事実上のデファクトスタンダードとの呼び声もある。操作性に定評のあるGUIはすでに日本語化されており、マルチテナント環境やマルチハイパーバイザ-サポートに対応し、APIが充実しているなど、評価されている点も実践的である。今導入するならCloud Stackの右に出る者はないと言わんばかりの高評価である。
◆追うOpenStack
ホスティング事業者のRackspace社とNASAを中心に有力企業ともに開発を進めているOpenStackは、後発ながら、192社の参画を得ていること、オープンな開発体制、迅速な意思決定で急速に実装が進んでいる。すべにマルチハイパーバイザにも対応しており、単独でも利用可能なモジュール構成を採用している点も評価が高いという。
◆なぜクラウド基盤ソフトウェアなのか
マルチハイパーバイザ-サポート機能が重視されているのは、現状、仮想化ハイパーバイザー市場の一社寡占状態をユーザがリスクと認識しはじめたためである。
いいクラウド基盤ソフトを選ぶということは、乱立したサイロをまとめながらハイブリッドクラウドを運用していく上で極めて重要な意味を持っている。
<第一観>
OpenStackを取り込んだディストリビューションリリースの動きが活発化している様子は、かつてLinuxの時代を彷彿とさせるというが、それが吉兆であるか否かは意味深長。ただし、OSSが商用ソフトに市場を与えず駆逐するようなら、その意味は大きそう。OSSはすでに利己的に堕落した商用ソフトを排斥するための社会正義のシンボルというより、同床異夢を受容する適度な曖昧さを内包したエコシステムの培養床と考えるべきなのかもしれない。
クラウド基盤ソフトウェアそのものは、必要なシステム性能が右肩上がりと見込む人たちの間で採用が進むだろうが、その先の展望はよく見通せない。クラウド基盤ソフトウェアの優劣は、クラウド採用の障害になりそうな他の課題(例えばアイデンティティの問題もその一つ)に比べると、かなり劣後するのではないかと思われる。
◇SI事業者の視点に立ったクラウドコンピューティング台頭の背景と現状
◆仮想化技術普及の功罪
2004年ごろから広まった仮想化技術によって、HW、OS、ミドルウェアなどの組み合わせ自由度が大幅に増した。
■その結果のメリット:透明度の向上→選択肢の増加→競争の激化→導入価格の抑制
■その結果のデメリット:システムの複雑化→障害切り分けの困難化→事前検証の必要性
ここに、グリーンIT、コンプライアンスなどの付帯要件の追加によって、見えないコストが増大した結果、端的に言えば安くなったが、現場にしわ寄せが増えた。
2008年にクラウドコンピューティングが提唱されたとき、ユーザ企業(の情報部門)からは、こうした現場にしわ寄せが増えるシステム構築に対する対案として期待を寄せられた。つまり、現場にしわ寄せの少ないシステムを実現するために必要なコストを見える化し、新たな選択肢になることを期待されたのである。
◆ようやく落ち着きかけたか、クラウドコンピューティングの位置づけ
2008年にクラウドコンピューティングが提唱されてからの2年間は、パブリッククラウドとプライベートクラウドの優劣の議論に費やされた。しかし、メリット、デメリットはトレードオフという考え方が浸透し、適材適所で使い分けるという穏当な考え方が主流派になってきている。
当面は異なるパラダイムのシステムがサイロ型に乱立することになろうが、当面は「自社でどの程度そのシステムの詳細な制御を手中に収めたいか」という視点で選択すべきであろう。
◇クラウド基盤ソフトウェアの台頭
◆クラウド基盤ソフトウェアとは
異なるパラダイムのシステムが連携していく上で重要な役割を果たすのが、クラウド基盤ソフトウェアである。ハードウェア資源をリソースプール上の仮装リソースにマッピングする仮想化技術にに、クラウド上の多様なサービスを容易に使えるようにするための標準化と自動化の技術を追加している。
◆クラウド基盤ソフトウェア製品市場
