こんにちは
JNSAメールマガジン　第12号　をお届けします。

日本列島、梅雨の真っ最中ということで鬱陶しい日が続きますね。西日本では 猛暑も押し寄せたり、台風が日本をうかがったりと、厳しい状況が続いています が、皆さん体調は大丈夫でしょうか。Br>
JNSAのワーキンググループの多くが、新規メンバーを募集しています。今年は 例年になく応募が多い様子。この機会に皆さんも興味ある分野で積極的に活動し てみてはいかがでしょうか。
新しいワーキンググループの立ち上げも、いつでも誰でも手を挙げることがで きますので、事務局に相談してください。

連載リレーコラムは、前回に引き続き、幹事の二木さんに書いていただいた、 APT=Advanced Persistent Threat（高度で、継続的な「脅威」）=についてです。 やや長いので、前回と今回の2回に分けて掲載しています。前半は6月7日の メルマガ第11号を参照してください。
二木さんは、コンサルタントとしてご活躍の傍ら、あちこちのネットメディア で深掘りの記事を多く書いておられます。力作をお楽しみください。

【連載リレーコラム】
「"APT" を再考する」＜その2＞（前回掲載の最後の段落から再掲）
（JNSA幹事　アルテア・セキュリティ・コンサルティング代表　二木真明）

同じ意味から言えば、むしろサイバーテロが最大の脅威なのかもしれません。 テロリストには前述のような抑止が働きません。つまり、一旦許してしまえば、 同時多発的に発生する問題に正面から対処するしかなくなります。そして、その 矢面に立たされるのは、軍でも警察でもなく、民間企業です。これを防ぐには、 不断の警戒を通じて、その芽を摘んでいくしかありません。こうした動きに対す る情報収集や警戒は、米国では政府機関、FBI、軍などが中心に行っており、そ のような情報を民間企業、とりわけ重要インフラを担う企業と共有するスキーム が出来つつあります。ただ、こうした民間企業を日頃から政府機関が守ることが 出来るか、といえばそれは無理でしょう。まして、有事にあってはなおさらで す。有事では政府機関や軍などは、自らの防御で精一杯になってしまうはずで す。つまり、民間企業は平時、有事を問わず自己防衛を行わざるを得ず、そのた めの準備をきちんとしておく必要があるのです。

こう書くと、非常に難しいことのように思えるかもしれませんが、実はそうで もありません。まずは、これまでに言われてきた基本的なセキュリティ対策を再 確認することから始めるといいでしょう。特に、ここ数年で発生した国内でのサ イバー攻撃事例の多くが、こうした基本的な対策が出来ていれば発生しなかった だろうと言われています。APTからの攻撃は高度だから、これまでの対策は通用 しないなどと言われますが、これは一種の都市伝説だと言えます。実は、基本的 な対策がきちんと講じられ運用できていれば、攻撃側の負担は相当大きくなりま す。それを越える攻撃は不可能でないとしても、失敗や発覚のリスクは格段に高 くなるため、攻撃側も安易に攻撃はできなくなります。つまり、そのリスクに見 合った成果が得られる相手でなければ攻撃してこないでしょう。少なくとも踏み 台化のリスクは相当軽減できます。大規模なサイバーテロやサイバー戦争への社 会的な耐性を高めるには、このことが最も重要です。こうした基本的なセキュリ ティ対策は、もはや「セキュリティ専門家」と言われる人たちの領域ではなく、 ITの各分野の専門家が受け持つべきものとなりつつあります。そして、セキュリ ティの専門家は、その全体を調整し、足りない部分を補完していく役割を担って いくべきなのです。

