今のセキュリティに重要な“キーワード”を正しく理解するには:「ITmedia Security Week 2023 春」で2歩目を踏み出せ
@ITは2023年2月27日から始まるオンラインセミナー「ITmedia Security Week 2023 春」で「サプライチェーン攻撃だけじゃない、新たな脅威」「クラウド&ゼロトラスト」「拡大するアタックサーフェス、“社内攻撃”を想定せよ」の3つをテーマに、講演を企画している。その狙いや見どころを紹介する。
「サイバーセキュリティ」は企業にとって、「終わりなき、はるかなる坂道」のようなものだ。
ウイルス対策、迷惑メール対策、バックアップリカバリー、日本版SOX対応や情報漏えい対策、ディザスタリカバリーなどを行ってきた企業も、いまも終わりの見えないランサムウェア対策に追われている。従来、重要インフラを担う大企業が対象とされていた標的型攻撃などの高度な攻撃が、企業規模を問わず行われている。この結果、大手自動車工場の全国的なライン停止、救急病院の電子カルテシステムの停止といった具合に、かつては海外でしか見ることがなかったような被害事例が報道されている。もはや対岸の火事ではなくなったのだ。
@ITでもこれらの事件を「自分ごと」としてもらうために、調査レポートを紹介したり、セミナーを開催したりしてきた。2023年2月には恒例の「ITmedia Security Week」を開催すべく準備している。本稿では、「ITmedia Security Week 2023 春」の狙いや見どころを紹介する。
今のセキュリティに重要な“キーワード”を正しく理解するための講演
間もなく開催の「ITmedia Security Week 2023 春」、@IT編集部は「Day2:サプライチェーン攻撃だけじゃない、新たな脅威」(2月28日)、「Day3:クラウド&ゼロトラスト」(3月1日)、そして「Day6:拡大するアタックサーフェス、“社内攻撃”を想定せよ」(3月6日)を企画している。これらは継続して注目されている、あるいはこれから注目されると予想しているトピックだ。
「Day2:サプライチェーン攻撃だけじゃない、新たな脅威」(2月28日)
Day2では「サプライチェーン」に加え、それと同等の新しい脅威を取り上げる。サプライチェーンリスクは国内でも2022年に大きく注目され、企業のセキュリティ対策がどれほど有効なのかが試される展開が続いている。ここでいう「サプライチェーン攻撃」は、ソフトウェアサプライチェーンの脆弱(ぜいじゃく)性を突くものではなく、これまでもセキュリティ対策において比喩として多用されてきた「鎖の最も弱いところから切れる」という事象の対象が、“企業間のつながり”になった攻撃だ。昨今話題になる大きな事件は、サプライヤーとなる、企業規模が小さく、セキュリティ対策が脆弱な企業を侵入口として狙い、最終的に親会社、取引先を含むサプライチェーン全体に大きな影響を与えるものが目立っているのだ。
その対策について、セキュリティベンダーが提供する製品を導入することも重要だが、別の視点として考えておきたいのは「サプライチェーンリスクをあらかじめ軽減させるべく、サプライヤーとの“契約”をどうすべきか」という点だ。Day2では、@ITでも人気の連載「『訴えてやる!』の前に読む IT訴訟 徹底解説」でおなじみのITプロセスコンサルタント、細川義洋氏を迎えて基調講演で語っていただく。大企業は子会社、関連会社とどのような契約を結ぶことによってセキュリティ意識を高めることができるのか。その契約を受けるサプライヤー企業は、どのようにセキュリティレベルを上げることで契約につなげることができるのか。細川氏の連載同様、実例や裁判例を基に解説していただくので期待してほしい。
利用するクラウドや使用するソフトウェアに仕込まれたスパイウェアやランサムウェア、開発事業者や運用事業者から漏えいする個人情報や営業機密、技術情報。対応を誤れば、経営を危機に陥れるサプライチェーンリスクを防止し、セキュリティインシデント発生時にも被害を最小限に食い止める契約について、実例や裁判例を元に解説します。
「Day3:クラウド&ゼロトラスト」(3月1日)
「クラウド」そして「ゼロトラスト」はこれまでも人気のテーマで、引き続き需要が大きい分野だ。国内でも既に実践段階に入っている企業があり、もはや説明は不要といえそうだが、まだまだ落とし穴や認識が足りない部分、そして実践実例が足りない部分ともいえる。
ゼロトラストについて@IT編集部は、「デジタル認証」こそがその基礎と考えている。デジタルアイデンティティーの第一人者であり、軽快な語り口で難しい概念も理解しやすく解説するパロンゴ 取締役 兼 最高技術責任者(CTO)、林達也氏に2022年3月2日に配信した講演のアンコール放映を依頼した。ゼロトラストとは言い換えれば、顔の見えないネットワーク越しにデジタルアイデンティティーを繰り返し確認する技術なので、林氏の将来を見据えた技術論こそが、これからのゼロトラストを形作るはずだ。
The next step in Digital Identity Management
多様性が求められるデジタルアイデンティティ社会に応える為に
クラウドサービスやIDaaSが全盛を極めていますが、かつてIdMの重要性がこれほど高まった時期があったでしょうか。今、まさにデジタルアイデンティティの時代が到来しています。そして、重要性が増し注目を集める中で、今後のデジタルアイデンティティとその管理に求められるものが、より多様に、より先進的になっていくことは想像に難くありません。今までIdMはあまり変化の少ない世界でしたが、今後この状況は大きく変わることが容易に予測されます。ここではその背景と、今後最低限必要になってくるであろう側面、その要素の一部についてお話したいと思います。