OSやRDB市場以上に、商用ソフトを尻目にOSSが注目されている。
OSS
■CloudStack Citrix出身者が設立→同社が買収→Apacheに寄贈というユニークな経緯
■OpenStack Rackspace社とNASAを中心に急成長する新興勢力
↑
↓
商用ソフト
■仮想化技術のリーダ VMwareのvCloud Director
■VMwareの元CEOらが設立したNimbula社のNimbula Dirctor
■カナダのスタートアップEnomaly社のEnomaly ECP
◆先行するCloudStack
すでに導入実績は100社(印 タタ、韓 KT、米 Zinger、NTTコム、KDDIなど)を超え、事実上のデファクトスタンダードとの呼び声もある。操作性に定評のあるGUIはすでに日本語化されており、マルチテナント環境やマルチハイパーバイザ-サポートに対応し、APIが充実しているなど、評価されている点も実践的である。今導入するならCloud Stackの右に出る者はないと言わんばかりの高評価である。
◆追うOpenStack
ホスティング事業者のRackspace社とNASAを中心に有力企業ともに開発を進めているOpenStackは、後発ながら、192社の参画を得ていること、オープンな開発体制、迅速な意思決定で急速に実装が進んでいる。すべにマルチハイパーバイザにも対応しており、単独でも利用可能なモジュール構成を採用している点も評価が高いという。
◆なぜクラウド基盤ソフトウェアなのか
マルチハイパーバイザ-サポート機能が重視されているのは、現状、仮想化ハイパーバイザー市場の一社寡占状態をユーザがリスクと認識しはじめたためである。
いいクラウド基盤ソフトを選ぶということは、乱立したサイロをまとめながらハイブリッドクラウドを運用していく上で極めて重要な意味を持っている。
<第一観>
OpenStackを取り込んだディストリビューションリリースの動きが活発化している様子は、かつてLinuxの時代を彷彿とさせるというが、それが吉兆であるか否かは意味深長。ただし、OSSが商用ソフトに市場を与えず駆逐するようなら、その意味は大きそう。OSSはすでに利己的に堕落した商用ソフトを排斥するための社会正義のシンボルというより、同床異夢を受容する適度な曖昧さを内包したエコシステムの培養床と考えるべきなのかもしれない。
クラウド基盤ソフトウェアそのものは、必要なシステム性能が右肩上がりと見込む人たちの間で採用が進むだろうが、その先の展望はよく見通せない。クラウド基盤ソフトウェアの優劣は、クラウド採用の障害になりそうな他の課題(例えばアイデンティティの問題もその一つ)に比べると、かなり劣後するのではないかと思われる。
2012/09/21
「情報セキュリティに関する講演会」より 情報セキュリティ政策の概要
講師:内閣官房情報セキュリティセンター参事官補佐 大塚祥央氏
~9/20開催された情報セキュリティセミナーの参加レポート~
お先に感想
私が審査員をやらせてもらっている情報セキュリティ懸賞論文の主催者でもある公益法人 防衛調達基盤整備協会主催の講演会に参加してきました。
57ページに上る大量の情報を中盤くらいまで逐次丁寧に説明した分、終盤はかなりの駆け足でした。
元来多くの施策を講じていることの衆知が主眼でしょうから、講演も情報量は多くならざるを得ないし、それをまとめた結果も長大ににならざるを得ませんでした。
講演終了後に直接講師に質問:
Q 成果が出ていると感じているのは?
A クリティカルなリソースの防御はうまくいっている。
※ 報道を見る限り、最近の海外からの攻撃に対しても致命的な事態を招いていないようなので首肯できます。
Q 難しいと感じているのは?
A 一般職員の意識向上。標的型メールの模擬テストにひっかかっていながら、居直る職員が少なくないようである。
Q SNSの利用や私物スマートフォンの持ち込みなどに関する制約は? クラウド上への業務資料のアップロードは?
