JNSA「セキュリティしんだん」

1.2012年のセキュリティを振り返る勉強会

年末も押し迫ったさる一日、日本マイクロソフトさんの主催で、こんな集まりがありました。
（facebookからコピペ）

【緊急開催】2012年のセキュリティを振り返る勉強会 2012年も残すこと、あとわずかとなりました。急ではありますが、昨年に引き続き、何かと話題の多かった今年のセキュリティを振り返り、今後の動向について議論する勉強会を開催します。 日時：2012/12/20　 13:30 - 17:30 （成り行きで延長の可能性あり） 場所：日本マイクロソフト品川オフィス　セミナールーム 主催: 2012年のセキュリティ振り返る勉強会 参加費：無料 2012年IT利用形態の変化に伴うセキュリティ要求事項の変化 日本マイクロソフト(株）　蔵本雄一 2012年企業のセキュリティ対策動向 日本マイクロソフト（株）　香山 哲司 2012年のクラウドセキュリティ動向 （株）ディアイティ　河野 省二 2012年のできごと （株）インターネットイニシアティブ　根岸征史、 NTTデータ先端技術（株）　辻伸弘 来年のセキュリティ動向について（パネル） モデレータ：日本マイクロソフト（株）　高橋正和 飛び入り歓迎 ※敬称略

堅い話、やわらかい話、色々でしたが、ちょっと拾ってみましょう。

2.BYODにまつわるいろいろ

【2012年、話題のトップはBYOD?】

　2012年、ITセキュリティ業界の流行語大賞としては、やはりBYODになるのではないでしょうか。Bring Your Own Device。自分のデバイスを持ってきなさい。デバイスって、ほとんどイコール、「スマートデバイス」ですね。つまりスマートフォンとタブレット端末。いつもアップルが先鞭をつけて、他のベンダが追随して、というパターンですが、台湾、韓国、中国のベンダたちのパワーもあって（日本が取り残されているのは寂しい限りですが）、燎原の火のごとくに広まりました。（Deloitte Mobile Survey 2012(*1)によると、日本の普及率はスマートフォンで30%、タブレット端末で11%）
(*1) http://news.goo.ne.jp/article/wirelesswire/business/wirelesswire_201210021800.html

これを企業の側は「業務にも使わせたい」社員の側は「業務にも使いたい」でBYODとなるわけで、アメリカなどは政府が先頭切って戦略として出していますが、日本の場合はちょっと状況は複雑なようです。この辺をスピーカーの蔵本さんは「持ち出したい　持ち込みたい」と切って見せてくれましたが（その中身は後で）。企業の側の反応は今のところいろいろで、個人所有の持ち込みを許可から全面禁止にして会社支給に切り替えた例から、申告届出だけで全面許可にしたところまであります。社員の側も、自分持ちのデバイスを積極的に仕事に使いたい人から、絶対それはいや、という人まで、やはり様々ですね。

【BYODなんて全然新しい話じゃないよ、というつぶやき】

　ところで筆者は、15年ほど前の、アメリカのビジネスマンの姿を思い出すのですが。一言で言うと、この頃彼らは既にスマホのBYODなんてやっていた、ということ。無論当時iPhoneなんてありません。彼らの手の中にはPalm Pilot。ここにテキストベースのメールを転送して、空港で、電車の中で、そして訪問先の会社のロビーで、暇さえあればメールをやってました。その後付き合った、あるいは在籍したアメリカ企業では、社員が外出するのに個人のノートPCを抱えていくのは普通で、自宅のPCからでもみんなVPNで会社のネットワークにつないで仕事をしていました。

【企業も現実解に目覚め始めたか？】

　で、昨今の、日本の企業風景。20日のスピーカーの誰かが「PC持ち出し禁止とか、USBメモリ利用禁止なんて、馬鹿じゃないの？」と叫んでいましたが、蔵本さんの2012年ウォッチによると、さすがに持ち出し禁止は馬鹿ばかしい、外でも使えるようにしたい、それでいかに安全確保するか、に意識が変化してきた、ということです。そして指摘されていたのが、至極真っ当な3つの変化。

仕事の場所:会社の自席⇒anywhere
会社も自宅も外出先も出張中も …生産性は上がりますよね。でも仕事で移動中も仕事？うれしい人もつらい人も？ いや、そもそも最近は籍はあるけど席はない、という人も増えていますもんね。
データの媒体：　 紙　 ⇒　 電子 　
紙なんてエコじゃないし、場所取るし、結構重いし …それで電子、はよいのですが、USBメモリ落としたら情報漏えいで大騒ぎ それで、使用禁止、持ち出し、持ち込み禁止がずいぶん増えました。本末転倒… …だからクラウド使えばいいじゃん、と20日の別のスピーカーは言っていました。 　
　IT 環境：ばらばら　⇒　 統一 　
OS、ネットワーク、認証、ポリシー　やっと統一の機運が、ということのようです。 それじゃなきゃ、管理なんてできないですよね。 もう少し言うと、規則で縛って人に依存、を改めて技術でできることは技術で、に、やっとなってきた、ということのようです。 それでこそガバナンス、ですよね。 　

