クラウドサービスやビッグデータの活用による産業の効率化や活性化が、世界的に期待されている。一方、漏えいしたパスワードリストを利用したリスト型攻撃による不正ログイン、インターネットショッピングなどで使用されているセキュリティプロトコルSSL/TLSのプロトコル不備や実装ミスを突いた攻撃、パーソナルデータの利用においてプライバシー情報の不適切な活用が報告されるなど、セキュリティやプライバシーに関する課題はいまだ解決されていない。
本セミナーでは、企業や組織で情報セキュリティ/プライバシー対策を担当している方を受講者として想定し、本分野に関する国際標準化とその実務に携わる専門家3名を講師として選定した。講師の方々には、各々が関連する最近のセキュリティ/プライバシー事案の紹介、国際動向、またSC27で作られたISO/IEC標準がその解決、防止にどのように役立つのか、実際にどのように使われているのか、等をご講演いただく。情報セキュリティ標準が、組織の適切で効率的なセキュリティ/プライバシー対策に役立てていただれば幸いである。
- ホーム >
- プログラム
オープニング 13:20-13:25
コーディネータ:渡邊 創(産業技術総合研究所 ITSCJ SC 27専門委員会委員長)【略歴】大阪大学大学院基礎工学研究科修了。博士(工学)。奈良先端科学技術大学院大学助手を経て産業技術総合研究所。ISO/IEC 13888-3プロジェクトエディタ等を務めた後、2012年よりSC 27専門委員会委員長。CRYPTREC暗号技術検討会構成員等を歴任。
セッション1 13:25-
情報セキュリティマネジメントシステムの活用~情報資産のリスク対策~
情報セキュリティの確立は、企業の経営の死命を制する社会環境となっている。この中で、情報セキュリティ分野におけるマネジメントシステムが、情報セキュリティマネジメントシステム(ISMS)であり、情報セキュリティの確立、実施、維持、継続的に改善によって、その企業の経営目的を達成するために、一連の要素(組織の構造、役割及び責任、計画、運用など)を規定した国際規格が、ISO/IEC 27001(JIS Q 27001)である。この規格は、組織のニーズや課題に基づいて情報セキュリティリスクアセスメント及び情報セキュリティ対応を実施するため要求事項が、改訂版 ISO/IEC27001では、新しく導入された概念やアプローチ(例えば、リスクの定義、リスク特定)を的確に把握し、より効果的に適用することにより、企業経営に貢献するISMSを構築できるポイントに焦点を当てて講演する。
講師:山﨑 哲(工学院大学)
【略歴】京都大学理学部数学科卒業後、日本IBM株式会社入社、IBMビジネスコンサルティングサービス セキュリティ最高責任者(CSO)及び個人情報保護最高責任者(CPO)等を歴任。現在工学院大学客員研究員。ISO/IEC SC27/WG1国内委員会主査。ISO/IEC 27017(Cloud security control)プロジェクトエディタ。クラウドセキュリティ・コントロール標準化専門委員会委員長。その他ISMS JIS原案作成委員会WG JISQ27001:2014副主査等を歴任。
情報セキュリティの確立は、企業の経営の死命を制する社会環境となっている。この中で、情報セキュリティ分野におけるマネジメントシステムが、情報セキュリティマネジメントシステム(ISMS)であり、情報セキュリティの確立、実施、維持、継続的に改善によって、その企業の経営目的を達成するために、一連の要素(組織の構造、役割及び責任、計画、運用など)を規定した国際規格が、ISO/IEC 27001(JIS Q 27001)である。この規格は、組織のニーズや課題に基づいて情報セキュリティリスクアセスメント及び情報セキュリティ対応を実施するため要求事項が、改訂版 ISO/IEC27001では、新しく導入された概念やアプローチ(例えば、リスクの定義、リスク特定)を的確に把握し、より効果的に適用することにより、企業経営に貢献するISMSを構築できるポイントに焦点を当てて講演する。
講師:山﨑 哲(工学院大学)【略歴】京都大学理学部数学科卒業後、日本IBM株式会社入社、IBMビジネスコンサルティングサービス セキュリティ最高責任者(CSO)及び個人情報保護最高責任者(CPO)等を歴任。現在工学院大学客員研究員。ISO/IEC SC27/WG1国内委員会主査。ISO/IEC 27017(Cloud security control)プロジェクトエディタ。クラウドセキュリティ・コントロール標準化専門委員会委員長。その他ISMS JIS原案作成委員会WG JISQ27001:2014副主査等を歴任。
セッション2 14:40-
IT製品のセキュリティ設計・テスト・評価
~ISO/IEC JTC 1/SC 27/WG 3の活動内容のご紹介~
