「情報化白書2012」発刊記念シンポジウム in 大阪(一般財団法人日本情報経済社会推進協会主催)に参加してきた。
大阪で開催された> 「情報化白書2012」発刊記念シンポジウム in 大阪-一般財団法人日本情報経済社会推進協会に参加してきた。
会場となったTKPゲートタワービルは、高速道路が貫く独特な外観で、高速道路から見たことはあったんですが、中に入るのは初めてでかなりドキドキ。
運営の方も満員御礼と仰っていたのが納得でした。
さて、内容ですが、ぶっちゃけイベントタイトルからはどんな話をするのか見えてきにくい雰囲気だったかなと思います。
今回のシンポジウムでは、激動する今の時代における「生活情報化」を一つのキーワードとして、ふつうの人々の生活を支援してきた情報化が、今回の震災においてどのように役立ち、震災後、人々の生活にどのような変化が見られたのか、生活における情報セキュリティの重要性とセキュリティ意識の変化、企業の中で閉じていたセキュリティモデルがどう変わり、我々の働き方や生活にどのような変化をもたらすのか、などについて、「情報化白書2012 -激動の時代の情報化-」の執筆者の方々より、多くの事例を交えて様々なメッセージを発信していただくこととしております。
とある通り、メインはディスカッションだったのかも。ということで、ディスカッション内容を何かのキーワードになればとそのまま貼り付けておきます。
□パネルディスカッション
問題提起
・生活を支える安全・安心な情報利活用の実現 情報共有の現実について p.120
企業IT自活用調査
震災前・あとで調査結果に違いがある
BCP震災前 14位 震災後 1位
何かあると評価基準が変わる
評価というのはその場限り?
何が起こるか?減災、想定外が無いようにする必要がある園田さん
デバイス・twitter等の関連
生活情報化→スマホ
SNSやtwitterで自分がいかにリア充かを垂れ流す→一般の人が普通に使う
宮本さん
メール添付・常識の変容等
阪神淡路の17年前と今では大分変わっている
17年前の常識
メールは一部なニッチの技術者 回線も細い
メールテンプするな
現在
回線は太い、マシンパワーも上昇
1-2M平気でくっつける
→ファイルがついてきて当たり前 標的型
個人情報
昔:町内の連絡網
今:電話番号ひとつ集めるのも苦労
竹迫さん
非常時の情シス・標的型攻撃
2008年鳥インフルパンデミック→人事マスタが違うので連絡もが作れない
サイボウズ安否確認サービス
データセンターを複数個所に分ける
BCP 情報セキュリティ白書 主婦でもわかるBCP
業務用プリンタを東京以外で請求書の発行業務ができるように国内分散
在宅勤務:VPN証明書 → 会社で一つ 電車に忘れた時は?全員に再配布?非現実的 → 個人ごとに発行するほうがいい
一般的なクラウドサービスのログイン画面 → パスワードのみでクラック可能
会社ごとに異なるサブドメイン、企業管理者が設定するログイン名、パスワードポリシーを設定
上野さん
HTTPS、パスワード等
特別なものを導入しないどこにでもあるセキュリティの導入方法
HTTPS→慣れ親しんだもの
同じネットワークにいた場合のデータ盗聴・改ざん・成りすましをされないための暗号化 → 標準化されている
コストがかかる、リソースがCPU喰う → 導入されにくい原因
使い回しパスワードの危険性→1割がヒットする
運営者側はどうやって使い回しを回避していくのか?
