昨日(2/17)に以下のCISMのカンファレンスに参加してきました。
第7回情報セキュリティマネージャーISACAカンファレンス in Tokyo
昨年度までは資格保持者でもなかったので遠慮していたのですが、今回はCISAとCISMの両方を保持しましたので、安心して参加してきました。(注:資格持ってなくても参加できますよ。)
今回はその発表内容についてブログにしていきます。
なお内容に関して、PCのメモからの転記になりますので、記載ミスや認識違い等があれば教えて頂ければ修正いたします。
発表内容のメモ
では私が取ったメモを記載します。
まずは発表者の資料のリンクを見て頂ければと思います。私のメモを見るよりもそちらがいいですよw
プログラム詳細パンフレットのリンクはこちらです。
●講演1.セキュリティをまもる、人と組織の軌跡
東京電力ホールディングス株式会社
セキュリティ統括室長
谷口 浩 様
発表内容はブログへの投稿は禁止とのことなので、申し訳ないですが記載はできません。
内容はかなり興味深い内容でした。
●講演2. 自動車のIoT、自動運転、MaaS化に伴うセキュリティの課題と今後の方向性
インテル株式会社 事業開発・政策推進ダイレクター
名古屋大学客員准教授
野辺 継男 様
発表内容の資料はこちら
自動運転自動車の説明が結構あった。
やはりディープラーニングも結構使うんだな~と
ただしメインの開発は半導体とソフトウェアの開発らしい
人とか車が近くにあるのも検知して、飛び出し事故とかにも減るんじゃないかなと。
車、人(携帯とかかな?)にビーコンがあり、ブロードキャストして近くにいる見えない人、車も検知できる。
IoTとしてのハッキングは限定的な箇所しかできないと考えている
2020年にはロボットタクシーもできる?
家から駅までとか決まっている経路であればマッピングしやすい
ただし、ロボットタクシーになるとハッキングの被害は受けやすくなるかも
ITの端末に対してと同じようにIoTに対してもやらないと大きな被害が発生してしまう。
データは暗号化とかもされていないので、インジェクションすると車を止められたりできるかもしれない。
任意のデータやプログラムの書き込みは車側が理解できないから不可能
賢いものほどハッキングされやすい。
車に色々なデータを持つようになるので、プライバシーの保護等は車会社などが積極的に行う必要が今後出てくる可能性がある
・所感
自動車についてはハッキングの被害が今後多く予想されているのですが、やはりそういったことを考えているんだな~と。
しかも車をハッキングするだけではなく、その先のサーバへの被害もある可能性あるのでちゃんとそういったことも勉強していかないと、出遅れる可能性もありますね。
IoTは今後仕事でも増えてくと思うのでしっかりとノウハウを取得していかなければ。
●CISM資格の紹介
ISACA東京支部 CISM委員会 委員長 木村 晴雄
CISM:43,000(529)
カッコ内が東京支部のメンバーでの取得数
CISMの取得者数はこの一年で世界で1万人ほど取得者が増えたらしい
・所感
CISMの資格取得が増えたのはPCI DSSの資格要件が変わったからかな~と
以前まではCISAだけでよかった(監査側の資格)が現在は情報セキュリティ側の資格(CISM、CISSP等)の取得も必須になったので、人数が増えたんじゃないかと
●講演3.サイバーセキュリティ事始め
~サイバーセキュリティとどう向き合うか?非技術者セキュリティ担当の一考察~
カーディフ生命保険株式会社
シニアセキュリティオフィサー
森岡 聡一郎 様
発表内容の資料はこちら
ビジネスリスクマネジメント委員会報告書内の経営リスクの3番目にサーバー攻撃が入っている。
企業経営者も法務、財務同様に技術、ITリテラシーを身につける必要がある
そちらに関心がない企業・経営層は今後淘汰されていくかも?
CISOが経営層側に入っている。少し前までは橋渡しの役割だった。
サイバーセキュリティは一IT部門の一部ではなく、組織の部門の一つとなってきている
既存のリスクにサイバーの要素が追加された?
サイバーセキュリティはITのみのリスクではなくなっている
適切な情報資産評価
網羅性の担保と重要性の評価
サプライチェーンとかは盲点になりやすい。
任せちゃうため、管理がちゃんとできていない。
セキュリティ対策は思考停止になりやすい
一個やって終わりではないし、そもそも業務効率が悪くなるのはそもそも違うのでは?
標的型攻撃は開けないのを求めるのではなく、開けた次の対応が重要
すぐ報告する等
インシデント対応は、PDCAではなくOODAで対応する
サイバークエスト2(youtubeで公開されている。リンクを張りました。)
どういった判断をしないといけないとわかる
・所感
私が仕事を始めた当初はセキュリティという部門はなかったですね。
運用の一部だったり、テストと同じ扱いだったりしていました。
それを考えるとこの数年で大きく状況が変わってきましたね。
今や部門の一つを担うことになるのであれば、やはりどこの会社も人材不足になっていくでしょう。
セキュリティ教育の需要は今後高まるだろうな~と
サイバークエスト2の動画を見たのですが、Hardeningに結構似ているが、求められている個所が違うので、こちらはこちらで面白そうですね。
●講演4. 実インシデント対応による高等教育機関のサイバーセキュリティ管理体制の強化
国立情報学研究所
アーキテクチャ科学研究系教授
高倉 弘喜 様
発表内容の資料はこちら
大学は結構セキュリティが甘い
物理分離がほぼ不可能だったりする
学生と教員のネットワークが同じということはよくある
学術ネットワークは強い分、セキュリティリスクがかなりある
NIIにSOCはない!
ITができなくても(パソコンが触れなくても)セキュリティマネージメントはできる
※もちろん知識があった方がいい
NII-SOCSでは大学への教育も行っている。
大学で自分たちで外部ベンダーのSOCを使用する際に困らないように課題提示も行っている。
エリートパニック(資料上に記載)による被害の悪化を防ぐ必要がある。
・所感
やっていることが非常に感銘を受けた内容でした。
やはり、教育をしていくのは大事なのでこういったことを実際にやっている人から聞けるのは重要ですね。
例えば脆弱性診断をして終わり、だと今後作るアプリケーションに生かせないので、それをどう次に生かせるようにしていかないといけないな~と
これは業界全体にとっての課題だったりもすると思うので、一回ちゃんと考えてみなければ。
SOCとして挙動を非常に少ない情報から効率よく厳選して提示するなどのやり方は今後のサービスを考える上でも参考になったり。
懇親会で質問した際も色々な話をして頂き、とても良い時間でした。
カンファレンス終了後
その後は18時過ぎから懇親会があって参加してきました。
発表者に質問もでき、他の会社の人たちとの会話もたくさんでき非常に楽しい懇親会でした。
懇親会参加者はISACAなので、エンジニア側というよりもマネージャー層側の人たちが多かったですね。(年齢層は若干高め)
ISACA主催ということもあり、結構お堅いカンファレンスなのかと思っていましたが、全然そんなことはなく、とても身になるアットホームなカンファレンスでした。
次回もこういった機会があれば是非とも参加したいですね。
また、こういった場で実際に話ができるようになるためにちゃんと仕事も頑張っていかないといけないな~
ISACAの東京支部で行っている「調査研究委員会」も結構興味があるものがあるので、3月はそちらも参加してみたいな~とか考えてたり・・・
最近とても忙しく、煮詰まっていたところでもあったので、とても良い刺激を受けました!
発表者の皆様、運営委員の皆様、ありがとうございました。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント