WASF Conference 2008 Day 1へ行ってきた。最初、いつもの10階での開催かと思ってエレベータで上までいったら、あんまりセキュリティっぽくないなーって人たちがいっぱいいて、アレ?と思って調べたら1階での開催であった。
関係ないけど、オレが申し込み番号1番だったらしい(笑)
「CIOが為すべきITマネージメントとセキュリティ対策」サイオステクノロジーの山崎さん。
現在ではITの重要性が高まっており、IT部門の価値がもっと上がるべきである。IT部門の役割は「便利屋」から経営視点を持ち、「IT投資判断のリーダシップ」を取る存在になっていくべき。また、その為には社内での信頼も無ければならないと話されていた。
CIOの役割としてはw、IT投資の重要性また必要性を判断し、CEOを含んだ経営陣への説明責任を持つべきであり、それが無いようではCIOとして失格であるというのは、手厳しいけれどもご自身で感じられている正論なのかも知れない。
企業で中期経営目標が存在するなら、中期IT計画も作成すべしというのも納得。サービス提供しているシステムの増強計画とかは立てているけど、会社全般としてのIT計画をしっかり立てているか?というと、まだまだ頭の中だけで終わっていて、しっかりとしたアウトプットは出していないような気がしてきた。
「不正アクセス事件から学んだこと」カカクコムの安田さん
2005年にカカクコムのサーバに対し攻撃があり、IFRAME 経由でトロイの木馬系のウイルス(マルウェア?)を仕込まれた事件。
当初、数あるセキュリティ対策ソフトのうち NOD32 のみが反応していた。この為、本当なのか?という思いもあったようだ。
改ざん部分を修正し、復帰させたが、また改ざん、修正、改ざん、、、と繰り返した後、10日間の全面停止という状況になり、結局サーバ全ての再インストールをしたそうだ。
当時利用していたサーバは100〜150台程度で、自動インストールツールの用意などは無く、インストールCDを利用し、24時間2交代体制で対応したそうだ。
当初は、OSをインストールし、アプリケーションを設定すればすぐ復帰できると考えていたものの、実際は正しく動かず復旧が遅れたとのこと。また、同時にプログラムそのものの見直しも行ったが、当時9000本近くあったプログラム全てをすぐに見直すことはできず、10日後の復旧は全サービスのごく一部だったそうだ。全てのプログラムの見直しには3ヶ月を要したらしい。
現在は、現場から上がってきたセキュリティ要件を重要なIT投資と位置付けていたり、専任のセキュリティ管理者、外部機関の意見も取り入れるセキュリティ委員会を設置しているそうだ。
当時「ガイアの夜明け」の24時間取材を受け入れ、放送されたが、現在はそれを社員教育に利用しているとのこと(もちろん制作サイドには了承をもらっている)。
警察の対応で大変だったのは「不正アクセス防止法」違反の立証。しっかりとしたアクセス権限が設定されていないサーバへの意図しないアクセスは「不正アクセス」ではないとの考えがあるので、正しくアクセス制限していたかどうかがポイントになる。
経産省からも呼びつけられ、厳しい言葉(指導)をもらったそうだ。株式市場(当時、既に東証一部に上場)においては、「Web企業がWebを停止している」→「事業継続計画がなっていない」→「管理ポスト行き」という気配があったそうだ。実際にどう動いていたのかはよく分からないが。
結論としては、セキュリティ対策というのは、やはり「技術力」の世界だということ。また、セキュリティを重視する「文化」の形成も重要。これらに加え、社外の人たちも加えた「セキュリティ仲間」を作り、維持していくのがカカクコムの考えるセキュリティ対策だそうだ。
ちなみにセキュリティ対策費用は、売上の数パーセントという話。
「Web攻撃の脅威に立ち向かうには」サウンドハウスの中島さん。
DAY 1 の中では興味のあった講演。サウンドハウス社長の中島さんは技術畑では無い方とのことで、そういった方から見たセキュリティ・インシデントへの対応経験を話された。
「ハッカーセーフを入れていれば大丈夫かと思っていた」や「突然サイバー戦争に巻き込まれた」など、確かに技術屋から見れば「え?」と思う発言は少なからずあったのだが、日本の大多数の経営者は似たような認識なのではなかろうか。
そのことに対して技術屋がバカにすべきではないし、バカにするような文化は決して褒められる部分では無いと思う。
とは言え、「ハードウェア屋にはスパイがいる」理論は、ちょっと厳しいな。サウンドハウスでは、インシデントが起きる少し前にサーバ入れ替え計画を立て、業者を絞ったところだったそうだ。「おそらく脆弱性のあるサーバを交換される前に攻撃してしまえという計画だったのだろう」みたいな事を話され、それはハードウェア屋にスパイがいるからだと発言していたのだが、、、さすがにそれは。。。
「インターネットとセキュリティに関する企業の責任 」ライフネット生命保険の中川さん。
セキュリティとは、既に企業の社会的責任(CSR)であるというお話。ここで出てきたお話は ISMS(ISO27001)とは言っていないのだけど、もの凄くソレに近い考え方だなぁと感じられた。
また、この話の中で出てきた ISO7498-2 というのは知らなかった。日本語の説明は「情報処理システム−オープンシステム相互接続−基本参照モデル−第2部:セキュリティアーキテクチャ」らしいのだが、コレ知らないと恥ずかしいのかなぁ。。。
パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」
カカクコムさんは、都合により参加できなかったようで、それ以外の講演者と WASF 理事の門林さんと高木さん。
いろいろな話があったけど、オレがキモだと感じたのはひとつ。「CIO/CTOは、良き翻訳者であれ」ということ。経営者としての言語と技術者としての言語の両方を持ち、技術の現場からくるセキュリティ要件を経営の現場へフィードバックし、IT投資(セキュリティ投資)の重要性を経営陣に納得させるのが重要な役割なのだ。
これができる人材というのは、現実世界ではかなり少ない。技術者としての視点だけでなく、経営視点を持って考えられるようになれば、個人としての価値も上がるよ、という話もあった。オレも目指すべきはソコなのかなぁ?
なんとなくつけていたテレビでやっていた「カンブリア宮殿 〜部下を必ずやる気にさせる“人材育成術”教えます〜」で、お好み焼きの千房の社長が出てきていたのが数日前。人材育成術も興味深かったのだが、それ以上に「お好み焼き食べたい欲」に火がついてしまいって、有楽町店へ行ってきた。
なんかもう待ちきれなくて、お好み焼きが届いた時点ですぐに食べ始めてしまった。写真を撮るつもりでカメラも持って行ったのに、1枚も撮らず。。。
ということで、ひさびさのリア充だったよ。
あー!私も和民かなんかやった日は和民に行ったなぁ。。。行動が似ていて可笑しい。。。