A 前者は特にないが、後者は認められていない。
◎セミナーのアジェンダ
◇日本国政府の情報セキュリティ政策の基盤体制
現在の情報セキュリティ政策の基礎を成しているのが、「国民を守る情報セキュリティ戦略」である。同戦略のゴールは「2020年までに利用者が活用するにあたっての脆弱性を克服し、国民が情報通信技術を安心して利用できる環境を整備し、世界最先端の「情報セキュリティ先進国」を実現する」ことである。
この戦略に基づいて年度計画が策定されており、今年の年度計画が「情報セキュリティ2012」である。
◇情報セキュリティ2012の概要
情報セキュリティを取り巻く環境の変化として、以下の5点を挙げている。
◆本格的なサイバー攻撃の発生と深刻化
◆社会経済活動の情報技術への依存度の更なる高まりとリスクの表面化
◆新たな技術革新に伴う新たなリスクの出現
◆重大な情報通信システム障害のリスク回避に向けた取り組みの必要性の高まり
◆諸外国による取り組みの強化
これらの変化を踏まえて、以下の3つの基本方針を掲げている。
◆国や国の安全に関する重要な情報を扱う企業等に対する高度な脅威への対応
◆スマートフォンの本格的な普及等新たな情報通信技術の広まりに伴うリスクの表面化に対応した安全・安心な利用環境の整備
◆国際連携の強化
情報セキュリティ2012に挙がっている主要施策は以下の10項目である。
(1)標的型攻撃に対する官民連携の強化等
(2)大規模サイバー攻撃事態に対する対処態勢の整備等
(3)政府機関等の基盤強化
(4)重要インフラの基盤強化
(5)情報通信技術の高度化・多様化への対応
(6)研究開発、産業振興の推進
(7)情報セキュリティ人材の育成
(8)情報セキュリティリテラシーの向上等
(9)制度整備
(10)国際連携の強化
◎セミナーの詳細(※は筆者注)
◇これまでのセキュリティ政策の推移
・2000年2月 内閣官房情報セキュリティ対策推進室設置…同年1月の省庁HP連続改ざん事案の発生が契機
・2005年4~5月 内閣官房情報セキュリティセンター、情報セキュリティ政策会議設置…<時代背景>2004年2月ソフトバンクBBの個人情報漏えい事件、同年3月ごろよりWinny暴露ウィルスによる情報漏えい事案が急増、同年12月 国内初のフィッシング詐欺、2005年4月 個人情報保護法施行
・2006年2月 第1次情報セキュリティ基本計画…
・2008年4月 GSOC運用開始
・2009年2月 第2次情報セキュリティ基本計画…※ここまで自公政権下
・2010年5月 国民を守る情報セキュリティ戦略…2009年の米韓政府機関DDoS攻撃事案が契機となった。※前年民主党政権成立。
◇情報セキュリティ政策の枠組みと推進体制
IT戦略本部(※2000年森内閣時代にe-Japan構想と共に設立)の下部組織に情報セキュリティ政策会議が配置されおり、その事務局としてNISCが設置されている。
各省庁からの出向者の他にも民間企業から非常勤で参加しているセンター員も多く活躍している。
◇情報セキュリティ戦略の最新版「国民を守る情報セキュリティ戦略」
2009年に発生した米韓両国政府機関に対するサイバー攻撃をふまえて、当時の情報セキュリティ戦略を更新する形で制定されている。
◇情報セキュリティ政策のフレームワーク
複雑化、高度化している情報セキュリティ対策を推進するため、以下の点を意識
◆NISCが結節点となって官民連携を促進する
◆統一的、横断的な情報セキュリティ対策を推進し底上げを計る
◆PDCAサイクルによる持続的改善を定着させる
◆国際連携を強化し、その中でイニシアティブを発揮する
◇「情報セキュリティ2012」で意識しているリスクや脅威
情報を取り巻く環境の変化として従来から継続している流れ+東日本大震災をふまえた5点を挙げている。
◆本格的なサイバー攻撃の発生と深刻化
省庁、国会、国家の機密を共有する民間企業などを狙った標的型メール攻撃の頻発への対応
■ 標的型メール攻撃の情勢
日本国内で発生した標的型メール攻撃の発生件数に関する正確な数字は把握されていないが、警察が把握しているものとIPAに寄せられた相談件数を掲示。氷山の一角であろうものでもこれだけの量となっており、軽視できる状況にはないと考えている。
◆社会経済活動の情報通信技術への依存度のさらなる高まりとリスクの表面化
