★☆★JNSAメールマガジン 臨時号 2016.9.2☆★☆
(社会活動部会メンバー N)
赤道直下に近い常夏の国シンガポールで本年7月20日〜22日に開催された、RSAカンファレンスAsia Pacific & Japan2016(以下、RSAカンファレンスAPJ)に参加しましたので、その模様をお伝えします。
RSAカンファレンスAPJは米国EMC傘下のRSAが主催する総合セキュリティイベントです。1991年にスタートして以来、毎年米国サンフランシスコで開催されている歴史あるRSAカンファレンスのアジア地域版です。2002年〜2010年までは日本でも開催されていましたが、その後中国での開催を経て2013年からシンガポールのマリーナ・ベイ・サンズ・カンファレンスセンターで開催されるようになり、今年で4回目となります。
今年はアジア太平洋地域の参加者を中心に約6,200名が参加しました。展示会には、RSA、インテルセキュリティ、クオリス、フォーティネットなどのセキュリティベンダーに加え、シスコ、IBM、HP、アーネスト・ヤング(EY)など約120社が出展しました。残念ながら日本から単独で出展した企業はありませんでしたが、JNSAは昨年に引き続き出展し、網屋、インフォセック、NEC、NRIセキュアテクノロジーズ、NTTデータ、ラック各社がJNSAブースで説明と資料配布等を行い、昨年を上回る来場者を記録しました。また、JNSAの会員になるにはどうしたら良いか?とか、来年度開催するカンファレンスに出展して欲しいといった具体的な問い合わせもありました。
今回のカンファレンスでは、12の基調講演と約60のセッション講演が行われました。基調講演では、経営者が取り組むべきセキュリティの課題、新しい脅威にどのように対応すべきか、内部不正からどのようにビジネスを守るかといった話題が取り上げられました。RSA社長のアミット・ヨーラン氏は初日の基調講演で、「ビジネス主導型のセキュリティ(Business-Driven Security)」という視点を持つことの重要性を訴えました。日本でも昨年末にサイバーセキュリティ経営ガイドラインが公表され、セキュリティ対策を推進する上で経営陣が果たす役割の重要性が指摘されていますが、海外企業においても経営陣とセキュリティ担当者のギャップが問題となっています。このギャップを埋めるために必要なことは、現場で何が起きているかということを的確に経営陣に伝えるための「可視化」と、経営陣と現場が同じ言語でコミュニケーションをとれるようなフレームワークを構築することにあると同氏は述べています。この「可視化」というキーワードは今回のカンファレンスの講演や展示の中で重要なキーワードとなっていました。
この経営陣と現場のギャップを埋めるための方策については、日米で若干アプローチが異なっていると感じました。具体的には、日本では経営陣にセキュリティ投資の重要性を説き、いかにセキュリティに関心を持たせるかという経営陣への働きかけに重点が置かれているのに対し、米国では現場で起きていることを経営陣が理解できる形に「可視化」し、役員会における議論の俎上に乗せるために現場はどのような工夫をしたら良いかという現場への働きかけに重点が置かれているように感じました。
その他の基調講演の中では、今後のセキュリティ製品やサービスに求められる重要な要素として「継続的なモニタリング」「即時対応」「サービス提供型セキュリティ(Security as a Service)」「組み込みセキュリティ」といったキーワードが挙げられていました。
約60のセッション講演では、クラウド、モバイル、IoT、ネット詐欺、サイバー犯罪、セキュリティ戦略、最新の脅威の状況と今後の展望、アジア圏におけるセキュリティの状況などについての話題が取り上げられました。
こちらでも、NISTのサイバーセキュリティフレームワークを用いて組織内のセキュリティ対策の成熟度を「可視化」するという提案や、サイバーセキュリティリスクを定量化し取締役会とコミュニケーションをとる方法に関する講演など経営者と現場のギャップを埋めるための方策に関する講演がいくつかありました。他には、最新の脅威に関する現状や今後の展望に関するセッションの中で、「Threat Intelligence(スレット・インテリジェンス)」と呼ばれる脅威情報の活用に人工知能を応用するといった講演が多くの参加者を集めていました。半面、日本では関心が高いIoTに関するセッションについては、IoTにおけるセキュリティの問題点の指摘のみにとどまり、具体的な解決の方向性が示されない講演が多く、聴衆の数も少なったという印象でした。
私はRSAカンファレンスAPJへの参加は2年ぶりでしたが、2年前と比較すると全体の出席者は増えているものの日本人、中国人、韓国人の参加者はかなり少なく、2年前には行われていた中国語、日本語セッションも無くなっていました。外国人参加者の何人かと話をしましたが、日本のセキュリティの状況が以前よりも見えにくいとか、日本にはセキュリティ企業は無いのかと聞いてくる人もいました。
ラッフルズホテルのシンガポールスリングに酔いながら、2020東京オリンピック/パラリンピック開催へ向け、日本のセキュリティの状況や展望について、官民連携により海外へ向けて情報発信を強化していく必要性を強く感じました。