開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/04/03

OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策

現在の情報システムやサービスは、機能ありきの考え方からデータありきの考え方にシフトしてきている。いまやシステムを動かすのは個々のユーザーが日々生み出すデータだ。データセントリックな時代において、情報セキュリティの考え方も変化を余儀なくされている。3月19日、20日の2日間にかけて、OWASP日本支部が主催する「OWASP AppSec APAC 2014」が都内にて開催された。初日にあたる19日の基調講演では奈良先端科学技術大学大学院 教授 山口英氏が、近年の情報動向についてを語るとともに、OWASPのボードメンバーであるデイブ・ウィッカーズ氏が、注目のセキュリティトピックTop 10の紹介を行った。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

Webを円滑に活用すればGDPは2.5%アップする

photo
OWASP Japan
チャプターリーダー
岡田 良太郎 氏
photo
OWASP
グローバルボード
トビアス・ゴンドロム氏
 OWASP(The Open Web Application Security Project)とは、Webの安全性に対する取り組みを実施しているグローバルなコミュニティ団体だ。日本支部は2012年から活動を開始し、「OWASP AppSec APAC 2014」は同団体が初めて日本で開催した大型イベントとなる。2014年2月には関西支部も開設し、引き続き福島支部も開設に向けて準備中であることが同日のプレス向けイベントで発表された。

 「OWASP AppSec APAC 2014」のオープニングセッションでは、OWASP Japanチャプターリーダーである岡田 良太郎氏が登壇し、OWASPと日本での活動の歩みについて紹介。また、「この国際会議を通して日本の“ウェブを、確かなものに”していこう」と訴えた。続いて登壇したOWASPグローバルボード トビアス・ゴンドロム氏は「今や人々の生活の裏側にはWeb・インターネットの存在が欠かせない」として、「OWASPはWebを確かなものにすべくさまざまな国と地域の組織、コミュニティ、大学、企業などが活動しています」とOWASPの取り組みの意義を説明した。

 ICANN(アイキャン)の発表によれば、Webが円滑に動いている国(Low eーFriction)とそうでない国を比較すると、GDPで2.5%の開きがあるという。この数字はアメリカやドイツのGDPに占めるIT投資の比率に匹敵する。「つまりWebを社会に活用すればITシステムの投資は賄えることになる。そのためには信頼されるWebが必要となります」(ゴンドロム氏)。

 ゴンドロム氏は、OWASPを多くの人が利用し、参加し、意見やアイデアを寄せてくれることが、信頼されるWebづくりに欠かせないと訴えた。

守るべきはシステムよりデータ

photo
奈良先端科学技術大学院大学
教授
山口 英 氏
 続く奈良先端科学技術大学院大学 教授 山口英氏の基調講演は、グローバルビジネスの変化についての説明から始まった。

 山口氏は、コンピュータネットワークは、今や投資、資産、情報システム、人材などあらゆるビジネスリソースの世界中での移動を可能にしていると説明。グローバルビジネスの世界では、業務をIT化するのではなく、ITがビジネスを動かす起点や原動力となっていくと指摘した。

 ビジネス環境の変化を、オープン化という視点で見てみると、VAX-11が販売されUNIXがリリースされた80年代は、製造業やエンジニアリングのオープン化の時代だった。

 90年代に入ると、銀行のオンラインシステムが海外にも開放されたり、証券取引や海外投資も広がってきた。この時代はお金のオープン化といえる。

 2000年代に入ると、インターネットの普及により知のオープン化が進む。しかし、オープン化により蓄積された知(ナレッジ)はほぼ消費し尽され、2010年代から現在は、新たな知を発見するためデータのオープン化が叫ばれている。

 このような流れを受け、現在、ビジネスもシステムのデータセントリックな考え方にシフトしているが、ここでセキュリティ上重要なポイントは、システムを守ることよりデータを守ることになると山口氏はいう。

「データを守るには、データのライフサイクルで考えること。それぞれのフェーズでの保護アプローチが見えてくる」(山口氏)

 山口氏のいうデータのライフサイクルとは、データの生成、利用、保存・蓄積、転送、公開、破棄といった各フェーズのこと。それぞれのアプローチは、生成時にはランク付け、カテゴライズを行い、保護ポリシーの基準を設定する。利用の際にはアクセス制御によって管理する。保存・蓄積には暗号化やバックアップが必要となる。転送と公開には「正しさ」「適正さ」求められる。破棄についても専用のしくみによって確実な破棄が行われるようにする。

【次ページ】山口氏が推奨する3つの対策、OWASP Top 10

Webセキュリティ ジャンルのトピックス

Webセキュリティ ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!