スマートフォン、SNSなどのクラウドサービスの普及にセキュリティ対策や利用者の意識がついて行っていない状況を憂慮
■ スマートフォンの普及状況
2011年度の出荷台数2340万台に達したと見られる。スマートフォンは、フィーチャーフォンに比べて脆弱性を内包しているが、未だ多くの利用者はフィーチャーフォン同様のセキュリティ水準を保っていると誤解しており、結果としてローコストハイリターンな攻撃対象となっている
スマートフォンがあらゆる国民生活に利用されている中で、スマートフォンをターゲットにしたマルウェアは急増していることで、あらゆる国民生活がマルウェアのリスクにさらされていると考えている。
■ SNSなどのクラウドサービスの利用の本格化
SNSや動画投稿サイトでは、個人情報が多く取り扱われており、普及に従ってサイバー攻撃の対象になるおそれがあると考えている。
■ IPv6への移行
インターネットトラフィックは、昨年も前年比24%増の1.7Tbpsへと増加している。GoogleのウェブサイトにIPv6でアクセスするユーザは、まだ0.1%未満だが、今後は急速に増大するものと考えられる。IPv6への移行が進めば、家電製品などあらゆる機器のインターネット端末化が進むと考えられるが、このことは攻撃対象の拡大につながる。また、IPv4との併用に起因するミスやそこを突く脅威が懸念されている。
■ 制御システムへの攻撃
Stuxnetに見られるような制御システムを狙ったサイバー攻撃も懸念されている。
◆新たな技術革新に伴う新たなリスクの出現
ここでは、特にM2M環境の出現について言及。
人間を介さずに各種センサーなどが直接機械と情報交換が進んでいくことが見込まれているが、従来クローズドな環境で運用されることを前提に開発されていたデバイスやシステムがオープンなインターネット環境で運用されたら、デバイスから情報が漏えいしたり、デバイスが不正に乗っ取られる懸念がある。
◆重大な情報通信システム障害のリスク回避に向けた取り組みの必要性の高まり
2011年にも掲げていたが、東日本大震災における電力喪失、建物損壊、ネットワークの寸断などの同時発生といった深刻な事態に備えた対策の整備を掲げている。中長期的には、堅牢なデータセンターの利用、モバイル端末からの該当システムへのアクセスを受容する仕組みの整備も検討課題に挙げている。
移動通信事業者における通信障害の多発をふまえて、対策の推進を求めている。
◆諸外国による取り組みの強化
米国は昨年5月、英国は昨年11月、それぞれサイバー空間におけるセキュリティ戦略を策定している。これに対して、
日本では、日英共同声明(2012年4月)、日米首脳会談(2012年4月)において、サイバー問題に関する二国間の連携を強化させる必要性について一致
◇「情報セキュリティ2012」で計画されている施策
(1)標的型攻撃に対する官民連携の強化等
■ 官民の連携強化
NISCが結節点になって、総務省、警察、経済産業省がそれぞれ構築している外郭団体(テレコムアイザック官民協議会、サイバーインテリジェンス情報共有ネットワーク、サイバー情報共有イニシアティブ)を活用して情報共有を推進する。
■ 政府機関にCSIRTを設置
標的型メール攻撃は、複数の省庁に同様の手口で行われる可能性があるため、インシデントに機動的に対応し、遺漏なく継続的に実施できるよう各省庁にCSIRT※を設置する。
※Critical Security Incident Response Team
■ 標的型メール対処のための教育訓練を継続実施
昨年は3ヶ月12機関6万人→今年は5カ月19機関14万人を対象に実施予定。
■ 国の重要な情報を扱う企業における情報セキュリティの推進
契約の履行に当たって必要となる情報セキュリティ要件を調達使用に組み入れる。
(2)大規模サイバー攻撃事態に対する対処態勢の整備等
大規模サイバー攻撃事態発生時の初動対処にかかる訓練を年1回実施。
海外からのサイバー攻撃が頻発している中、一定の成果を上げていると考えている。
(3)政府機関等の基盤強化
政府機関の情報セキュリティ対策は、事案が発生した場合の対処体制の整備と平時における運用体制の整備に分けられる。
◆事案が発生した場合の対処体制の整備
