「あなたはクラウドサービスのセキュリティを、どれだけ意識して使っていますか?」そう聞かれて明確に答えられる人は、多くはないのではないでしょうか。
2013年3月9日、クラウド時代における会社組織内でのセキュリティについて考える『便利さと、怖さと、心強さと~戦う会社のための社内セキュリティ 2013年のスタンダードとは?!』を開催しました。ここではその当日の様子をレポートします。
オープニングセッション「クラウド社会における情報セキュリティのC.I.A」
いつもはWebディレクター寄りな方が多いWebSig会議ですが、今回はセキュリティがテーマということもあり、エンジニアの方も多く参加されていました。
まずは、WebSig24/7の代表・和田嘉弘氏から今回のイベントを開催するにあたった、きっかけであり課題となる、クラウドサービスを利用することによるセキュリティの問題について説明がありました。
便利なサービスを使うことと、仕事上の重要な情報を守るためのバランスを、情報セキュリティの3つの特性、機密性(Confidentialit)・完全性(Integrity)・可用性(Availability)から考えると、どういった対応をしていくのが最適なのか。その課題について個別セッションで、さまざまな立ち位置から実体験をまじえたお話を聞くことができました。
ファーストセッション「クラウドは○○を共有するサービス」
個別セッションの始まりは、株式会社トライコーダ代表取締役であり、OWASP Japan Chapter Leaderとしてもセキュリティの著書を多数連載している上野宣氏から。
セッションタイトル「クラウドは○○を共有するサービス」の『○○』の部分には皆さんは何が入ると思いますか?…答えは「リスク」。クラウドサービスはサービス事業者とのリスク共有であり、セキュリティリスクとしては「危険と損失の可能性」があると認識しておくのが、利用するときの大前提だということです。
上野氏はクラウドサービスを使うにあたり「第三者の存在」「手が届かない」「法的な問題」の3つが脅威であるとし、それに対して安全に使うには「使っているサービスがどういうものなのか知る」「技術的な対策をする」「法的なことを知る」ことが大事であると語られました。
セカンドセッション「社内LAN撲滅運動!」~クラウド専業のインテグレーターがISMS認証を取得した舞台裏
株式会社サーバーワークス代表取締役の大石良氏からは、社内ツールをすべてクラウドサービスに移行したうえでISMS認証も取得した、その舞台裏についてお話いただきました。
ISMSを取得した場合、一般的には取得前よりもセキュリティの概念が厳しくなり、業務上の不便を感じる人が増えてしまう問題があります。しかし大石氏はISMSを取得しても生産性の低下は最小限にし、なおかつ自分自身が働きたいと思える環境になるように、ISMSはあくまでも営業のために取得すること=売り上げが上がる方向でなければ採用しないこと、“守り”と“攻め”を両立することを「情報セキュリティ基本方針」でまとめたとのことです。
実際に利用している移行してうまくいったクラウドサービス、またはうまくいかなかったサービスを実体験をもとに紹介してくださり、それを聞いた会場の方の中には「ぜひ使ってみたい!」という声も聞けました。
サードセッション「強い組織になるための「非・堅牢な」セキュリティ設計のススメ」
普段から制作業務を外部の人に委託し、そのやり取りで実際にクラウドサービスを利用している株式会社ロフトワークのWebディレクター滝澤耕平氏からは、Web制作現場での気をつけるべきポイントと、その考え方についてのお話を聞くことができました。
どんなに事前に想定されるリスクを検討していても対策をしていても、予測のつかないことが起きる可能性があり、“堅牢なセキュリティ”というものは存在しえないこと。それを踏まえた上で、何か問題が発生したときに即座に対応できる体制と、それを検知できる仕組みづくりが、現場でのセキュリティ設計のポイントになるそうです。
またセキュリティ対策をする前段階として「そのセキュリティ対策をしなくてもいい業務フローはないのかどうか」を日々意識して考えて行くことが大事であると、同社の代表取締役・諏訪光洋氏から教わったそうです。
フォースセッション「上司が信用できない会社の内部統制」
不穏なセッションタイトルでお話いただいたのは、チームラボ株式会社のエンジニア佐伯真人氏と高須正和氏から、誰にでも起こりえるヒューマンセキュリティホールを組織としてどのようにカバーしていくかについて。
フラットな仕事体系においてセキュリティでがんじがらめにしてしまうのは、やはり生産性の低下にも繋がってしまうという懸念と、そもそも組織内でセキュリティの概念で決められたことが守られない現状があり、内部統制に悩んでいた時期があったそうです。
しかし社員の自主性に任せてクラウドサービスの利用を許可したところ、自然と利用が広まり、社内で課題となっていたコミュニケーションや、ツールの利用方法の周知などが解決したとのことです。
ある種の“放置文化”によりシステム的なセキュリティに関しては問題がないとはいえないが、大元を管理することで最低限のセキュリティは確保されていること。またクラウドサービスを使うことにより、生産性の大幅な向上とクラウドサービス側で担保してくれるセキュリティにより、状況は改善したとお話いただきました。
スピーカーによるトークセッション
個別セッションの後で、スピーカーをされた5名の方とモデレーターの和田氏を司会進行に、4つのセッションをふまえてのトークセッションが行われました。
上野氏から他のスピーカーに向けてセキュリティ的な質問を投げかけ、各スピーカーから実際に今利用している状況をもとに、セッションでは語りきれなかった細かな対応についてお答えいただきました。
また、東京会場およびサテライト会場(福島、大阪、高松、福岡、宮崎)の参加者から出た質問に、それぞれのスピーカーが答える場面もありました。
懇親会と今後のWebSigイベントについて
第32回WebSig会議のすべてのセッション終了後、スピーカー・参加者・モデレーターあわせての懇親会となりました。セッションを聞いての感想を言い合ったり、スピーカーの方と参加者とで意見をかわすことで、よりセキュリティに対する考えを深めることができた方が多くいらっしゃいました。
次回のWebSig会議は2013年6月を予定しておりますが、その前の4月中旬頃にWebに関わる人たちを中心としたコミュニケーションの場を提供する予定です。
これまでWebSigのイベントに来たことがある方も、ない方でも、気軽に参加できるものになります。詳細は公式サイトでお知らせしますので、ぜひ皆さんご参加ください。