2001年度 研究会報告 →2001年 研究会報告
→2002年 研究会報告
→2003年 研究会報告
→2004年 研究会報告
→2005年 研究会報告
→2006年 研究会報告
→2007年 研究会報告
→2008年 研究会報告


中国地区『サイバーセキュリティマネジメント実践研究会』活動実績 報告

 ■第1回研究会 『「ハイテク犯罪の現状」と不正アクセスの動向等』
 ■第2回研究会 『政府の情報セキュリティに関する取組み』
 ■第3回研究会 『我が社におけるセキュリティ対策の事例について』
 ■第4回研究会 『不正プログラムの攻撃手法とその対策』
 ■第5回研究会 『企業におけるセキュリティ対策』
 ■参加行政・企業
→2001年研究会活動報告 プレゼンテーション資料

■第1回研究会
日時 2001年8月23日(木) 15:30〜17:30
場所 メルパルク広島  5F 桜の間  広島市中区基町6-36
内容 第1部 − 基調講演
「『ハイテク犯罪の現状』と不正アクセスの動向等」
【講 師】警察庁 生活安全局 生活安全企画課
      セキュリティシステム対策室 課長補佐 初川 泰介氏

第2部 − 質疑応答
参加人数 中国管区警察局:8名、中国経済産業局:1名、島根県警察本部:2名、岡山県警察本部:1名、広島県警察本部:1名、岡山県:1名、広島県:2名、民間企業:41名、事務局:4名
合計  61名
総評

警察庁 生活安全局 生活安全企画課 セキュリティシステム対策室 課長補佐 初川 泰介氏に、ハイテク犯罪の現状と不正アクセスの動向についてご講演いただきました。

警察庁では、平成11年4月に『サイバーポリス』(電脳警察)を創設し、ハイテク犯罪に取り組んでいます。民間企業は、各県警のハイテク犯罪対策室および情報セキュリティアドバイザーへ、ハイテク犯罪に関する相談および通報を行うことが望まれていることが解りました。

わが国のハイテク犯罪には、

  1. 刑法に規定されている電子計算機使用詐欺罪をはじめとしたコンピュータまたは電磁的記録を対象とした犯罪
  2. コンピュータ・ネットワークをその手段として利用した犯罪
  3. 不正アクセス禁止法違反

の3つが該当します。

質疑応答の際、参加企業に問い合わせたところ、これまでに県警に、不正アクセス等のハイテク犯罪について相談および通報をしたという参加企業は非常に少ないことが明らかになりました。その理由は、(1)コンタクト先が不明、(2)証拠保全のため業務に支障がでることが懸念、(3)警察側から得られるサポートが期待できない の3点でした。

この質疑応答により、官民の協力体制および相互理解の必要性を参加者一同認識することとなり、第2回研究会以降の官民によるグループデイスカッションに発展するきっかけとなりました。

↑ページトップへ

■第2回研究会
日時 2001年9月28日(金) 15:30〜17:30
場所 メルパルク広島  5F 桜の間  広島市中区基町6-36
内容 第1部 − 基調講演
「政府の情報セキュリティに関する取組み」
【講 師】経済産業省 商務情報政策局
      情報セキュリティ政策室 課長補佐 田辺 雄史氏

第2部 − グループディスカッション
セキュリティを6つのテーマに分類し、各グループで詳細をディスカッション
1.技術知識の習得
2.ポリシーの策定
3.基本知識の教育、規定とモラル
4.利用者への教育、啓蒙
5.行政の法制度関連の策定、情報の提供
6.今後の課題、要望

第3部 − 情報交換会
参加人数 中国管区警察局:6名、中国経済産業局:2名、島根県警察本部:2名、岡山県警察本部:1名、広島県警察本部:1名、岡山県:1名、山口県警察本部:1名、山口県:2名、民間企業:32名、事務局:4名
合計  53名
総評

第1部では、経済産業省 商務省情報政策局 情報セキュリティ政策室 課長補佐 田辺雄史氏に政府の情報セキュリティの取組みについてご講演いただきました。

経済産業省の情報セキュリティに関する取組みは、(1)技術:ISO/IEC15408に基づく技術評価・認識体制、(2)暗号技術:電子政府のための暗号信頼性の確保、(3)マネジメント:ISO/IEC17799に基づく情報マネジメント政策の3分野です。各分野における現状と今後の計画について説明をいただきました。これにより、技術・製品評価基準の現状、セキュリティポリシーに関するISO17799の位置付け、ISMS導入の流れが明確になりました。

電子政府への取組みとして、電子署名・認証法およびPKIについても説明いただきました。 今後の方向としては、(1)情報セキュリティ政策は自己責任で行う、(2)国際的なインターオペラビリティの確保、(3)情報セキュリティのベストプラクティスとしての電子政府の構築の3点が上げられました。

第2部のディスカッションでは、セキュリティ対策の必要性、セキュリティ教育の重要性については意見が一致したもののセキュリティ対策において、各省庁の役割、官・民の役割、ベンダーとユーザーの責任分担について、立場の違いによる認識の違いが鮮明になりました。