■ GSOC 2009年より運用。政府機関に関連する情報セキュリティ事案が発生した場合のレスポンス、脅威の回収、分析、対策の立案、共有
■ 各省庁のCSIRTを束ね、一元的な対処を可能にするための政府CISOの設置
■ 情報セキュリティ緊急支援チーム(CYMAT)の設置
◆平時における運用体制の整備
■ 情報セキュリティガバナンス
情報セキュリティ対策推進会議(CISO等連絡会議)に対して、民間の最高情報セキュリティアドバイザーなど連絡会議から審議、検討、助言が行われている。
◆実際に実施されている具体的対策
■ 政府機関のサーバ数の削減…2013年末までに2008年比で半数に削減
■ ウェブサーバの脆弱性検査の実施
■ 東日本大震災をふまえ、政府機関のITーBCPの立案に取り組んでいる。
■ メールのなりすまし防止…政府機関発の電子メールにかかるなりすましの防止策としてSPFの導入を推進中。送信側の設定状況は今年3月末段階で97.7%完了している。
■ 政府認証基盤を活用した電子署名の利用推進…NISCが作成したPDFを閲覧すると、確かにNISCが作成したものであることを確認できるようになっている。
■ 利用する暗号強度の見直し
■ 情報セキュリティ対策の統一基準、Security by Designの採用
(4)重要インフラの基盤強化
■ 重要インフラ事業者間の情報セキュリティ対策
対策のガイドラインの提示、情報共有の推進、セプターカウンシル※の支援、共通脅威分析、分野横断的演習などを実施している。
※重要インフラの情報セキュリティ対策向上のため、事業者間で分野横断的な情報共有を推進する目的で政府機関から独立した会議体として設立された。
その他、以下の点が挙がっているが、時間切れ。
(5)情報通信技術の高度化・多様化への対応
(6)研究開発、産業振興の推進
(7)情報セキュリティ人材の育成
(8)情報セキュリティリテラシーの向上等
(9)制度整備
(10)国際連携の強化
~9/20開催された情報セキュリティセミナーの参加レポート~
お先に感想
私が審査員をやらせてもらっている情報セキュリティ懸賞論文の主催者でもある公益法人 防衛調達基盤整備協会主催の講演会に参加してきました。
57ページに上る大量の情報を中盤くらいまで逐次丁寧に説明した分、終盤はかなりの駆け足でした。
元来多くの施策を講じていることの衆知が主眼でしょうから、講演も情報量は多くならざるを得ないし、それをまとめた結果も長大ににならざるを得ませんでした。
講演終了後に直接講師に質問:
Q 成果が出ていると感じているのは?
A クリティカルなリソースの防御はうまくいっている。
※ 報道を見る限り、最近の海外からの攻撃に対しても致命的な事態を招いていないようなので首肯できます。
Q 難しいと感じているのは?
A 一般職員の意識向上。標的型メールの模擬テストにひっかかっていながら、居直る職員が少なくないようである。
Q SNSの利用や私物スマートフォンの持ち込みなどに関する制約は? クラウド上への業務資料のアップロードは?
A 前者は特にないが、後者は認められていない。
◎セミナーのアジェンダ
◇日本国政府の情報セキュリティ政策の基盤体制
現在の情報セキュリティ政策の基礎を成しているのが、「国民を守る情報セキュリティ戦略」である。同戦略のゴールは「2020年までに利用者が活用するにあたっての脆弱性を克服し、国民が情報通信技術を安心して利用できる環境を整備し、世界最先端の「情報セキュリティ先進国」を実現する」ことである。
この戦略に基づいて年度計画が策定されており、今年の年度計画が「情報セキュリティ2012」である。
◇情報セキュリティ2012の概要
情報セキュリティを取り巻く環境の変化として、以下の5点を挙げている。
◆本格的なサイバー攻撃の発生と深刻化
◆社会経済活動の情報技術への依存度の更なる高まりとリスクの表面化
◆新たな技術革新に伴う新たなリスクの出現
◆重大な情報通信システム障害のリスク回避に向けた取り組みの必要性の高まり
◆諸外国による取り組みの強化
これらの変化を踏まえて、以下の3つの基本方針を掲げている。
◆国や国の安全に関する重要な情報を扱う企業等に対する高度な脅威への対応
◆スマートフォンの本格的な普及等新たな情報通信技術の広まりに伴うリスクの表面化に対応した安全・安心な利用環境の整備