【日本的BYODとは】

　ところでBYODに話を戻すと、同じく20日のスピーカーの香山さんによると、日本企業の一部にはBYODって、会社所有のスマデバを社員に外で使わせること、って理解している人もいるので、BYODをどういう定義で使っているか、まず確認するようにしているそうです。
それってBYODじゃなくてBOMDじゃないかと（ここは筆者のつぶやきです）。Bring Our Managed Device。これ、BOND、会社に縛り付けるぞ、にも似てるし、BOMB、爆弾にも似てるし。爆弾だとしたら、落としたときは情報漏えいインシデントが爆発、という意味なのでしょうね。。。。。ちょっと「せきゅり亭」になってきたのでこの辺で閑話休題。

それでBYODは会社は悩んでいるけど、既に自腹で手に入れて楽しんでいる人たちにしてみれば一部の「保守的（超進歩的？）」な人を除いて、「持ち込みたい」が趨勢ではないでしょうか。この「持ち込みたい」がけっこう厄介で。「禁止しても勝手につなぐ」状態が蔓延して、no control状態に陥るところも出ているようです。それはまずい、というので、管理ルールや管理策や管理ツールも整備できていないけど「つなぎたいやつは認めるからちゃんと申告しろ」といって実態だけは掌握しようとの決断をした企業もあります。これはno control状態に比べれば立派なcontrol（の入り口）で、ある状況においては立派な判断だと思います。

3.企業の情報セキュリティ対策は進化したのか

【技術を使ってしっかり管理】

　で、超まじめなマイクロソフトのスピーカーの方は、デバイス認証しましょうね、ネットワーク検疫かけましょうね、DHCP環境でもできますよ、と説明してくれました。会社の管理としては、それに加えて、MDM(Mobile Device Management)とデータ暗号化は必須、できればスマデバ上は仮想デスクトップ環境にして、端末には何も落とさない、残さない、という姿が美しいかもしれないですね。

開口一番「持ち出し禁止、USB禁止、なんて言っている管理者って、本当、馬鹿じゃないの」とつかみを取った某別のスピーカーにならう訳じゃないですけど、技術でカバーできるものは技術で対策して、精神主義と懲罰のおどしで人依存の管理をするよりは、確実な技術で保険をかけるべきですよね。その予算が中々つかなくて、というのはよく聞く話ですが。竹槍主義が破たんした、というのは古い世代ほど現実感をもって知っているはずですが。それで技術開発して武器をちゃんとつぎ込んで、というところが勝った、使うべき金は使う、という教訓は生きてないですかねぇ。JNSA的には、ここは結構声を大にして叫びたいところです。まじめな話。

【リスク評価と標的型攻撃と多層防御の話】

　こういう話の流れになると出てくるのが、リスク評価、ですね。リスクを定量化して、金額評価すれば、対策にどれだけお金を使うかを判断できる、という発想ですね。これは大事だけど、現実問題どうなの、ってのはセキュリティに携わる人たちの悩みの種ですね。ここでもう一人のスピーカー、香山さんからは、FTA (Fault Tree Analysis)のススメのご紹介がありました。品質管理の手法で言う、特性要因図ですね。「なぜ」を正しく3回繰り返すと（多ければ5回ぐらいはできると思いますが）、それ以上分解できない”because”にたどり着くので、それを封じ込める対策を施せばいい、というもの。同時に、そこに至る各レイヤーごとに手を打っていく多段防御、多層防御も必要、とおっしゃってました。

この多層防御は、標的型攻撃対策としても必須、という話は、2012年よく聞かれましたね。残念ながら、人の心理のひだを巧みについてマルウェアを送り込む攻撃を、入り口、つまりペリミタ＝境界で撃退するのは不可能、中に入られる、入られている前提で対策を、というのが多層防御の発想ですね。出口対策、という言葉も聞かれました。入られても出て行けなければ、外と通信させなければ、という発想ですね。あらゆるフェーズで防御線を張ろうと。標的型攻撃は、特に2011年の防衛産業各社や議会への攻撃で注目されましたが、2012年も引き続き脅威が続いています。

【現実解に目覚めたセキュリティ所管者たち？】

　香山さんのお話でもう一つポイントだったのが「実効性ある対策」に目が向きだした、ということでした。噂・浮かれ・バズが本物に転化するときに超えるギャップ「キャズム」を超えた、地に足のついた対策への取り組みが見られるようになった、ということです。本当なら喜ばしいことですね。抜け漏れ・やり過ぎ・想定外を排除して、網羅性のある対策に。隣を見て物まねの対策でなく、自社の現実を踏まえた対策。そしてお題目で飾り物のポリシーでなく、機能する、実効性のあるポリシーの整備。これを目指す動きが出てきたというのです。一歩先行く他社の例をちらつかせて土俵に乗せる、コンサルタントの常套手段に乗せられているかもしれませんが、本当だとしたらすばらしいことですね。

