- 会員限定
- 2014/04/03 掲載
OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策
記事をお気に入りリストに登録することができます。
現在の情報システムやサービスは、機能ありきの考え方からデータありきの考え方にシフトしてきている。いまやシステムを動かすのは個々のユーザーが日々生み出すデータだ。データセントリックな時代において、情報セキュリティの考え方も変化を余儀なくされている。3月19日、20日の2日間にかけて、OWASP日本支部が主催する「OWASP AppSec APAC 2014」が都内にて開催された。初日にあたる19日の基調講演では奈良先端科学技術大学大学院 教授 山口英氏が、近年の情報動向についてを語るとともに、OWASPのボードメンバーであるデイブ・ウィッカーズ氏が、注目のセキュリティトピックTop 10の紹介を行った。
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
Webを円滑に活用すればGDPは2.5%アップする
チャプターリーダー
岡田 良太郎 氏
グローバルボード
トビアス・ゴンドロム氏
「OWASP AppSec APAC 2014」のオープニングセッションでは、OWASP Japanチャプターリーダーである岡田 良太郎氏が登壇し、OWASPと日本での活動の歩みについて紹介。また、「この国際会議を通して日本の“ウェブを、確かなものに”していこう」と訴えた。続いて登壇したOWASPグローバルボード トビアス・ゴンドロム氏は「今や人々の生活の裏側にはWeb・インターネットの存在が欠かせない」として、「OWASPはWebを確かなものにすべくさまざまな国と地域の組織、コミュニティ、大学、企業などが活動しています」とOWASPの取り組みの意義を説明した。
ICANN(アイキャン)の発表によれば、Webが円滑に動いている国(Low eーFriction)とそうでない国を比較すると、GDPで2.5%の開きがあるという。この数字はアメリカやドイツのGDPに占めるIT投資の比率に匹敵する。「つまりWebを社会に活用すればITシステムの投資は賄えることになる。そのためには信頼されるWebが必要となります」(ゴンドロム氏)。
ゴンドロム氏は、OWASPを多くの人が利用し、参加し、意見やアイデアを寄せてくれることが、信頼されるWebづくりに欠かせないと訴えた。
守るべきはシステムよりデータ
教授
山口 英 氏
山口氏は、コンピュータネットワークは、今や投資、資産、情報システム、人材などあらゆるビジネスリソースの世界中での移動を可能にしていると説明。グローバルビジネスの世界では、業務をIT化するのではなく、ITがビジネスを動かす起点や原動力となっていくと指摘した。
ビジネス環境の変化を、オープン化という視点で見てみると、VAX-11が販売されUNIXがリリースされた80年代は、製造業やエンジニアリングのオープン化の時代だった。
90年代に入ると、銀行のオンラインシステムが海外にも開放されたり、証券取引や海外投資も広がってきた。この時代はお金のオープン化といえる。
2000年代に入ると、インターネットの普及により知のオープン化が進む。しかし、オープン化により蓄積された知(ナレッジ)はほぼ消費し尽され、2010年代から現在は、新たな知を発見するためデータのオープン化が叫ばれている。
このような流れを受け、現在、ビジネスもシステムのデータセントリックな考え方にシフトしているが、ここでセキュリティ上重要なポイントは、システムを守ることよりデータを守ることになると山口氏はいう。
「データを守るには、データのライフサイクルで考えること。それぞれのフェーズでの保護アプローチが見えてくる」(山口氏)
山口氏のいうデータのライフサイクルとは、データの生成、利用、保存・蓄積、転送、公開、破棄といった各フェーズのこと。それぞれのアプローチは、生成時にはランク付け、カテゴライズを行い、保護ポリシーの基準を設定する。利用の際にはアクセス制御によって管理する。保存・蓄積には暗号化やバックアップが必要となる。転送と公開には「正しさ」「適正さ」求められる。破棄についても専用のしくみによって確実な破棄が行われるようにする。
【次ページ】山口氏が推奨する3つの対策、OWASP Top 10
関連タグ
あなたの投稿
PR
PR
PR
