日本CISO協会では、2月1日から3月18日迄のサイバーセキュリティ月間で実施された関連イベントに対し、正会員や関連の皆様に、ご案内させていただきました。その概要や状況についてご報告いたします。

あわせて、3月の協会主催の交流会についても、ご報告させていただきます。

Basic CISO認証制度

今年から、CDU(CISO Development Unit)によるBasic CISO認証制度を発足しました。

日本CISO協会では、継続的に主催を行う交流会をはじめ、CISOのスキル及びキャリア形成に必要なセミナー等に参加された場合、CDUを加算させていただきます。年間で5CDUを超えた方には「Basic CISO認証」を提供させていただきます(講師をされる方は2倍のCDUとなります)。すでに、この時点でBasic CISO認証の2名の保有者が見込まれています。

2/20 マイクロソフト「標的型攻撃体験ワークショップ」

開催日時 2015/2/20(金)10:00〜19:00
会場 日本マイクロソフト株式会社 大手町テクノロジーセンター トレーニングルーム
講師 日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏
日本アイ・ビー・エム GTS事業セキュリティ・サービス担当部長 徳田敏文氏

「標的型攻撃体験ワークショップ」概要

日本CISO協会の協賛企業様でもある日本マイクロソフト様より、正会員限定のセミナーの企画立案とご提案をいただきました。受講者は、実際にハッカーになり、ハンズオンで外部サーバーを攻撃し、情報を盗み見するところまでトライできました。

セミナーのようす

高橋先生のレクチャーからはじまりました。

人事部長のPCの情報を閲覧できてしまいました…。

実施環境は、特別にテクノロジーセンターの環境で構築し、本セミナーの準備の為に、講師陣やMS社の方々がかなりお時間を割いて下さったとの事です。

1日のセミナーの受講者の方、そして運営準備をされたMS社ならびに日本IBM社の皆様、本当にお疲れ様でした。来年も、よろしくお願いします。

2/25 GRIPS主催シンポジウム「サイバー時代の情報戦略と政官民連携」

開催日時 2015年2月25日(水)13:00~16:15
会場 政策研究大学院大学1階 想海樓ホール
主催 政策研究大学院大学(GRIPS)科学技術イノベーション政策研究センター

http://gist.grips.ac.jp/events/2015/02/cyber-intelligence.html

今回は、本シンポジウムの協賛企業のデロイトトーマツコンサルティング(株)のロスウイリアム氏より、協会に本イベントのご紹介を賜りました。ロス氏は、基調講演者のデニス・C・ブレア氏の招聘等にご尽力されたそうです。

シンポジウムの概要

本シンポジウムでは、基調講演者の元米国国家情報長官のデニス・C・ブレア氏に、サイバー技術や新興技術がもたらすインテリジェンス上の課題に対して、政府としてどのように取り組むべきかを米国での経験を踏まえてお話いただくとともに、政官民の各界の一線で活躍されている方々とともに議論することで、我が国が取り組むべき方向性を検討します。

基調講演講師/パネリスト デニス・C・ブレア氏 元米国国家情報長官、元太平洋軍司令官
講演講師/パネリスト 平井卓也氏 衆議院議員、自由民主党IT戦略特命委員長
谷脇康彦氏 内閣サイバーセキュリティセンター副センター長、内閣審議官
丸山満彦氏 デロイトトーマツサイバーセキュリティ先端研究所所長
モデレーター 角南篤政策研究大学院大学教授・学長補佐

基調講演の概要

「サイバーセキュリティはリスク管理」元米国国家情報長官 デニス・C・ブレア氏


攻撃が増え、手法が高度化するなど脅威が高まる一方、防御側にも進展がある。日本では2014年にサイバーセキュリティ基本法が成立した。まだ基本法であるものの、法整備としては大きな一歩だ。…ブレア氏は「サイバーセキュリティはリスク管理にほかならない」と話し、サイバーセキュリティをリスク管理として取り組む必要性を説いた。サイバー空間は複雑に構成されており、すべての脅威を簡単に回避できるような特効薬はないということだ。攻撃が日々洗練されていることを考えれば、ますます攻撃を回避することは困難となる。

シンポジウムの感想

ブレア氏からは、予想以上に専門的なお話が多く興味深い内容でした。「Everyone is at risk.」というお言葉が印象深く、とにかくどの組織もリスク管理をしっかりやる必要があると力説されました(日本丸には、頭がいたい事もありますが…)。