利用者側は質の良い個別のパスワードを
二要素認証 → すでに安全ではない
滝澤さん
今日の講演を踏まえた補足
災害対応システムに求められる一般的要件
IT以外の泥臭い情報伝達方法 → 張り紙
阪神淡路になくて今回の震災であったもの → twitter
やはり、張り紙はそれでも最強
半歩進んだITで役立てるというアプローチが大事
加藤さん
クラウド、平常時・非常時等の観点
クラウドを使用して情報システムを復旧した事例
様々なシーンでクラウドを利用して災害対策
クラウドがあったからよかった → あくまで断片的
結局最後は人に到達しないといけないのでそこはITの手の届かないところ
よりよく人が動くためのIT
自分で設備を持たなくてもたやすく利用可能というのがクラウドのいいところ
今までCIを重視した結果、震災で鍵にしていたFDをなくしてAがダメに ← CIAの話
Aを上げるためにCIを下げる
震災でデータがなくなったので、通常は持って帰ってたらいけないんだけど、
こっそり持って帰っていたデータのおかげでコピーから復旧した という事例
=========
災害発生時に判断基準が変わる?非常時には非常時の判断基準
・病院に収容されているかどうかの確認
・独居老人がどこに住んでいるという情報把握
→遠隔地からの問い合わせの対応は? ITが何か手伝えることがあるのかどうか園田さん
twitterやfacebookは個人情報を垂れ流す
どこで食べてこれがおいしかった
写真にGPS情報入っててどこにいるかわかる→その人の行動範囲、地理的プロファイリング等々
やられる側は実感がない
探す側はガンガン探す
→ 二極化
安田さん
Facebookは本人の名前で出すのがふつう
そのギャップとかは?
加藤さん
twitterやクラウドを使用して実名を出してやり取りした事例
3.11 → 経路を垂れ流しながらツイート、twitterは本名アカウント、生きてるよという証になる
Twitterによる情報伝達でアクセス集中で後方サイトダウン → そして誰も見なくなった
Twitterでミラーサイトの告知 → 見れるようになった
一つの事例だけあげて、Twitter便利だろは言い切れない、最後のミラーの了承などは自転車で担当者のところまで駆けつけて得た
宮本さん
震災時に http://www.sinsai.info/
震災発生後に数時間で立ち上がった
クラウド云々がないとこの速度では立ち上がらなかった
情報の集約 メールを読むのは大変 → twitterの情報を集約 API公開されているから
Twitter情報をウソかホントかを見分けるのは機械では難しい、最終的には人の判断 ボランティアが動いた
震災等 非常時の個人情報の適用除外で突っ込まれる 専門家として宮本さん対応 → ポリシー策定
人フィルタ 削除依頼対応は人
上野さん
実名とか匿名とかの難しさ
実名アカウントの信頼性は?どれが本人かわからない
前に、自分のTwitterアカウントの偽物を作られた
昔から知っている人は自分のTwitterアカウントを知っているが、
新しく知り合った人知った人はどのアカウントをフォローしたらいいかわからない
信頼があっても逆手に取られる
SNSのアカウントを乗っ取る(パスワード等)→友達相手に旅先でお金が無くなったとかで振り込ませる
滝澤さん
非常時だから個人情報をあらわにして失われるより得るものを多く
非常時だから個人情報をより強固に守るべき
という二者の考え方 単純な話ではない
安田さん
ITがない時代に暮らしてきた手続き
役所に行って手続きを踏んで書類を見せてもらう
ITがつかえるようになって人と人が合わずに済ませることができるように → ごまかしやすくなった
園田さん
友達だったら信用するくらいのことしかできない
知らない人が見たら実名があったら本人だと思う
友達から来たメールの添付を開ける → 他人からは開けない 友達というスパイス
SNSではそういうことに隙が生まれやすい
宮本さん
最近あちこちで標的型攻撃の訓練
添付ファイルが来たら、誰から来たのか?を疑うようにする効果が出た
こいつがこんな添付ファイルを送ってくるか?という勘や推測をするようになった
今まで.docや.xlsを送っていた人が急に.pdfを送信するか?
安田さん
会議資料だよーとかもっともらしいものが標的型攻撃をはじめとして多い
IPAテクニカルウォッチ参照
111003report.pdf
どこからか、企業内の本人情報(所属箇所含めたシグネチャ)を得た悪意のある人からのメールをどう判断するか?
