サイバーセキュリティシンポジウム道後2022に行ってきた。
直近2年間はオンライン開催だったが、オンラインだと”ながら見”してしまい、正直集中できないため、個人的にカンファレンスはオフライン推しである。
住んでいる場所とは異なる環境で、様々な話を聞くのは良いものである。
異なる場所への移動手段が飛行機になると、なおさら良い。
そんなわけで、講演メモ。
1.総務省におけるサイバーセキュリティ政策
いきなり出鼻をくじかれた。
何がくじかれたかというと、後援者の都合でビデオセミナーになったからである。
オンラインでのライブではなく、予め収録された動画を会場で視聴するという、ただただガッカリな基調講演だった。
メモを取る気も起きず、モチベーションダダ下がりで終了。
2.サイバー犯罪の現状と対策
警察庁の方のお話。
フィッシングやランサムウエア等の一般的な情勢の話だったが、1点聞いていて驚いたのは、例えばemotetに感染した場合、セキュリティ担当やインシデント対応チームが存在しないような小さな組織の場合、メールアドレスのパスワードを変更して対応完了になってしまうらしい。
冷静に考えると、こういったセキュリティカンファレンスに出てくるような人はEmotetの動きや、最低限Emocheckを実施する等は当たり前の認識だが、我々の当たり前と、一般のITユーザーの当たり前は待ったく異なることを改めて考えさせられた。
また、警察の体制の話もあり、サイバー警察局とサイバー特別捜査隊が20022年に設置されたらしく、その体制の概要を聞くことができた。
サイバー特別捜査隊は、端的に言うとこれまで都道府県警察でバラバラに動いていた重大サイバー事案について、一元的に操作を行う部隊になるらしい。
これまで一元化して捜査する組織が警察に存在しなかったことがある意味信じられないが、今後国をまたいだ国際捜査等にも日本の存在感が増えていくことを期待したい。
セキュリティ啓蒙ビデオと言えば、IPAが制作しているイメージがあるが、警察庁も作っているらしい。紹介されたので下に張り付けてみる。
3.セキュリティエデュケーションの曲がり角
知らなかったのだが、集合形式のパネルディスカッションを”カフェスタイル”と言うらしい。
海外に比べて日本のセキュリティレベルが低いことは何となく認識しているものの、そこについて少し掘り下げた議論があった。
日本も「産官学連携」とはよく聞くものの、米国はこの辺が恐ろしく強い。
例えば、NICE Cybersecurity Workforce Framework(SP800-181)を例にとると、ここで必要なスキルセットを決めるとともに、そのスキル要員を充足させるための民間トレーニングも用意し、充足状況をインターネットに公開。必要な資格を取得することで、雇用までもがセットになっている。
では日本にはNICEフレームワークのようなものが無いのかというと、実はある。
それが、「セキュリティ知識分野(SecBoK)人材スキルマップ」というものだが、これが例えば学校のカリキュラムに反映されているのかというと、実は反映されていない。
何故かというと、SecBoKは企業におけるセキュリティ人材育成のための資料となり、内容が実践的であるのに対し、大学は暗号とかネットワークとか、細かい部分を教えたいと考えていることから、”産”と”学”のニーズがズれているのである。ニーズがずれるので雇用に結びつかない。結局ドキュメントを作って終わりというザンネンな状況になっている。
残念ながら、大学で学んだ細かい内容は、起業におけるインシデントレスポンスにおいては、全く役に立たない。
では大学で学ぶ細かい内容は無駄かというと、そういうことはなく、例えば過去に起こった事件をブレイクダウンしていくときに、大学で学ぶような細かい知識が必要になってくる。
ビジネスが分かっていて、セキュリティインシデント発生時に判断できる人がいないと大変なことになる。CISOは全体を考えるが、個々のビジネスについては、例えばシステム停止時の影響などをCISOは考えることはできない(そもそもCISOの範囲外)ため、CISOに丸投げをするのではなく、個々のシステムについてはそれぞれの責任者がしっかりとリスクマネジメントを行うことが重要。
セキュリティはリスクなので、リスクマネジメントの観点で組織合意や社会合意を進めていく必要がある。
ビジネスとセキュリティが組み合わさると謎が多くなり、一元的に「こうすればOK」みたいなものは存在せず、ことごとくケースバイケースになる。
最近のサイバーセキュリティは予測が難しい。昔は、例えば暗号化については、解析時間からある程度のリスクの予測がついた。ネットワークやシステムはアーキテクチャからリスクの予測が付いた。サイバーセキュリティは様々な攻撃手法を駆使するため、リスクの予測が付きにくい(とはいっても、多くは脆弱性とソーシャルエンジニアリングに収斂される気はするが・・・)
ISC2の調査によると、最近のサイバーセキュリティ人材はIT分野からの流入は3割程度しかなく、IT以外の分野や、最初からサイバーセキュリティの専門教育を受けて入ってくる人が多い。
終了後、道後温泉に行ってみたら、改修工事中らしく、派手な覆いで囲まれていた。
もっと道後温泉本館を連想させるデザインにすればいいのにって思った。
