SAAJ近畿支部第140回定例研究会(報告者:阪口 博一)

No2089 阪口博一

1.テーマ   : 「あなたのへそくり、奥様にばれていませんか」
~身近なテーマで、セキュリティをユーザに分かりやすく伝えよう~
2.講師    : NTT西日本 大阪支店 粕淵 卓氏
3.開催日時 : 2013年5月17日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター 3階 講義室301
5.講演概要 :

(1)アジェンダ

講義いただいた内容は以下のとおりである。

a. セキュリティとは b.リスクマネジメント c.暗号 d.認証 e.脅威 f.PKI g.まとめ

(2)内容

a. 「へそくり」の事情
本講義の導入部として、「複雑なセキュリティを身近なテーマでユーザにわかりやすく伝える」というコンセプトから、現在の「へそくり」事情を様々なWeb(ホームページ)の情報をもとに、へそくりを持っている人の割合、その金額、どうやって貯めたか、その隠し場所は、などの統計について紹介があった。
b. セキュリティとは
へそくりにおいて大切なことは、①バレないこと、②配偶者などに使われてしまわないこと、③自分が使いたいときにいつでも使えることである。これを情報セキュリティに例えるなら、それぞれ機密性、完全性、可用性(=情報セキュリティの3要素)ということができる。
c. リスクマネジメント
リスクは(資産の重要性)×(脆弱性)×(脅威)で表すことができる。へそくりに例えるなら、(へそくりの額)×(隠し場所の危険性)×(見つかる可能性)ということになる。どんなリスクがあるのかを分析し、損失額と発生頻度を予測して評価し、その大きさによって対応策を考えることがリスクマネジメントになる。
リスク対応策には、①リスク低減、②リスク回避、③リスク移転、④リスク受容の4つがある。へそくりの場合は、それぞれ、①足のつかないオンラインバンク系に預けて言動にも注意する、②使ってしまう、親③に預ける、④見つかったらしょうがないと割り切る、といったものになる。
d. 暗号
「旧日本軍の暗号は米軍に比べて劣っていたか」、「同じ鍵で開く玄関の2重鍵は意味があるか」といった話題をもとに、暗号のアルゴリズムについての解説があった。また、「天才数学者が解読に何十年もかかる暗号は安全か」という話題から暗号方式の寿命、「100人の社員が10台の自転車をシェアする方法」という話題から公開鍵暗号方式についても説明された。
e. 認証
上記「暗号」と同様に、「ホテルでの鍵の受取り」、「銀行ATMでの4桁の暗証番号」といった話題から、認証に使われる情報についての説明、また「顔認証」や「生体認証」の問題点について説明があった。
f. 脅威
不正アクセスの攻撃者の目的(いやがらせ、営利目的など)、営利の場合はどれくらい儲けるのか、といった話題や、脅威の分類、企業が受ける損害額などの説明があった。
g. PKI(Public Key Infrastructure:公開鍵暗号基盤)
Web上での安全な通信基盤として、自分が証明する「デジタル署名」と、公的機関に証明してもらう「電子証明書」についての説明があった。
h. まとめ
まとめとして、BCM(事業継続性管理)の重要性について説明があった。要は、災害時を想定した計画をたて、リスクを分散し、継続的に活動することである。最初の話題「へそくり」に例えると、バレたときのことを想定し、隠し場所を分散させ、その対策を継続的に行うということになる。

6.所感

 私は、現在、品質管理やリスク管理の事務局を仕事にしています。年に数回は情報セキュリティの教育研修の計画をたてて、時には自分で講師も行います。様々な階層の社員に機密性、完全性、可用性に脆弱性、脅威を説明するのも重要な仕事なのです。今回の講演内容の連絡をいただいたとき、「これだ!」と思い、早速申し込みました。社員の皆さんの次第に重くなってくる目を見ずに、情報セキュリティの研修ができるのであれば、本当に魅力です。
身近な「へそくり」を例にして、リスクマネジメントを説明するというのは、今回の講師である粕淵氏のオリジナルとのこと。セキュリティ対応策は、リスクを軽減するためのもので、すごくシンプルなもの、というか常識的であたりまえのことであるということが受講者に理解しやすいものとなっていると感じました。へそくりだけでなく、暗号や認証、不正アクセスなどの話題もわかりやすく興味をひく事例で説明されていて、私にとってはとても満足のいく講演でした。

以上