宮本さん、安田さん
関係各位殿など個人宛じゃない報告メールなどは信じがち
上野さん
添付ファイルがpdfの場合、AdobeReaderをやめるという選択肢
常に最新版を利用すること
宮本さん
サードパーティー制のものにも脆弱性はあるので、常に最新のものを
安田さん
最近は脆弱性があるのが普通だという風潮だが、あって当然という開発者の考えは最低
技術者として勉強や実現をしていないものを脆弱性と呼んでいるならサボっているだけ
0にできないなら減らす努力は必要
上野さん
セキュリティ対策をやってないのはサボり
宮本さん
アプリケーションだけしっかりすればいいのか?といわれるとそうではない
アプリケーションが搭載されたパソコンをつなぐネットワークも攻めにくくするように構築する必要がある
トータルで守るという観点
プログラムを作る人だけががんばっても、システムをつなぐ人だけががんばっても辛い
出口対策という言葉が出たら「もう入口で守りきれないから出口対策しないといけない→出口だけ対策」と言い出す人もいる
中身も入口も大事
滝澤さん
災害対策も同じ
防災という言葉を使ってしまう
防災でなく減災という観点 1万人の犠牲者を0にすることはできなくても5千人にすることはできる
CIAのセキュリティ対策をやっていくうちにAが低下していくという側面
セキュリティ対策が重くする?
竹迫さん
アプリケーションの限界があって、OSのセキュリティに救われている部分も多い
DEPとか
Adobeの脆弱性というよりはFlashの脆弱性もある<Pdfにflashを埋め込んでいる
複合技が旬
Macであれば大丈夫?はこれからはない
GoogleがMacOXを社内支給に採用したので、狙われる可能性が高くなるかも
Macのウィルス対策ソフトは?
上野さん
Mac使ってるけど、仕事用の検体を消されるのでウィルス対策ソフトが入れれない
竹迫さん
社内でOSを問わずセキュリティ対策ソフトを導入することとなっているので
Mac、Windows、Linux、スマホも必要
園田さん
基本的にブラックリスト方式だからデータベースが重たくなる
ビジネス的に負け戦
そうでない対策 → 振る舞い検知
もっと抽象的な対策で攻める側が難しいものを・・・と研究中
滝澤さん
自然災害とインシデントの違い
自然災害は人間の都合に関係なく起きる
インシデントは人間にとって不都合になるように起きる/起こす
先回りの対策は矛盾してる?先回りの場合回避しようとして悪意のある人がさらに先を・・・とするので懐疑的
技術ではなく本質的なむつかしさ
竹迫さん
昔のコンピュータは、実行領域とメモリ領域が分かれていた
今は同じになっている
昔のコンピュータのアーキテクチャがPCに導入されればいいのかも → 自由にプログラミングができなくなる
安田さん
stack上のメモリを書き直せないというメモリは淘汰された
過去のチャレンジは活かしていくべき
竹迫さん
Intel独占はなくしていくべき
宮本さん
むしろIntelがんばれ
攻撃しやすいところがたくさんあると、逃げる?
ウィルススキャナが動いてるかどうか?を見て、あれば止めて動く
ユーザに止めるように仕向ける
DEP、SNRで対処できるようになる?いたちごっこ
安田さん
ITを動かすのは人間
自然災害は人間に関わりなく起こる
ITの災害事件は自然災害ではないけど似て非なる部分もある
★まとめ 一言
加藤さん
最後は人
標的型攻撃はテクノロジーで防ぐ一面があっても怪しいことに気付くのは人
情報教諭大事
滝澤さん
ITに対して脅威をもたらすのは人間。
自然災害は人間がやるものじゃない。
災害の時の問題を解決するだけの道具にしか過ぎないので、真に解決するのは人
宮本さん
ITは補助→その通り
人がなんとかしなきゃならない部分を絞り込んで、人がやらなくちゃいけない部分に注力するための道具
人が人間らしくシステムに振り回されないものを作り提供していく
園田さん
ITですべてができるとは思ってないけど、それを目指すことで悪い人ができることを狭めていく → 減災的?
謙虚でいないといけない
コレを入れたら100%大丈夫とかいうビジネスは×
上野さん
情報化白書に載っているルールや内容は大事
非常時には人が入る、情や思いやり、信頼なども必要
システムやルールだけではない
われわれ人間の為の情報化
竹迫さん
なんでもコントロールしなくていいんじゃない?
一か所の場所に住み続けるのはリスク
川の流れのように流されていくのもあり
ビジネス等の統計も載っているので情報化白書ぜひ
安田さん
結局は人命第一