Heartbleed、shellshock等、毎年新たな脆弱性が発見されており、セキュリティ脆弱性のデータベースであるCVEに報告された脆弱性の数は、2014年には7945件となり過去最高を記録した。脆弱性がIT製品に混入する要因は、脅威や攻撃の想定漏れ、設計ミスやコーディングエラー、不適切な構成管理等様々なものが存在するため、セキュアなIT製品開発には包括的なセキュリティ対策が不可欠となる。SC 27/WG 3では、ISO/IEC 15408等、 IT製品のセキュリティ設計、テストや評価のフレームワークを規定した国際標準を開発しており、セキュアな製品開発のためそれら標準を活用することが可能である。
本講演では SC 27/WG 3で開発されている国際標準の概要や意義、標準に基づくセキュリティ評価の仕組みに関し解説する。
講師:甲斐 成樹(情報処理推進機構)
【略歴】東京都立大学大学院理学研究科修了。2006年独立行政法人情報処理推進機構入構。2010年よりISO/IEC SC27/WG3国内委員会主査、国際の場では、2013年よりISO/IEC SC27/WG3 Vice-Convenorを務める。
~ISO/IEC JTC 1/SC 27/WG 3の活動内容のご紹介~
Heartbleed、shellshock等、毎年新たな脆弱性が発見されており、セキュリティ脆弱性のデータベースであるCVEに報告された脆弱性の数は、2014年には7945件となり過去最高を記録した。脆弱性がIT製品に混入する要因は、脅威や攻撃の想定漏れ、設計ミスやコーディングエラー、不適切な構成管理等様々なものが存在するため、セキュアなIT製品開発には包括的なセキュリティ対策が不可欠となる。SC 27/WG 3では、ISO/IEC 15408等、 IT製品のセキュリティ設計、テストや評価のフレームワークを規定した国際標準を開発しており、セキュアな製品開発のためそれら標準を活用することが可能である。
本講演では SC 27/WG 3で開発されている国際標準の概要や意義、標準に基づくセキュリティ評価の仕組みに関し解説する。
講師:甲斐 成樹(情報処理推進機構)【略歴】東京都立大学大学院理学研究科修了。2006年独立行政法人情報処理推進機構入構。2010年よりISO/IEC SC27/WG3国内委員会主査、国際の場では、2013年よりISO/IEC SC27/WG3 Vice-Convenorを務める。
セッション3 16:10-
パーソナルデータ活用とプライバシー関連国際規格
~ISO/IEC JTC 1/SC 27/WG 5の活動内容のご紹介~
パーソナルデータの活用による経済成長が望まれる中、個人情報保護法は12年ぶりの改定を迎えようとしている。しかし、個人情報保護法はプライバシー尊重の行政法的な一側面でしかなく、「安心・安全」にパーソナルデータを活用するためには、国際的に平仄のとれた行動規範が求められている。ISO/IEC JTC 1/SC 27/WG 5では、ISO/IEC 29100Privacy Frameworkをベースにした様々なプライバシー関連規格を策定・策定中であり、これらを活用することによって、企業は独自に対策するよりも大幅な効率化が可能であると考えられる。
本講演では SC 27/WG 5で開発されている国際標準の概要や意義、標準に基づくプライバシー対策の仕組みに関し解説する。
講師:崎村 夏彦(野村総合研究所)
【略歴】一橋大学経済学部を卒業後、野村総合研究所入社、同社上席研究員、ISO/IEC SC 27/WG 5主査。米Kantara Initiative理事、米OpenID Foundation理事長、経産省パーソナルデータWG 委員等を歴任。OpenID Connect、JSON Web Signature (JWS)、JSON Web Token (JWT)などの著者として、ISO/IEC以外での標準化活動も活発に行なっている。
~ISO/IEC JTC 1/SC 27/WG 5の活動内容のご紹介~
パーソナルデータの活用による経済成長が望まれる中、個人情報保護法は12年ぶりの改定を迎えようとしている。しかし、個人情報保護法はプライバシー尊重の行政法的な一側面でしかなく、「安心・安全」にパーソナルデータを活用するためには、国際的に平仄のとれた行動規範が求められている。ISO/IEC JTC 1/SC 27/WG 5では、ISO/IEC 29100Privacy Frameworkをベースにした様々なプライバシー関連規格を策定・策定中であり、これらを活用することによって、企業は独自に対策するよりも大幅な効率化が可能であると考えられる。
本講演では SC 27/WG 5で開発されている国際標準の概要や意義、標準に基づくプライバシー対策の仕組みに関し解説する。
講師:崎村 夏彦(野村総合研究所)【略歴】一橋大学経済学部を卒業後、野村総合研究所入社、同社上席研究員、ISO/IEC SC 27/WG 5主査。米Kantara Initiative理事、米OpenID Foundation理事長、経産省パーソナルデータWG 委員等を歴任。OpenID Connect、JSON Web Signature (JWS)、JSON Web Token (JWT)などの著者として、ISO/IEC以外での標準化活動も活発に行なっている。