講演内容
2021年春の通常国会には、デジタル社会形成基本法案、デジタル庁設置法案、デジタル社会の形成を図るための関係法律整備法案が提出されており、この関係法律整備法案には個人情報保護3法を一本化するという抜本的改正が含まれている。他にも、地方公共団体情報システムの標準化に関する法律案、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(プロバイダ責任制限法)の一部改正法案、取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律案、著作権法の一部改正法案など、サイバー関連の重要なものが多い。限られた時間ではあるが、以上の概要について簡潔に解説する予定である。
コロナ禍において急激に進んだ働く環境のデジタル化は、同時にこれまで重点的に守りを固めてきた境界の曖昧化をもたらしました。その中で大きな注目を集めたセキュリティコンセプトであるゼロトラストは曖昧化が進む境界に対し、企業のデータと利用者を守る考え方を示しています。
変化し続けるデジタルテクノロジーと働く環境に焦点をあわせ、これから数年後に迎える変化にどのように対処すべきかを考えます。
2020年を一言でいえば新型コロナウイルスとの対峙に尽きるであろう。それは経済活動だけでなく、一人一人の行動に大きく影響し、サイバーセキュリティやCSIRTを取り巻く環境にも変化を与えた。リモートワーク設備への対応だけでなく、CSIRTメンバー含め社員の多くがリモートワークになったことで、インシデント対応においても、リモート環境下で対応しなければならないケースもあったのではないだろうか。しかしながら、JPCERT/CCの活動を振り返ると、インシデントは変わらず発生し、インシデントを取り巻く環境は著しく変わったとは言えない。この起き得るものが起きている中で、リモートと言う環境変化の下でCSIRTはどのような変化が求められているのだろうか。 本講演では、2020年のインシデントを振り返り、リモート環境下でのCSIRTでの活動について考察をしたい。
テレワーク利用や企業等におけるデジタル化が急速に進展し、もはやテレワークは例外的な働き方ではなく企業における一般的な業務・勤務形態になってきています。また、その実現方法としてクラウドサービスが注目されるなど、企業におけるシステム構成や利用形態が多様化してきています。
こうした状況において、企業等は、どういったセキュリティ対策をとるべきなのか。最新のサイバー攻撃状況とともに、セキュリティ対策の考え方や指針について説明します。
エンドポイントセキュリティとしてのゼロ トラストが注目されながらも、ネットワークセキュリティからは脱却できず、サイバーキルチェーンモデルによる対応により、人材不足やセキュリティコストの増大が続いています。これらの課題に対応すべく、素早い検知、素早い対応ではなく、サイバーレジリエンスを意識した攻撃に強いIT環境構築を行うための基本的な考え方について解説します。
ゼロトラストネットワークにおいてNever Trust, Always Verifyの意味するところは、従来トラステッドネットワークとされてきたようなFWにより隔てられた境界内のネットワークなどをNever Trustとして、利用者(サブジェクト)と強く結びついたエッジデバイスをAlways Verifyするというものです。
このことにより、トラステッドネットワークされてきたものに代わってトラストを形成するのが、ゼロトラストラストアーキテクチャであり、また、同時にトラストアーキテクチャと言えます。
先進的なゼロトラストアーキテクチャの実現のためには、エッジデバイス自体にTEE (Trusted Execution Environment)等のトラスト領域が求められますが、このような要求に対応するエッジデバイスを実現するためのプラットフォームセキュリティが近年大きな変化・進化を見せています。
本講演では、デジタル時代におけるトラストの役割を説明するともに、その中心的な役割を果たしつつあるエッジデバイス等におけるトラスト、そのためのプラットフォームセキュリティの技術動向について説明します。
新型コロナウイルス感染症の感染拡大やデジタル化の進展等により日常生活が大きく変化する中、スマートフォン決済サービスの不正利用、国家の関与が疑われるサイバー攻撃が国内外で発生するなど、サイバー犯罪・サイバー攻撃はその手口を深刻化・巧妙化させており、サイバー空間における脅威は極めて深刻な情勢となっている。
本講演では、最近のサイバー空間をめぐる脅威を事例を交えて紹介するほか、サイバー犯罪捜査の現状と課題や新たな時代における警察の役割について説明する。
新型コロナ禍により、多くの人々は好む好まざるに関わらず、インターネット上に生活の軸足を移さざるをえなくなりました。
サイバー大陸(第八大陸)への強制移住です。その結果、これまでの慣習にしたがった「信頼」のあり方の課題が噴出してきました。
このセッションでは、こうした課題の内主なものを取り上げ紹介するとともに、どのように解くのが良いと考えられているかを諸外国や標準化の動きを交えながら考察します。
境界線防衛の崩壊が叫ばれて久しく、ゼロトラストのパラダイムに基づくセキュリティが今後の方向性だということは多くの人々の意見が一致しています。
しかし、本当にゼロトラストに我々のセキュリティモデルが転換できるのかはかなり不安が残るところだと思います。例えばゼロトラストのモデルでは、リスクベースの判定が随所で行われますが、残るリスクの評価を各組織が正確に行えるでしょうか。
ゼロトラストでは運用負荷の増大が懸念されるのですが、このことに我々は対処できるでしょうか。
そしてインシデントレスポンスについては、認証が複雑になればログは分散し、証拠を追うのが難しくなってこないでしょうか。
このパネルでは、ゼロトラスト世代のセキュリティについて考えるパネルにしたいと思います。
トークセッション(1日目)
 |
テーマ: “TickやSunburstを機に考えるサプライチェーンリスク・バックドアリスク” 座長名:上原 哲太郎 教授 提供:Sky株式会社 |
 |
テーマ: 元サイバー犯罪捜査官と語る、サイバー犯罪今昔物語 座長名: 概要: 提供:エムオーテックス株式会社 |
 |
テーマ:「株式会社ラックの現役ペンテスターが語るペネトレーションテストの最前線」 概要 登壇者:仲上竜太(株式会社ラックデジタルペンテストサービス部)とペンテストメンバー数名 提供:株式会社ラック |
 |
テーマ: 政府情報システムのためのセキュリティ評価制度(ISMAP)について ~クラウドサービスのセキュリティ評価制度の概要~ 講師:IPAセキュリティセンター 和瀨田 芳正 概要: ・ISMAPのウェブページ <補足> 提供:独立行政法人情報処理推進機構(IPA) |
トークセッション(2日目)
 |
テーマ:モバイル通信とサイバー犯罪、社会とインターネットの変化 概要: パネリスト:齋藤 衛、松崎 吉伸、堂前 清隆、根岸 征史 提供:株式会社インターネットイニシアティブ |
 |
テーマ: ランサムウェアから守るために必要なこと?従来型のアンチウィルスから次世代型へ? ー ランサムウェアから守るためには ー なぜ今次世代型アンチウィルなのか? <パネラー> 提供:クラウドストライク株式会社 |
| テーマ: クラウドサービスの「設定不備」から起きる事故にみる、クラウドの責任分界モデルのあり方 概要: 座長名:調整中 提供:SaaS利用者有志 |
