ニュースレターNo.25/2003年11月発行
第2回JPNIC・JPCERT/CCセキュリティセミナー2003
 |
| 高木浩光氏 |
2003年9月12日(金)に大手町サンケイプラザにて、JPCERT/CC(有限責任中間法人JPCERTコーディネーションセンター)との共催にて「第2回JPNIC・JPCERT/CCセキュリティセミナー」を開催しました。第1回目同様、約150名という多くの方が参加され、アンケート結果でも、大変有意義であったという評価をいただきました。ここでは、セミナーのエッセンスをできる限りお伝えできればと思います。
まず、基調講演として、独立行政法人 産業技術総合研究所の高木浩光氏より、「安全なWebサイト設計の注意点」についてのお話がありました。高木氏は、開発者向けの「安全なWebアプリ開発 31箇条の鉄則」を発表されていることでも有名ですが、今回は、開発者というよりは実際のWeb管理者、発注者向けにお話いただきました。
そもそもSSL※1やサーバ証明書の役割とは何か、その正しい運用方法や利用方法が本当に理解されているかという話題に始まり、プライバシーを扱うサービスを提供するWebアプリケーションは、技術が本来何のためにあるのかがきちんと理解されて構築されるべきだ、ということを豊富な具体的事例を交えてたいへんわかりやすくご講演いただきました。アンケートでも「今回のセミナーで得た知識を自社サイトに早速生かせる」という意見が多数を占め、身近なところにある問題点を改めて認識させるものとなりました。
次に、JPNICの木村泰司より、第57回IETF(Internet Engineering Task Force)会合、第16回APNIC会合、ならびに第46回RIPE NCC会合でのセキュリティに関するトピックについて、簡単な紹介がありました。
 |
| 白橋明弘氏 |
最後に、JPNIC技術検討委員会委員長でもある、ネットワンシステムズ(株)の白橋明弘氏より「不正侵入の被害を受けにくいネットワークの設計法」についてのお話がありました。xSP※2にとってのセキュリティ対策は、インフラを守りながらも、顧客(ユーザー)やその運用管理者のミスや負荷、また問題が起ったときの対応のしやすさを考慮にいれ設計しなければならないという点で、エンドユーザー組織のそれとは、基本的に質的にも量的にもかなり異なり、一筋縄ではいかないものとなっています。また最近は、インシデント等が起った際には、サービス提供者の説明責任(Accountability)がますます求められており、そういう意味でもxSPは厳しい立場に立たされています。
こういったポイントを押さえながら、サーバをどう要塞化していくのか、ファイアウォールのポリシーをどう設計しどこまで利用するのか、IDS※3はどう使うべきなのかなどという、きわめて実践的な話を聞くことができました。今までエンドユーザー組織を対象としたセミナーや対策本などはありましたが、「xSPのオペレーターに実際に役に立つ」という視点からの話はとても斬新だったのではないでしょうか。「時間が足りない!」という言葉を多数いただきながら、第2回目のセキュリティセミナーは無事終了しました。
(JPNIC インターネット推進部 根津智子)