日米の最も大きな違いは、セキュリティ専門家の社会的な分布にあると言われ ています。とりわけ、セキュリティ全般を広く理解してセキュリティ対策の枠組 みを考え、そのマネジメントができる人材が、官・民、一般企業とセキュリティ 専門企業に広く分布していて、それらの間の人の移動も多いというのが米国の特 徴です。一方、日本ではこうした総合的なセキュリティ人材はあまり多くない上 に、専門家がセキュリティやITの専門企業に偏在してしまっています。つまり、 官民、専門企業、一般企業間で情報共有をしようにも、一般企業や政府機関の多 くに受け皿がないということになってしまうのです。そればかりか、セキュリ ティ対策を自ら考えられず、外部に丸投げしてしまう企業や機関も少なくありま せん。

日本においては、この状況を変えることが第一歩なのかもしれません。ITもセ キュリティもアウトソーシングは活用されるべきですが、責任だけは決してアウ トソースできません。つまり、アウトソースされたセキュリティが本当に機能し ているかを確認し、最適化していく責任はアウトソースする側が持たなければい けないのです。そのために必要なのが、総合的な知識と経験を持つセキュリティ やITの人材です。今、日本の社会的なサイバー耐性を高めるために必要なのは、 むしろこうした部分を担う人材の育成と一般企業における採用なのかもしれませ ん。脅威や対策の情報を共有するにしても、その場に集まった人たち、企業が最 低限のレベルに達していなければ、決してうまく機能しません。そして、専門企 業だけではなく、一般企業からもその場に参加できるようにしていくことが最も 重要なのだと私は考えます。

昨今、こうしたサイバー脅威に対抗するための専門家の大量育成というかけ声 も高いのですが、たとえ何十万人育成したとしても、日常的な現場のセキュリ ティ管理が自分でできない状態が改善されない限り、専門家が足りることはない だろうと思います。そして、育成された専門家の多くが、本来専門家の仕事では ない現場の不注意の後始末に奔走することになるでしょう。そうなれば、モティ ベーションの低下も心配です。また、大量育成したあげくに、働く場所がない、 というのも困ります。なぜなら今の日本でこうした技術者が働ける場所は意外に も、それほど多くないからです。これは先に述べた人材分布の偏りと関連しま す。一方、米国ではCISSPやCISMなど、総合的なセキュリティの資格保持者の失 業率は、ほぼゼロであり、待遇も一般のIT技術者や管理者の平均以上だと言われ ています。そして、その多くを雇用しているのがITやセキュリティ専門以外の企 業や政府、行政機関です。我々は、この構造の違いをもっと意識する必要がある でしょう。

APTそのものは依然として存在します。それは今後さらに大きくなって行くに 違いありません。サイバーテロや組織的サイバー犯罪も含めて考えるならば、民 間企業にとって一番必要な事は自らのセキュリティを考える力と、そこに働くIT 技術者のセキュリティ面の底上げです。そのためには、過度のIT、セキュリティ のアウトソースを見直す機運を作ることも必要です。中小企業ではコスト負担の 重荷も大きいですから、政治、行政による後押しも必要です。こうした社会的な 取り組みを経て、はじめて日本はサイバー攻撃に強い国になるのだろうと私は 思っています。

手遅れになる前に、もう一度足元を見直しておきたいものです。

＃連載リレーコラム、ここまで

【ワーキンググループ便り】
★アイデンティティ管理WGによる電子書籍『改訂新版 クラウド環境におけるアイデンティティ管理ガイドライン』を本日より発売します。印刷版については会員向け割引販売も行います。
https://www.jnsa.org/result/2013/idm_guideline.html

★以下のワーキンググループはメンバーを募集中です。事務局までお問い合わせください。
→アイデンティティ管理ワーキンググループ
→セキュリティ市場調査ワーキンググループ
-----------------------------------------------------------------
JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい！
-----------------------------------------------------------------
★社会活動部会は毎月第三金曜日に定例会を開催しています。
どなたでも参加できますので、興味がある方は事務局までご連絡下さい。
★部会・WG予定　
その他、活動スケジュールはこちらをご覧下さい。
　https://www.jnsa.org/aboutus/schedule.html

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第12号　
発信日：2013年6月21日
発行：　JNSA事務局　
編集：　勝見　勉
*************************************