◆国際連携の強化
情報セキュリティ2012に挙がっている主要施策は以下の10項目である。
(1)標的型攻撃に対する官民連携の強化等
(2)大規模サイバー攻撃事態に対する対処態勢の整備等
(3)政府機関等の基盤強化
(4)重要インフラの基盤強化
(5)情報通信技術の高度化・多様化への対応
(6)研究開発、産業振興の推進
(7)情報セキュリティ人材の育成
(8)情報セキュリティリテラシーの向上等
(9)制度整備
(10)国際連携の強化
◎セミナーの詳細(※は筆者注)
◇これまでのセキュリティ政策の推移
・2000年2月 内閣官房情報セキュリティ対策推進室設置…同年1月の省庁HP連続改ざん事案の発生が契機
・2005年4~5月 内閣官房情報セキュリティセンター、情報セキュリティ政策会議設置…<時代背景>2004年2月ソフトバンクBBの個人情報漏えい事件、同年3月ごろよりWinny暴露ウィルスによる情報漏えい事案が急増、同年12月 国内初のフィッシング詐欺、2005年4月 個人情報保護法施行
・2006年2月 第1次情報セキュリティ基本計画…
・2008年4月 GSOC運用開始
・2009年2月 第2次情報セキュリティ基本計画…※ここまで自公政権下
・2010年5月 国民を守る情報セキュリティ戦略…2009年の米韓政府機関DDoS攻撃事案が契機となった。※前年民主党政権成立。
◇情報セキュリティ政策の枠組みと推進体制
IT戦略本部(※2000年森内閣時代にe-Japan構想と共に設立)の下部組織に情報セキュリティ政策会議が配置されおり、その事務局としてNISCが設置されている。
各省庁からの出向者の他にも民間企業から非常勤で参加しているセンター員も多く活躍している。
◇情報セキュリティ戦略の最新版「国民を守る情報セキュリティ戦略」
2009年に発生した米韓両国政府機関に対するサイバー攻撃をふまえて、当時の情報セキュリティ戦略を更新する形で制定されている。
◇情報セキュリティ政策のフレームワーク
複雑化、高度化している情報セキュリティ対策を推進するため、以下の点を意識
◆NISCが結節点となって官民連携を促進する
◆統一的、横断的な情報セキュリティ対策を推進し底上げを計る
◆PDCAサイクルによる持続的改善を定着させる
◆国際連携を強化し、その中でイニシアティブを発揮する
◇「情報セキュリティ2012」で意識しているリスクや脅威
情報を取り巻く環境の変化として従来から継続している流れ+東日本大震災をふまえた5点を挙げている。
◆本格的なサイバー攻撃の発生と深刻化
省庁、国会、国家の機密を共有する民間企業などを狙った標的型メール攻撃の頻発への対応
■ 標的型メール攻撃の情勢
日本国内で発生した標的型メール攻撃の発生件数に関する正確な数字は把握されていないが、警察が把握しているものとIPAに寄せられた相談件数を掲示。氷山の一角であろうものでもこれだけの量となっており、軽視できる状況にはないと考えている。
◆社会経済活動の情報通信技術への依存度のさらなる高まりとリスクの表面化
スマートフォン、SNSなどのクラウドサービスの普及にセキュリティ対策や利用者の意識がついて行っていない状況を憂慮
■ スマートフォンの普及状況
2011年度の出荷台数2340万台に達したと見られる。スマートフォンは、フィーチャーフォンに比べて脆弱性を内包しているが、未だ多くの利用者はフィーチャーフォン同様のセキュリティ水準を保っていると誤解しており、結果としてローコストハイリターンな攻撃対象となっている
スマートフォンがあらゆる国民生活に利用されている中で、スマートフォンをターゲットにしたマルウェアは急増していることで、あらゆる国民生活がマルウェアのリスクにさらされていると考えている。
■ SNSなどのクラウドサービスの利用の本格化
SNSや動画投稿サイトでは、個人情報が多く取り扱われており、普及に従ってサイバー攻撃の対象になるおそれがあると考えている。
■ IPv6への移行
インターネットトラフィックは、昨年も前年比24%増の1.7Tbpsへと増加している。GoogleのウェブサイトにIPv6でアクセスするユーザは、まだ0.1%未満だが、今後は急速に増大するものと考えられる。IPv6への移行が進めば、家電製品などあらゆる機器のインターネット端末化が進むと考えられるが、このことは攻撃対象の拡大につながる。また、IPv4との併用に起因するミスやそこを突く脅威が懸念されている。
