参加報告:情報セキュリティワークショップ in 越後湯沢 2012

2012年10月27日 22:52:24 -- xpsadmin
この記事は、ISACA名古屋支部が実施している外部セミナー参加支援プログラムに基づき寄稿されたものです。

参加報告

情報セキュリティワークショップ in 越後湯沢 2012
http://www.anisec.jp/yuzawa/index.html

ISACA名古屋支部会員 藤井 卓

報セキュリティワークショップ2012は,10月12,13日の2日間に亘って、新潟県越後湯沢温泉で開催されました。

年、スマートフォン(以下、「スマフォ」とする。)やタブレット端末の普及による新しい脅威、標的型攻撃をはじめとするサイバー攻撃等の新しい事例が相次いでいます。
このような背景から、今大会は「新しい脅威に我々はいかに対応するか?」をテーマに開催されました。

なプログラムは、以下の通りです。
1)    各分野の専門家からのプレゼンテーション、パネルディスカッション
2)    ナイトセッション(名刺交換会)
3)    車座会議

1) は湯沢町公民館のホールにて開催されました。300名程入るホールでしたが、どのプログラムもほぼ満席の状態でした。まず、1)からは、個人的に特に印象に残っているパネルディスカッション「どうしよ?なにしよ?スマフォ・タブレットの利活用とセキュリティ」についてご紹介をさせていただきます。本パネルディスカッションは、スマフォ、タブレットという新しいデバイスに期待される利活用と、それらに関連する新しい脅威及びセキュリティ対策をテーマに開催されました。パネラーとして、スマフォ提供者側からKDDI研究所の竹森氏、スマフォの活用を考えるユーザー側から一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の後藤氏、サービス及びアプリケーション(以下、「アプリ」とする。)の提供者側からDeNAの茂岩氏の3名が壇上に上がり、それぞれのお立場から、熱い議論が交わされました。竹森氏からは、スマフォ向けの広告配信技術について、より利用者のプライバシーに配慮した手法のご提案がありました。スマフォ用アプリの一部は、利用者のインターネット閲覧や購買の履歴などに基づいて広告を表示しています。これらのアプリは、利用者を特定するために電話番号や端末IDなどを読み取って利用していることがあるとのことで、この点について、竹森氏は、利用者に対する事前の許諾取得(オプトイン)が重要と主張しておられました。また、オプトインの手法についても、高齢者や未成年者等のITリテラシーが低いと思われる方々が、利用規約等を本当に理解して許諾しているか疑問が残るとの問題提起をしておられたのが印象的でした。このような状況でも、プライバシー侵害や情報漏えい等の事故がなければ、特に問題にならないかもしれませんが、万一事故が発生した場合、アプリ提供者側はユーザーが利用規約等に同意したことをもって責任を回避しようとし、被害に遭ったユーザー側が不利な立場になることが予想されます。このため、誰にでも分かりやすく丁寧な利用規約等の提示が求められます。一方で、丁寧すぎる場合も、逆に不信感を抱き、ユーザーがサービスを利用する前にやめてしまう可能性があります。このバランスが難しいと思いました。次に、後藤氏からは、BYODに関するお話がありました。BYODとは、企業や組織において、個人所有のスマフォを業務で利用することを認めることです。近年、BYODは広がりをみせていますが、企業や組織がリスクを十分に把握した上で利用を決めているかという点を懸念されていました。この点については、JSSECが作成した「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン」が参考になるとのことでした。最後に、茂岩氏からは、CSIRT活動、セキュアコーディング対応等、自社のセキュリティ対策の歩みから注意すべき点について問題提起がありました。私も個人的にスマフォを利用しており、よく無料アプリを利用しますが、無料アプリは広告収益を柱にしていることもあり、広告を頻繁に目にします。このように普段使っているアプリから、広告配信技術として電話番号や端末IDが読み取られているかもしれないと思うと恐ろしくなりました。一人のユーザーとして、ユーザーにやさしい安全なアプリを作っていただけることを願います。

に、セキュリティワークショップの目玉プログラムである「車座会議」についてご説明します。以下のテーマで開催され、私は、「IDとプライバシー」のセッションに参加しました。

1.「サイバー攻撃」
2.「IDとプライバシー」
3.「インシデント対応と連携」
4.「ソーシャルメディアと市民レベルのセキュリティ」
5.「セキュリティ人材育成」
6.「そこそこセキュリティとセキュリティマネジメント」

フー株式会社、内閣官房 番号制度推進管理補佐官及び政府CIO室 政府CIO補佐官の楠氏と、独立行政法人産業技術総合研究所の高木氏が座長となり、IDとプライバシーをテーマに語る会が開催されました。当初は、マイナンバー制度を中心に語られる予定だったそうですが、マイナンバー法案の成立の遅れから、マイナンバー制度についてだけでなく広くプライバシーについて取り上げられました。プライバシーについては、前述の竹森氏も参加され、昼間に続いてスマフォ向けの広告配信技術に関する課題について議論が交わされました。スマフォから話が広がり、ウェブブラウザ上に記録されるクッキーを用いた広告配信技術(ウェブサイト上で利用者の行動履歴が取得され利用されること)について、利用者に対する事前の許諾取得(オプトイン)と離脱可能性の担保(オプトアウト)をサービス提供者側にどのように義務付けていくかとの問題提起がありました。この点につきましては、海外でも様々な対策が検討されているそうですが、今後、日本でどのように対策が行われていくか、注目したいと思います。

常に有益な経験をさせていただきありがとうございました。
お伝えしたい内容は尽きませんが、今回は特に印象に残っている内容をご紹介させていただきました。

年は皆様もぜひ、現地に足をお運びください。
 

情報セキュリティワークショップin越後湯沢2012