大規模な情報漏洩事件が相次いだことで、現在、経営者や管理者の間でWebセキュリティへの関心が急速に高まっている。しかし、インターネット上の攻撃は進化する一方であり、有効な対策を施すには、ある程度の専門知識を備えたうえで、最新状況を把握することが不可欠だ。

そこで本誌は、6月22日(水)に東京都千代田区のパレスサイドビルにて「2011 Webセキュリティセミナー」を開催する。話題の事件におけるダークネット(未使用IPアドレス)観測網での観察結果から、セキュリティにおける投資対効果の考え方まで、タイムリーかつ即効性の高い話題が多数披露される予定だ。

ここでは、最初に登壇するNTTデータの大谷尚通氏と、とりを飾るKDDIの中尾康ニ氏の講演内容を簡単に紹介しよう。

セキュリティの投資対効果をどう算出するか

大谷尚通氏

NTTデータの大谷氏は、日本ネットワークセキュリティ協会においてセキュリティ被害調査ワーキンググループのリーダーを務める人物である。大谷氏は同ワーキンググループに参加する以前から、セキュリティ分野における適正投資額をどのように見積もるべきかに頭を悩まし、研究してきたという。

そこで行き着いた1つの結論が、まずは事件が起きた時の想定被害額や発生確率を明らかにすること。この部分を定量化することで初めて投資額の過不足が判断できるようになる。その判断基準となるデータを収集することが、投資対効果算出の最初のステップになると考えたという。

こうした考えの下、セキュリティ被害調査ワーキンググループでは、被害額がごくわずかの事件や、実際には事故にまで至らなかった"ヒヤリ案件"も含めて、情報漏洩の実情を改めて調査。毎年その結果を報告している。

調査結果のなかには、一般的な認識とは明らかに異なる面白いデータも含まれているという。講演では、そうしたトピックスも交えながら、適正投資額の見積もり方法を紹介していく予定だ。

話題の大規模漏洩事件のモニタリング結果とは?

中尾康ニ氏

セミナーの最後に登壇する中尾氏は、KDDI 情報セキュリティフェローや、独立法人情報通信研究機構(NICT)ネットワークセキュリティ研究所 主管研究員など、多くの肩書きも持つエンジニア。クラウドにおけるセキュリティ動向から最新の攻撃手法まで、セキュリティ分野に幅広く精通しており、総務省や経済産業省の研究会にも招かれている。

当日はWebセキュリティをテーマに、最新の脅威動向を紹介していく予定だが、なかでも特に興味深いのが、情報通信研究機構で開発した「nicter」というシステムを用いたダークネット観測の話である。

氏によると、話題の大規模情報漏洩事件もnicterにてリアルタイムに近いかたちで観測されていたという。果たしてその様子はどうだったのか。セミナー当日の講演で確認してほしい。

具体的な対策を指南する講演も

2011 Webセキュリティセミナーでは、セキュリティソリューションを提供するベンダーによる、具体的な対策を指南する講演も用意している。日本ベリサイン、チェック・ポイント・ソフトウェア・テクノロジーズ、パロアルトネットワークスの3社がそれぞれのソリューションベースにしたノウハウを紹介する予定だ。各社とも、現場を知る者にしかわからない、興味深い話を用意しているので、こちらもぜひ注目してほしい。