今日は朝からJNSAのイベントNSF2011に缶詰。JNSAも今年で10周年。今回は、一昨年から提携しているISF(Information Security Forum)に加え、韓国の業界団体であるKISIAからも参加者があり、なかなかインターナショナルな感じだ。基調講演は、JNSAのこうした国際的な取り組みの紹介に続いて、ISF,KISIAの両方からのプレゼンテーション。ISFは、さすがにヨーロッパ主体のユーザコミュニティだけあって、なかなかきっちりといろんなことを進めている。彼らいわく、クラウドはもはや技術的な問題ではなく、ビジネス上の問題となっているから、考え方を少し変えることにしたとのこと。つまり、これまで、クラウドのリスク評価を技術面から行っていたのだが、実際へのところ、クラウドの取り込みは技術的な問題以前に、ビジネス上の判断で行われてしまっていて、セキュリティが完全に後手に回ってしまっている現状をなんとかしたいという思いが強いようだ。クラウド「7つの大罪」というテーマは重々しいが、ビジネスサイドがどんどん突っ走っていくことで増えるリスクにどう対処していこうかということだと思う。それだけ、クラウド化の圧力は欧米企業では強まっているということなのだろう。クラウドを外部委託の延長上でとらえて、委託先管理の枠組みをどこまで作れるか、というあたりにフォーカスしつつある。ただ、気をつけたいのは、欧米の大企業主体のISFメンバー企業は、すでにセキュリティマネジメントの面では長年の経験を持っている。新しいコンセプトに対しても、使える部分、使えない部分をきちんと見極めて、バランスよくビジネス上のリスクと効率性を考えることが普通にできるから、逆に、こういう取り組みができるのだろうということだ。一方、自分たちの情報の仕分けすら十分にできていないような企業にとっては、そもそも、通常の外部委託の契約形態があてはめにくいクラウドをこういう考え方で取り扱うことは難しそうだ。使うか使わないかという1か0の議論ではないからである。きちんとしたリスクアセスメントに基づく判断が必要なのである。
一方でKISIAはJNSA同様のベンダ側団体。共通点も多いが、お国柄も結構見え隠れする。彼らも、国内では強いがなかなか海外に出て行けないという悩みが強いようで、今回の提携にも、日本市場切り込みへの期待が見え隠れしている。まぁ、このあたりはお互い様といきたいところだ。控え室での茶飲み話で韓国のセキュリティ現場の、結構なまなましい話を聞くことができた。
午後からは、2トラックに分かれたセッション。Aトラックでは、リスク評価系の話が連続。
これは、被害調査WGのセッション。今年の被害調査から見られた傾向の中間集計など。この次のセッションで、こうした被害調査データを統計的に検証したリ、解釈したりするための手法と、それを使ったリスク総量推定に向けた取り組みの紹介。それから、脅威と対策のマップ作りの取り組みの紹介と続く。アプローチの違いはあれ、いずれもリスク評価に関わる部分なので、この3つのWGは人よんで、リスク3兄弟。ちなみに、長男は「セキュリティ被害調査WG」、次男が「セキュリティ対策マップ検討WG」、そして末っ子が「リスク評価検討WG」である。今回のセッションの順序は1,3、2の順。
終了後は、賀詞交換会をかねたパーティー。こちらも盛況。霞ヶ関関係のお歴々も来賓として来られているので、乾杯までは、ある種、「儀式」の連続。まぁ、こういう関係作りも必要なので、いたしかたないところ。しばらくぶりに合う人もいるので、貴重な機会でもある。
さて、これにからんで、1日半を使ってしまったので、明日からはまた本業としばらく格闘しなければいけない。なので、今夜はそろそろ寝ようかと。
コメントする