━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集「第4回JPNIC・JPCERT/CCセキュリティセミナー2003報告」
                                  JPNIC インターネット推進部  根津智子
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

シリーズで開催してきたセキュリティセミナーも、2004年2月4日に大手町サン
ケイプラザにて開かれた第4回目をもって、無事終了しました。

このセミナーでは、JPNICの会員をはじめとするオペレータの方々が真に必要
とする情報を提供することを目的に、「xSPの日々のオペレーション」に焦点
をあて、実務上必要なセキュリティへの対応方法を説明しています。具体的に
は、セキュリティ対応を「(1)セキュリティの基礎知識を学ぶ」→「(2)インシ
デントから守る」→「(3)インシデントに対応する」→「(4)インシデントから
復旧する」と四つのフェーズにわけ、そのフェーズを一つ一つ学習していくと
いう構成をとっています。
 
いよいよ迎えた最終回のテーマは、「復：具体的な復旧方法」です。復旧と一
言で言っても、どのようなサービスをどのようなシステムで提供しているか、
また社内での情報セキュリティポリシーによっても対応方法は全く異なるため、
「こうすればよい」という万能の解があるわけではありません。そのような状
況を踏まえながら、今回は(株)NTTデータの西尾秀一氏に、リスク対応におけ
る復旧フェーズの意義、いくつかの具体的インシデントを想定した復旧のポイ
ント、復旧後のフォローアップ等を、失敗事例も交え、ケーススタディ的に解
説していただきました。

その後、4回シリーズの締めくくりとして、今まで講師としてご登壇いただい
た方を中心に「xSPのセキュリティに明るい未来は果たして来るのか？」を大
予想するパネルディスカッションを行いました。

メンバーは下記の通りです。

    パネリスト：警察庁情報通信局技術対策課           伊貝耕氏
                独立行政法人産業技術総合研究所       高木浩光氏
                (株)NTTデータ                        西尾秀一氏
                (株)インターネットイニシアティブ     三膳孝通氏
                JPNICセキュリティ分野担当理事        山口英
    モデレータ：JPNICインターネット推進部門担当理事  佐野晋

モデレータ佐野の進行のもと、各パネリストには自分の立つポジションとその
ポジションから見た「セキュリティの未来予想図」を語ってもらいました。

まず、伊貝氏からは法執行機関の立場より「犯罪の発生を前提としたセキュリ
ティの枠組みを」というお話、高木氏からは開発技術水準向上の立場より
「Webの脆弱性はなぜなくならないのか」、西尾氏からはASP・SIの立場より
「（ASPの）義務と投資」について、三膳氏からはISPの立場より「Layerのセ
キュリティはLayerごとで」、そして山口からは、ユーザの視点に立って「良
いお店は客が作る（=良いサービスを提供してもらうにはユーザが賢くならな
ければいけない）」という意見が挙げられました。

会場の参加者も交えての熱い議論が続き、最後には「セキュリティの問題を解
決する魔法の薬も決定打も今のところないが、常に新しい解決法を求めるチャ
レンジを行い、バランスの中でベストの解を見つけていくことが重要。少しの
知恵で、大きな進歩が望めるので、このような場を大切に協力して頑張ろう」
と、さまざまな立場や角度から意見交換ができる仕組みを継続していく必要性
を感じさせつつ、パネルディスカッションは終了しました。このパネル中の意
見はとても示唆に富んだ内容が多く、オペレータの皆様には大変役に立つ内容
であったと思います。

なお、今回JPNICと共に全4回のセミナーをコーディネートした有限責任中間法
人JPCERTコーディネーションセンターの山賀正人氏からも、本セミナーを振り
返った感想が寄せられているので紹介します。

                   ▼              ▼              ▼

今回のセミナーは、JPCERT/CCにとってJPNICさんと初めて行った「共催イベン
ト」でしたが、初めてとは思えないくらい、良いコンビネーションが組めたの
ではないかと思っています。それぞれの組織にとって得意とする部分でうまく
作業を分担することができたように思います。また、計画当初の予想を遥かに
上回る参加者数に、驚きとともに、我々のような組織が行う「営利目的ではな
いセキュリティセミナー」に対するニーズが確かに存在することを強く実感し
ました。

実際に作業を進めている際には、段取りの悪さにスピーカーや関係者の皆様に
大変不愉快な思いをさせてしまったことも多々あったかとは思いますが、今、
全体を振り返ってみれば、ご参加の皆様の満足度も高く、大成功だったと自負
しております。来年度もまたJPNICさんと共に普及啓発活動の一環として、何
らかの形で共に仕事ができたらと考えております。

                   ▲              ▲              ▲  

前述の通り、「オペレータが真に必要とする情報を」という目的で始めたこの
セキュリティセミナーですが、予想以上の反響をいただいて嬉しく思っており
ます。JPNICにできることを考えた際、こういったオペレータ同士の情報交換
の場の提供ということは重要な役割の一つです。来年度も形態こそまだ未定で
すが、セキュリティやISPの運用に焦点をあてた活動をJPCERT/CCと共に行って
いければとの思いを強くしました。

ご意見等がございましたら、ぜひ s-seminar@nic.ad.jp あてにお寄せいただ
きたいと思います。また、本セミナーのビデオと資料については全て以下の
URLに公開予定ですので、今回参加されなかった方にもご覧いただき、一人で
も多くの方に少しでもヒントになることがあれば、担当者としてはこの上なく
幸いです。最後になりますが、セミナー運営にあたり、ご協力くださった皆様
方、どうもありがとうございました。


□JPNIC・JPCERT/CCセキュリティセミナー2003資料
  http://www.nic.ad.jp/ja/materials/security-seminar/