4.ハクティビストの勉強もできました

【若者が教えてくれるハクティビストの世界】

　さて、2012年の話題のもう一つは、「ハクティビスト」でした。若くて有能でモチベーションが高くて元気もある、根岸さんと辻さんが、典型的ハクティビスト集団、Anonymousの解説をしてくれました。それから、ハクティビストと言われる人物との接触談もしてくれました。ちなみに、お二人（だけかどうか知りませんが）はNanorymous集団を名乗っておられます。わたしもなかなか“洒落”たステッカーをもらいましたが、こういう乗りでビシバシ仕事（遊びも？境目なし？）している若い人たちって、とてもいいですね。元気もらっちゃいますね。（これ一去年のちょっとせつない流行語でしたが）

無論二人はちゃんとまじめな話もしてくれました。根岸さんは、ハクティビストのビヘイビアの解説。だいたい4つのモードがあって、1つめはデモ・集会派。物理的に集まったりデモしたりして、主張をアピールするのが主な行動のようです。その呼びかけとか動員（たぶん組織的なものじゃないんでしょうけど）にネットを活用、ということのようです。2つめは「祭り・釣り」なのだそうです。なぜ釣りなのかわからない、語呂合わせじゃないかと思ったのですが、本当に釣りらしいです。純粋お楽しみ派ということでしょうね。
そして第3勢力がサイバー攻撃集団。これも主義主張のアピールではあるんですが、DoSに参加する人たちは、ばら撒かれた攻撃ツールを使って、指示された、あるいはてんでに選んだターゲットを攻める、割とノンポリの人も結構含まれたりしているらしくて。霞ヶ浦何やらにアタックかけたのもいましたものねぇ。そして4つめが情報収集したり分析したりリークしたり、という行動パターンの人たちだそうです。これも思想に裏打ちされた行動派、の感じですね。Wikileaksなどと通ずるものがあるのでしょうけど。アサンジュの消息などかもチラッと話してくれました。

【アノニマス？に会いました】

　で、Anonumousって特定のかたまりでなくて、不特定多数がルーズにつながっているコミュニティのようです。で、お隣にはChinonymass（これ筆者の造語でmassを入れてるところがにくいと自分で喜んでいるのですが。Nanorymousには負けるわネ）が蠢いていますが、行動パターンが似たところもあるけど、アノちゃんとシノちゃんは無関係だろうと解説してくれました。
辻さんはすごい人で、Anonymousの一部とも言われているGhostShellのメンバー（と名乗り、それを裏付けるような対応もしたので本物らしい）と接触をしたそうです。顔は知らないらしいけれど。それでもって、日本の特に役所系のサイトはボロくてショボくて、とてもまともに相手にできないとおっしゃっていたそうです。で、何がどれだけぼろいか教えてあげる、ということになって、脆弱性のリストを貰ったとかもらわないとか。もらっていいものか相当悩まれたようですが、各方面と調整してオトナの対応をされたようです。。。。
中東ではアラブの春もありましたが、今きな臭い辺りでは、爆弾も飛ぶけどサイバーもバキュドキュ飛んでいるそうで、実空間もサイバー空間も戦争。サイバー戦争って、言葉どおりに戦争しているってことです。サイバーには宣戦布告もないんでしょうねぇ。

5.外せないクラウド、そしてガバナンスへ

【クラウドで、再びガバナンスでシメ】

　さて、クラウドの話で締めましょうか。プレゼンの順番とは違うけど。河野さんの話はさすが教えるプロだけあって、「つかみ」がいつもうまいですよね。5人の部下にexcelをメールで、って得意のネタですけど、情報資産管理は破たんする証明をしてくれました。クラウドのマジネタとしては、マネジメントとガバナンス。政府はちゃんと先も見ているぞ、という例の霞が関特製曼陀羅図も見せてくれました。そして新年のお題はガバナンス。データとIDとシステムと。ガバナンスモデルを作りたい、と。クラウドのセキュリティもガバナンスの芯棒通さなくちゃ、ということのようです。

このあと、来年（つまり2013年）は、というお題で、司会者の無茶振りがしばらく続きまして、証明書屋さんや、ネット管理側の方や、ネットでビジネスしてる人がモニョモニョおっしゃって、超堅のファーストスピーカーさんが「来年はガバナンス」（うまく河野さんと話が合いました）で締めてお開きになった次第でした。

ちょっと与太話っぽい話に新年早々お付き合いいただきましてありがとうございました。今年もJNSAは元気に発信してまいりますので、ご支援よろしくお願いいたします。