今日、お昼過ぎまでは翔泳社さんのMarkeZine Day 2009を見に行って、午後からは品川のコクヨホールで開催された技術評論社さんのセキュリティ対策最適化セミナーに参加してきました。

お目当ては豪華メンバーのパネルディスカッションです。

キーパーソンが語る！ 企業セキュリティ対策のこれから
モデレータ：
　三輪 信雄 氏（S&Jコンサルティング株式会社）
パネラー：
　新井 亨 氏（味の素システムテクノ株式会社 専任課長），
　新井 悠 氏（株式会社ラック サイバーリスク総合研究所 所長），
　満塩 尚史 氏（株式会社イマーディオ代表取締役／環境省CIO補佐官），
　歌代 和正 氏（一般社団法人 JPCERTコーディネーションセンター 代表理事）

セキュリティ対策最適化セミナー … 技術評論社

モデレーターは言わずと知れた、セキュリティ技術武闘派の三輪さんです。
パネラーには、環境省CIO補佐官を勤める満塩氏、ユーザー代表として味の素システムテクノの新井氏、セキュリティ界の中高年フリーターと名乗るJPCERT/CCの歌代さん、一家に一台ラックの新井悠さんです。
うむー。いい配置だ。

以下、おもしろかった話題をいくつかピックアップ。

• インシデントって公表されている以外の見えない数字があるのでは？
  • （歌代氏）届出者の意識が変わってきて、ポートスキャンとかあったぐらいでは届出なくなってきた。
• アンチウイルスソフトってボットは止めてくれないの？
  • （歌代氏）アンチウイルスソフトは攻撃者も入手できる。ということは、回避できるように作るのが当たり前じゃないでしょうかね。ベンダーが対応するたびに亜種とか作るはず。
  • （三輪氏）ボットを作っている人はビジネスでやっているので、真剣さがある。守る側の、守るための意識を凌駕している。
• 会社の中にボットって存在するの？
  • （新井悠氏）最近はまた企業内が狙われるようになってきた。以前、無償でボットを見つけるキャンペーンをやったところ、かなりの数のお客さんでボットが見つかった。
  • （新井氏）味の素も大丈夫とは言い切れない。国内外にネットワークがあり、本丸を守っても、どこかに穴があるはずと常に考えている。社内教育は行き届いていると思うが、昼休みのブラウジングとか私物のUSBメモリ持ち込みとか、どこまで規制できるかは何とも言えない。
• 政府はどうしているのか？
  • （満塩氏）以前は政府のシステムは業者に丸投げだった。それを直すべく動いている。過去の運用実績などを確かめ、問題を把握しなければならない。国家公務員は2年で代わってしまうので、我々のような外部のアドバイザーを雇うようなことを去年ぐらいから行っている。やっと今、ITマネジメントをまともにやり始めたというフェーズ。
• 霞ヶ関クラウドって何？
  • （満塩氏）実態は私もよくわからない。ただ、政府と民間の違うところとしては、海外のシステムを簡単に使うわけにはいかない。法律が適用できるのかどうかといった問題もある。そういうルール整備はできていない。
  • （三輪氏）私は日本に置くのが正しいと思う。
• 情報漏えい事件の再発防止策について。事件が起きた瞬間はホットな話題になる。だったら、先にやっておけばいいのに
  • （新井悠氏）身も蓋もない話だが、セキュリティを保つ努力を怠るとあっというまにやられる。そんなに多いわけではないが、再来店するお客さんもいる。
  • （三輪氏）CISOの人は子会社の社長になったり、セキュリティ何とか委員会はいつの間にかなくなったりしている。以前に事件を起こしたある会社は、数年経っても今でも新人にその事件の教訓を教育している。こういうことは続けなければならない。
• WAF（Web Application Firewall）は技術で防ぐいい対策だと思う。穴だらけのソフトを守るにはWAFは今のところいい選択肢。
  • （歌代氏）開発者のみんながイチローではない。新井悠はみんな欲しいけどいない。Webを守るにはWAFはいい選択肢。完璧ではないけど、かなり防げる。ないより全然マシ。

他にもおもしろい回答がありましたが、それは現場にいた人の楽しみということで。