■ 制御システムへの攻撃
Stuxnetに見られるような制御システムを狙ったサイバー攻撃も懸念されている。
◆新たな技術革新に伴う新たなリスクの出現
ここでは、特にM2M環境の出現について言及。
人間を介さずに各種センサーなどが直接機械と情報交換が進んでいくことが見込まれているが、従来クローズドな環境で運用されることを前提に開発されていたデバイスやシステムがオープンなインターネット環境で運用されたら、デバイスから情報が漏えいしたり、デバイスが不正に乗っ取られる懸念がある。
◆重大な情報通信システム障害のリスク回避に向けた取り組みの必要性の高まり
2011年にも掲げていたが、東日本大震災における電力喪失、建物損壊、ネットワークの寸断などの同時発生といった深刻な事態に備えた対策の整備を掲げている。中長期的には、堅牢なデータセンターの利用、モバイル端末からの該当システムへのアクセスを受容する仕組みの整備も検討課題に挙げている。
移動通信事業者における通信障害の多発をふまえて、対策の推進を求めている。
◆諸外国による取り組みの強化
米国は昨年5月、英国は昨年11月、それぞれサイバー空間におけるセキュリティ戦略を策定している。これに対して、
日本では、日英共同声明(2012年4月)、日米首脳会談(2012年4月)において、サイバー問題に関する二国間の連携を強化させる必要性について一致
◇「情報セキュリティ2012」で計画されている施策
(1)標的型攻撃に対する官民連携の強化等
■ 官民の連携強化
NISCが結節点になって、総務省、警察、経済産業省がそれぞれ構築している外郭団体(テレコムアイザック官民協議会、サイバーインテリジェンス情報共有ネットワーク、サイバー情報共有イニシアティブ)を活用して情報共有を推進する。
■ 政府機関にCSIRTを設置
標的型メール攻撃は、複数の省庁に同様の手口で行われる可能性があるため、インシデントに機動的に対応し、遺漏なく継続的に実施できるよう各省庁にCSIRT※を設置する。
※Critical Security Incident Response Team
■ 標的型メール対処のための教育訓練を継続実施
昨年は3ヶ月12機関6万人→今年は5カ月19機関14万人を対象に実施予定。
■ 国の重要な情報を扱う企業における情報セキュリティの推進
契約の履行に当たって必要となる情報セキュリティ要件を調達使用に組み入れる。
(2)大規模サイバー攻撃事態に対する対処態勢の整備等
大規模サイバー攻撃事態発生時の初動対処にかかる訓練を年1回実施。
海外からのサイバー攻撃が頻発している中、一定の成果を上げていると考えている。
(3)政府機関等の基盤強化
政府機関の情報セキュリティ対策は、事案が発生した場合の対処体制の整備と平時における運用体制の整備に分けられる。
◆事案が発生した場合の対処体制の整備
■ GSOC 2009年より運用。政府機関に関連する情報セキュリティ事案が発生した場合のレスポンス、脅威の回収、分析、対策の立案、共有
■ 各省庁のCSIRTを束ね、一元的な対処を可能にするための政府CISOの設置
■ 情報セキュリティ緊急支援チーム(CYMAT)の設置
◆平時における運用体制の整備
■ 情報セキュリティガバナンス
情報セキュリティ対策推進会議(CISO等連絡会議)に対して、民間の最高情報セキュリティアドバイザーなど連絡会議から審議、検討、助言が行われている。
◆実際に実施されている具体的対策
■ 政府機関のサーバ数の削減…2013年末までに2008年比で半数に削減
■ ウェブサーバの脆弱性検査の実施
■ 東日本大震災をふまえ、政府機関のITーBCPの立案に取り組んでいる。
■ メールのなりすまし防止…政府機関発の電子メールにかかるなりすましの防止策としてSPFの導入を推進中。送信側の設定状況は今年3月末段階で97.7%完了している。
■ 政府認証基盤を活用した電子署名の利用推進…NISCが作成したPDFを閲覧すると、確かにNISCが作成したものであることを確認できるようになっている。
■ 利用する暗号強度の見直し