また「敵を知り、己を知れば…」の孫子の兵法(Art of War)の引用では、米国では普通のStrategic Thinkingの習慣の一端を知らされた。

全般的に熱く語られた平井議員のお話はインパクトがありました。IT等の政策に関わっていても、有権者もおカネも増えないのにと言われ、冷ややかな世間にめげず、サイバーセキュリティに関する法制化を実現したのは、世界の国々の中では日本が初めてとの事。現在は、世界各国と2国間での対話を精力的に行われているとの事でした。

3/4 3月のCISO交流会(日本CISO協会主催)

日時 2015年3月4日(水)18:30~20:30
(情報提供及びQ&A)
話題 情報漏洩リスクに備えるクラウドセキュリティ
内容
  1. 海外の情報漏洩事例に見るクラウドサービスとガバナンスの課題
  2. CSAグローバルの活動内容とクラウドユーザーの役割
  3. マルチステークホルダー環境におけるグローバル企業のCCM活用法
  4. CSAジャパンの活動状況
講師 一般社団法人 日本クラウドセキュリティアライアンス(CSAジャパン)代表理事笹原英司氏
参加者 講師を含めて9名、運営側(NANAROQ(株))3名

講師の解説(一部)

CSA(Cloud Security Aliance)は、そもそもLinkedInで興味をもつメンバーが参集し、日本支部(JC)であるCSAジャパンにおいても、同等の形態で発足した。

米国では、病院チェーンのCommunity Health Systemsのケースで言えば2014年8月に保健情報流出事故があり顧客からも集団訴訟を起こされた。また米国の医療機関で、法律HIPAAへの遵守要件が厳しく、日本(医療業界)とは大きく異なる。例えば保存されているデータの暗号化が義務付けられる等があげられる。

また米国のCISOは、情報セキュリティの専門性をもった人材がベンダー等を歴任し、ユーザ企業で活躍するというケースが多く、現在、売り手市場の状況にある(ここも日本の現状とは異なる)。

CSAはグローバルで62,000名で構成され、日本を含みChapter数は70以上。米国はユーザ企業のメンバーも多いが、日本支部はベンダーが多い。

CSAが提供しているクラウドプロバイダーがもたらすセキュリティリスクを分析するツールとしてCCM(Cloud Controls Matrix)があり、最新版は2014.7のV3.0。それ以降のヴァージョンアップが未定なのは、スマートデバイスやIOTへの対応を行うコントロールを整備する必要がある等の為。

CSA(Cloud Security Aliance)は、そもそもLinkedInで興味をもつメンバーが参集し、日本支部(JC)であるCSAジャパンにおいても、同等の形態で発足した。

米国では、病院チェーンのCommunity Health Systemsのケースで言えば2014年8月に保健情報流出事故があり顧客からも集団訴訟を起こされた。また米国の医療機関で、法律HIPAAへの遵守要件が厳しく、日本(医療業界)とは大きく異なる。例えば保存されているデータの暗号化が義務付けられる等があげられる。

また米国のCISOは、情報セキュリティの専門性をもった人材がベンダー等を歴任し、ユーザ企業で活躍するというケースが多く、現在、売り手市場の状況にある(ここも日本の現状とは異なる)。

CSAはグローバルで62,000名で構成され、日本を含みChapter数は70以上。米国はユーザ企業のメンバーも多いが、日本支部はベンダーが多い。

CSAが提供しているクラウドプロバイダーがもたらすセキュリティリスクを分析するツールとしてCCM(Cloud Controls Matrix)があり、最新版は2014.7のV3.0。それ以降のヴァージョンアップが未定なのは、スマートデバイスやIOTへの対応を行うコントロールを整備する必要がある等の為。

交流会のようす

最後に

本日は、笹原氏のすべりの良い、盛りだくさんのお話をいただいたので、Q&Aや、その他の情報交換については、場所を懇親会の会場に移し継続しました。約10名という少人数で、笹原氏を囲みながら、半蔵門駅近くの居酒屋で、なごやかに情報交換を行う事ができました。

CSAジャパンの夕方のセミナーも、非会員でも気軽に参加できますので、ご興味のある方は、足を運んでみて下さい。

後記

本年2月は、協賛企業様や、関連機関等のサイバーセキュリティ月間の各種のイベントに協力する形となりました。

来年は、少し早めに、日本CISO協会主催のサイバーセキュリティ月間でのイベントの企画・実施について、検討してみたいと思います。