JASA 技術監査特別セミナー

<サイバー攻撃/内部不正対策の為の情報セキュリティ技術監査>

2015年04月14日開催

講演概要

サイバー攻撃や企業の内部不正のリスクが増加しています。このため、情報セキュリティ分野においては、人や組織のマネジメントに加えて、より高度な技術的対策の必要性が高まってきています。技術的な対策においては、日常的な運用管理に加えて、技術変化に対応した更新を管理することも大切です。こられの管理が適切に行われていなければ、せっかくの技術的な投資が生かせません。情報セキュリティ監査では、これらの技術的な管理を監査することも重要な役割の一つです。
本セミナーは、情報セキュリティ監査における技術監査の総論から、技術監査の実施方法、そして、具体例である米国NIST800-53に準拠したSSHの監査まで、体系的に講演を行います。

セミナーレポート

4月14日 JASA技術監査特別セミナー「サイバー攻撃/内部不正対策の為の情報セキュリティ技術監査」が、秋葉原UDX CONFERENCEで開催されました。冒頭に当協会の土居範久会長から、サイバー攻撃対策や内部不正対策の重要性が高まっている中で、組織マネジメントの監査とともに技術監査が重要性を増していることを踏まえて、技術監査を体系的に説明するセミナーを開催したという内容の挨拶がありました。

最初に、当協会の永宮事務局長が「情報セキュリティ監査と技術監査」と題して、最近のサイバー攻撃の傾向から、頻度の高い技術監査が必要であること、また、情報セキュリティ監査においてどのように技術監査を用いるかについて、講演がありました。近年、サイバー攻撃の手口が高度化し、企業組織の情報が既に攻撃者に渡っていることも想定し、従来以上に重要情報へのアクセス等における特権行使などの監視を確実に行うなど、内部不正対策と同様の監査が求められていること、そのための技術監査が重要であることが強調されました。

講演する永宮事務局長

本講演では、さらに、当協会がセールスフォースドットコムの上に開発中の監査支援ツールについて、同社のソリューションアーキテクトである内田仁史氏によるデモが行われました。


ツールを説明する内田仁史氏

二番目に、情報セキュリティ大学院大学教授の原田要之助氏が「情報セキュリティ技術監査の方法」について講演されました。技術的監査においては、ポリシーどおりに聞きシステムが設定され、実装され、運用されているかを確認することが目的であること、このために、検査の結果を踏まえたポリシーとの比較、そして検出事項がマネジメント上のどの管理策の問題であるかを明らかにすることが必要であることを述べられました。また、技術監査としてサーバの調査、ネットワークの調査、アプリケーションの調査、クライアントの調査およびログの解析等の幅広いものがあることを紹介されました。

講演する原田要之助氏

休憩を挟んで三番目は、株式会社富士通ソーシアルサイエンスラボラトリ セキュリティソリューション本部の主幹エキスパートである内田康友氏による「情報セキュリティ技術監査の実践」です。

この講演では、PCI-DSSの審査を例にした技術監査の方法が紹介されました。PCI-DSSでは、技術的な管理策が詳細に定義されていることから、代表的な管理策をいくつか取り上げ、管理策の内容とその内容に即した監査の方法について、丁寧な説明が行われました。

講演する内田康友氏

本セミナーの最後では、フィンランドからお招きしたSSH Communications Security のSolution& Service副社長であるKalle Jȁȁskelȁinen (カッレ・ヤースケライネン)氏による「NISTに対応したSSHの監査の実際例」です。

SSHはID管理技術として米国政府で採用されています。米国政府が利用する場合には、NIST800-53のコントロールを満たす必要があります。このため、NISTIR7966でSSHの実装や監査の方法がまとめられています。講演では、英語の逐次通訳により、NISTIR7966のコントロールの一つ一つについて、そのコントロールが想定しているリスク、リスク対策の具体的な内容が説明され、SSHが提供する監査ツールの紹介がなされました。

講演するKalle Jȁȁskelȁinen氏

3時間半を超える長時間セミナーでしたが、途中退席される方もほとんどなく、約200名の聴衆が熱心に講演を聴いていました。講演終了後のアンケートでも、約95%の方が「たいへん参考になった」あるいは「参考になった」と回答しており、内容の充実したセミナーとなりました。