■ 情報セキュリティ対策の統一基準、Security by Designの採用
(4)重要インフラの基盤強化
■ 重要インフラ事業者間の情報セキュリティ対策
対策のガイドラインの提示、情報共有の推進、セプターカウンシル※の支援、共通脅威分析、分野横断的演習などを実施している。
※重要インフラの情報セキュリティ対策向上のため、事業者間で分野横断的な情報共有を推進する目的で政府機関から独立した会議体として設立された。
その他、以下の点が挙がっているが、時間切れ。
(5)情報通信技術の高度化・多様化への対応
(6)研究開発、産業振興の推進
(7)情報セキュリティ人材の育成
(8)情報セキュリティリテラシーの向上等
(9)制度整備
(10)国際連携の強化
2012/09/04
8月の読書メーター
8月の読書メーター
読んだ本の数:5冊
読んだページ数:1463ページ
ナイス数:8ナイス
アジャイルサムライ−達人開発者への道−
私はプログラマではないけれど、このアジャイル開発のエッセンスにとても惹かれている。チームで生産性を高めていくための現実的・具体的なプラクティスをプログラマ以外の人たちにも参考にしてほしい。
読了日:08月27日 著者:Jonathan Rasmusson
リーン・スタートアップ ―ムダのない起業プロセスでイノベーションを生みだす
読んでる間にも、あれこれ考えてしまって、読了するのに時間がかかってしまった。と~っても刺激的な示唆に富んでいたのだけれど、レビューを推敲するより、やるべきことにフォーカスすべきだし、そうしたいので、これぐらいでおしまい。
読了日:08月21日 著者:エリック・リース
虚像の道化師 ガリレオ 7
あっという間に読み終わった。短編4編という構成を見ると、長編が続いたガリレオシリーズにしては原点回帰なんだろうけど、あれもこれも、うーん。今回のは、各編最後に回答解説付きだし、それぞれ関連性はないし、ガリレオシリーズの原点って、こんな感じだったっけ。容疑者Xの献身は例外なんですよ、内容に合わせて装丁もライトにまとめたでしょって声が聞こえてくるような。 高所から語れる身分ではないし、後ろ向きなことを書くのは不本意だけど、これで秋にはもう一冊というのは困りますなぁ。
読了日:08月18日 著者:東野 圭吾
チヨ子 (光文社文庫)
読了日:08月11日 著者:宮部 みゆき
ランチェスター弱者必勝の戦略―強者に勝つ15の原則 (サンマーク文庫)
読了日:08月02日 著者:竹田 陽一
2012年8月の読書メーターまとめ詳細
読書メーター
読んだ本の数:5冊
読んだページ数:1463ページ
ナイス数:8ナイス
アジャイルサムライ−達人開発者への道−私はプログラマではないけれど、このアジャイル開発のエッセンスにとても惹かれている。チームで生産性を高めていくための現実的・具体的なプラクティスをプログラマ以外の人たちにも参考にしてほしい。
読了日:08月27日 著者:Jonathan Rasmusson
リーン・スタートアップ ―ムダのない起業プロセスでイノベーションを生みだす読んでる間にも、あれこれ考えてしまって、読了するのに時間がかかってしまった。と~っても刺激的な示唆に富んでいたのだけれど、レビューを推敲するより、やるべきことにフォーカスすべきだし、そうしたいので、これぐらいでおしまい。
読了日:08月21日 著者:エリック・リース
虚像の道化師 ガリレオ 7あっという間に読み終わった。短編4編という構成を見ると、長編が続いたガリレオシリーズにしては原点回帰なんだろうけど、あれもこれも、うーん。今回のは、各編最後に回答解説付きだし、それぞれ関連性はないし、ガリレオシリーズの原点って、こんな感じだったっけ。容疑者Xの献身は例外なんですよ、内容に合わせて装丁もライトにまとめたでしょって声が聞こえてくるような。 高所から語れる身分ではないし、後ろ向きなことを書くのは不本意だけど、これで秋にはもう一冊というのは困りますなぁ。
読了日:08月18日 著者:東野 圭吾
チヨ子 (光文社文庫)読了日:08月11日 著者:宮部 みゆき
ランチェスター弱者必勝の戦略―強者に勝つ15の原則 (サンマーク文庫)読了日:08月02日 著者:竹田 陽一
2012年8月の読書メーターまとめ詳細
読書メーター
登録:
投稿 (Atom)