ゼロトラストの実例として、今回はMIXIにおけるゼロトラストの取り組みを、MIXI 開発本部 セキュリティ室 室長の亀山直生氏に語っていただく。さまざまな事業を展開するMIXIという企業において、ゼロトラストのこれまでとこれからを聞くことのできる貴重な機会だ。
MIXIにおけるゼロトラストの取り組み 〜これまでとこれから〜
当社ではゼロトラストの取り組みを始めてもうすぐ3年となります。当初の導入の背景や設計の考え方などの様子から、導入後に発生した課題と実際の対処方法、今後の課題やゼロトラストとの向き合い方を事例としてご紹介できればと思います。今回はゼロトラストの話が中心となりますが、本イベントのテーマであるサプライチェーンのリスクケアについても併せて少しご紹介できればと思います。
さらにクラウド&ゼロトラストでは、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、そしてpiyokango氏による大人気のセッションも予定されている。セキュリティリサーチャーズの今回の講演タイトルは「可と不可の間 〜今そこにある契機〜」だ。いったいどんなトークが飛び出すのか、これにも期待したい。
これまで皆さんが見聞きしてきたセキュリティの中で諦めてきたものはありますか。誰しもヒトモノカネなどと様々な要因によって多かれ少なかれあることと思います。しかし、それは本当に諦めてしまってよかったのでしょうか。完璧ではなくても最善を尽くす余地はまだ残っているかもしれません。このセッションでは、事例を紹介しながら多くの組織が「できること」を主眼に置き、アタックサーフェス(攻撃対象領域)マネージメント、脆弱性対応の現実解を皆さんと一緒に模索していきます。そして、目の前に迫っている脅威について知り、考える契機としましょう。きっと、できることはまだまだあるはずですから。
「Day6:拡大するアタックサーフェス、“社内攻撃”を想定せよ」(3月6日)
Day6では、「アタックサーフェス」をキーワードに講演を企画している。アタックサーフェスとは攻撃の境界面であり、攻撃者にとっては侵入の「入り口」だ。
コロナ禍によって、従来の境界防御よりもゼロトラストセキュリティの考え方が広まりつつあるものの、まだまだ境界は存在し、アタックサーフェスが大量に増えているのが現実だ。アタックサーフェスの考え方を取り入れることで、従来とは異なる視点でセキュリティ対策について考えることができる。
これから注目されることが増えそうなアタックサーフェスについて、2つの基調講演を企画した。
まずは攻撃者の視点でセキュリティを語れる、トライコーダ 代表取締役の上野宣氏だ。上野氏には疑似侵入を行うペネトレーションテスターの視点で、企業におけるアタックサーフェスの実態を語っていただく。
コロナ禍によるテレワークの推進、クラウドサービス利用の増加に伴い、攻撃者の侵入の入口となるアタックサーフェスが拡大しています。恐らくは想定している脅威より、現実の脅威の方が複雑でレベルが高いのが昨今のサイバー攻撃の実際です。本講演ではハッキング手法を使って侵入する「ペネトレーションテスト」の経験から、幾重にも守られたシステムなどに対して攻撃者は如何に侵入するのか、そして効果のあるサイバー攻撃対策とは何なのかを語ります。
そして、@ITで「働き方改革時代の『ゼロトラスト』セキュリティ」を連載中の、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部副部長、仲上竜太氏にも、アタックサーフェスを管理するためのヒントをお話しいただく予定だ。
事業環境のデジタル化が進む一方、AIや自動化を巧みに操るサイバー攻撃手法の進化により、サイバー脅威は「デジタル災害」ともいうべき状況になりつつあります。デジタルワークプレースの拡張によって広がるサイバー攻撃者からの攻撃界面(アタックサーフェス)を適切に把握し、強靭化によりサイバー攻撃耐性を高めるアタックサーフェス管理は今後のセキュリティを考える上で基本となる考え方です。本講演では昨今のサイバー攻撃の脅威とアタックサーフェス管理の考え方について解説します。
根底にあるのは「基礎の重要性」
セキュリティの実践は、マーケティング要素の強い、いわゆる「バズワード」に引っ張られがちだ。多くのセキュリティ対策は設定ミスを目視でチェックし、従業員全員が高いセキュリティ意識を持つことで、コストをかけずに実施できるかもしれない。@IT編集部としても最新の情報を提供しつつ、その根底には「基礎」があると考えている。上記で紹介した各基調講演においても、その方向性は変わらない。基礎を固めることで、組織に本当に必要な製品を手に入れるための知識が手に入り、無駄のない選択ができるようになると考えている。その頃には、上記のキーワードを正しく理解できるはずだ。
セキュリティ意識が高まってきている企業は「やらねばならない」と思った時点で既に重要な1歩目を踏み出している。さらに重要なのは、その次の2歩目の方向だ。@IT編集部はITmedia Security Weekにおいて、キーワードを正しく理解するための基礎知識と、有効なセキュリティ対策をセキュリティベンダーが製品に実装しているかどうかを見極める知識の両方を、バランス良く得られる場としてテーマや講演を企画している。ぜひ、ITmedia Security Weekをきっかけとして、セキュリティ対策の“2歩目”を踏み出してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.