自動車とコンピュータが比較され、免許証なしでコンピュータ操作を許可することが問題、コンピュータセキュリティの現状は、ブレーキの故障した自動車を高速道路で運転しているようなものという指摘は、問題提議として、とても印象的でした。

↑ページトップへ

■第3回研究会
日時 2001年10月24日(水) 14:30〜17:30
場所 メルパルク広島  6F 平成の間  広島市中区基町6-36
内容 第1部 − 基調講演
「我が社におけるセキュリティ対策の事例について」
【講 師】富士ゼロックス株式会社 コーポレートインフォメーションマネージメント
      情報通信システム第2グループ長 堀内 章氏

第2部 − グループディスカッション
  • ポリシー策定、運用の重要視について
  • 社内教育の必要性、人材不足
  • Nimuda等のウィルス対応について

第3部 − 情報交換会
参加人数 中国管区警察局:5名、岡山県警察本部:1名、広島県警察本部:1名、山口県警察本部:1名、広島県:1名、民間企業:33名、事務局:4名
合計  47名
総評

第1部では、セキュリティ政策と運用についてご講演いただきました。

トップマネジメントのリーダーシップのもと、約1年半を費やし法務部、総務部と共同で策定されたセキュリティポリシーは、社員行動規範、会社情報取扱規定を基本方針としています。ネットワークセキュリティを生産性低下のリスク、情報保護に関するリスク、信用失墜のリスクに分類し、対策に取り組んでいます。

ご講演の直前に発生したニムダ対策においては、トップマネジメントにリスクを説得した提案方法について具体的に紹介していただきました。リスクが小さいうちに、トップマネジメントにリスクを認識してもらうことも、セキュリティ担当責任者の任務であるというご指摘も印象的でした。また、ニムダ対策ではEメールによる情報配信ができなかったために、ファックスの訃報連絡網により社内連絡をされたこと、駆除対策前のネットワークアクセスを阻止するために、コンピュータに貼り紙をつけて対応したというお話には、実践における柔軟対応の重要性を実感しました。

今後の課題は、企業倫理、情報倫理教育の組織への徹底であり、総務部、人事部とともに、新入社員教育をはじめとする教育プログラムの作成及びユーザー基準(一般向けには2ページ程度)の作成を行っていらっしゃるとのことでした。

第2部では、第1回研究会のディスカッション内容をメインテーマに分類し、デイスカッションを実施しました。セキュリティポリシー及びセキュリティ教育の必要性では意見が一致しました。課題としては、(1)トップマネジメントの積極的関与がないこと、(2)セキュリティ対策のコストの正当性が説明できないこと、(3)セキュリティ担当者が不足していること、(4)ポリシー策定およびその運用が難しいことなどが挙げられました。

↑ページトップへ

■第4回研究会
日時 2001年11月21日(水) 14:30〜17:30
場所 メルパルク広島  5F 桜の間  広島市中区基町6-36
内容 第1部 − 基調講演
「不正プログラムの攻撃手法とその対策」
【講 師】株式会社 シマンテック セキュリティ リスポンス
       マネジャー 星澤 裕二氏

第2部 − グループディスカッション
1.これまでのディスカッションのレビュー
  • ポリシー策定、運用の重要視について
  • 不正アクセスに遭った場合の措置   (山口県警察本部)

2.グル−プディスカッション

第3部 − 情報交換会
  • セキュリティポリシーの基礎と実際
  • 実際に活用されているポリシー文書に基づく主旨、概要の説明
  • セキュリティポリシーへの理解を深めるディスカッション
参加人数 中国管区警察局:5名、岡山県警察本部:1名、広島県警察本部:1名、山口県警察本部:1名、広島県:1名、民間企業:33名、事務局:4名
合計  45名
総評

株式会社シマンテック セキュリティ リスポンス マネジャーの星澤 裕二氏に、攻撃手法と対策技術についてご講演いただきました。星澤氏は、ウィルス対策チームの一員としてウィルス研究に従事する日本におけるウィルス研究の第一人者です。

1981年に世界ではじめて発見されたコンピュータ上で動くウィルスから、どのようにウィルスが進化していったのかをご紹介いただきました。今日のウィルスは第4世代であり、ニムダに代表されるブレンデッド・スレッド(混合された脅威)が特徴です。研究会がスタートした8月以降、コードレッド、ニムダなど次々に新たなウィルスが発生していますが、月におよそ200〜300の新たなウィルスが発生しているという現実には驚かされました。

一方、アンチウィルスソフトの企業への普及は70%ではあるものの、6割が月一度のアップデート、4割が2ヶ月に一度のアップデートも行っていないという現状には、セキュリティ啓蒙活動の重要性を強く感じました。

第2部では、中国管区警察局広域調整第一課長補佐 警部 内田 彰氏に、不正アクセス対策についてご説明いただきました。グループディスカッションの中で、警察におけるサイバーセキュリティの取組み、民間企業との情報共有化の方法などにつき多くの参加者からの質問があり、その解答として資料をご用意いただきました。

警察の目的は、(1)犯人逮捕、(2)被害拡大の阻止という立場を明確にしていただき、不正アクセス行為に遭わないための対策、電子政府におけるサイバーテロ対策についてご説明いただきました。

不正アクセス被害にあった場合の措置については、山口県警察本部  生活安全企画課ハイテク犯罪対策室課長補佐 警部 村岡 高文氏に資料をご用意いただきご説明いただきました。

第3部では、セキュリティポリシーをテーマにグループディスカッションを行いました。第3回の富士ゼロックスにおける事例を踏まえ、『企業情報セキュリティポリシー』(実例のサンプル)を資料に、セキュリティポリシーについて理解を深める場となりました。セキュリティポリシーは、参加者全員関心が高く、ディスカッションの結果、ポリシー策定及びその運用における課題が明確になったと思います。

第1回〜第4回の研究会を通じて、『セキュリティ対策はだれの責任か?』という問いに対する答えが、『自己責任』であるというサイバー社会におけるセキュリティ対策の現実が少しずつ鮮明になったように感じています。

↑ページトップへ

■第5回研究会
日時 2001年12月20日(木) 14:30〜17:30
場所 メルパルク広島  5F 桜の間  広島市中区基町6-36
内容 第1部 − 基調講演
「企業におけるセキュリティ対策」 副題:地方におけるモデルケース
【講 師】中国情報システムサービス株式会社
      ソリューション事業本部 システム営業部 濱本 常義氏

第2部 − グループディスカッション
1.パネルディスカッション 【パネラー】
・中国管区警察局 内田 彰氏
・中国経済産業局 杉村哲雄氏
・ネットワンシステムズ(株) 藤田龍太郎氏
・CIS(株) 濱本常義氏
・(株)NTTデータ中国支社 西村不可止氏
・(株)システムサンワールド 掛川俊一氏
2.グル−プディスカッション

第3部 − 中国地区「サイバーセキュリティマネジメント実践研究会」活動報告

第4部 − 情報交換会         
参加人数 中国管区警察局:6名、岡山県警察本部:1名、広島県警察本部:1名、山口県警察本部:1名、広島県:1名、民間企業:35名、事務局:4名
合計  50名
総評

中国情報システムサービス株式会社の濱本常義氏に、5回シリーズの総括として、企業におけるセキュリティ対策についてご講演いただきました。濱本氏は、ネットワーク構築、セキュリティ監査、セキュリティポリシーの構築をご専門とされ、日本最大のセキュリティコミュニティを運営されています。

濱本氏には、総括として、技術的セキュリティ対策およびセキュリティポリシーの両面からお話しいただきました。技術的セキュリティ対策においては、最低限必要な対策をモデルケースとしてご紹介いただきました。セキュリティポリシーについては、ポリシーの導入を成功させるためのポイントも含めて導入のプロセスをお話いただきました。

第2部では、中国管区警察局の内田 彰氏、中国経済産業局の杉村哲雄氏、(株)NTTデータ中国支社の西村不可止氏、ネットワンシステムズ(株)の藤田龍太郎氏、CIS(株)の濱本常義氏、(株)システムサンワールドの掛川俊一氏にパネラーをお願いし、パネルディスカッションを行いました。これまでのディスカッションで明らかになったセキュリティマネジメントの課題を踏まえて、官、民、ユーザー、ベンダーのお立場でお話を頂戴しました。後半は、パネルディスカッションを受けて、グループディスカッションを行いました。参加企業の多くがセキュリティポリシーの導入を計画しており、セキュリティポリシーがディスカッションのメインテーマになりました。

第3部では、事務局長より、5回の研究会の活動報告を致しました。(各回の活動内内容は、別紙参照)総括の中では、セキュリティは自己責任であること、官、民の協力体制が重要であること、企業においては、経営幹部も含めてセキュリティ教育が必要であることの3つのポイントをあげました。

↑ページトップへ



■参加行政・企業
県名 企業名
広島県 (株)NTTドコモ中国
(株)テレビ新広島
(株)タカキベーカリー
チチヤス乳業(株)
(株)サタケ
広島ガス(株)
中本総合印刷(株)
オタフクソース(株)
三島食品(株)
中国情報システムサービス(株)
山陽染工(株)
(有)バッケンモーツアルト・ゼネラル
中国電力(株)
富士通(株)
(株)ソルコム
(株)SRA中国
(社)広島市医師会
ヒロボー(株)
(株)住建産業
フマキラー(株)
(株)NTTデータ中国支社
ネットワンシステムズ(株)
山口県 (株)システムサンワールド
(株)大一写真工業
岡山県 (株)両備システムズ
(株)リオスコーポレーション
タカヤ(株)
ナカシマプロペラ(株)
島根県 (株)テクノプロジェクト
鳥取県 (株)ケイズ
東京都 (株)シマンテック
京都府 日新電機(株)
福岡県 西部ガス情報システム(株)
オブザーバー 中国管区警察局
中国経済産業局
島根県警察本部
岡山県警察本部
広島県警察本部
山口県警察本部
広島県
岡山県
山口県
共催 (社)中部産業連盟
事務局 (財)クマヒラセキュリティ財団
↑ページトップへ