JASA 技術監査特別セミナー

最初に、当協会の永宮事務局長が「情報セキュリティ監査と技術監査」と題して、最近のサイバー攻撃の傾向から、頻度の高い技術監査が必要であること、また、情報セキュリティ監査においてどのように技術監査を用いるかについて、講演がありました。近年、サイバー攻撃の手口が高度化し、企業組織の情報が既に攻撃者に渡っていることも想定し、従来以上に重要情報へのアクセス等における特権行使などの監視を確実に行うなど、内部不正対策と同様の監査が求められていること、そのための技術監査が重要であることが強調されました。

本講演では、さらに、当協会がセールスフォースドットコムの上に開発中の監査支援ツールについて、同社のソリューションアーキテクトである内田仁史氏によるデモが行われました。

二番目に、情報セキュリティ大学院大学教授の原田要之助氏が「情報セキュリティ技術監査の方法」について講演されました。技術的監査においては、ポリシーどおりに聞きシステムが設定され、実装され、運用されているかを確認することが目的であること、このために、検査の結果を踏まえたポリシーとの比較、そして検出事項がマネジメント上のどの管理策の問題であるかを明らかにすることが必要であることを述べられました。また、技術監査としてサーバの調査、ネットワークの調査、アプリケーションの調査、クライアントの調査およびログの解析等の幅広いものがあることを紹介されました。

休憩を挟んで三番目は、株式会社富士通ソーシアルサイエンスラボラトリ　セキュリティソリューション本部の主幹エキスパートである内田康友氏による「情報セキュリティ技術監査の実践」です。

この講演では、PCI-DSSの審査を例にした技術監査の方法が紹介されました。PCI-DSSでは、技術的な管理策が詳細に定義されていることから、代表的な管理策をいくつか取り上げ、管理策の内容とその内容に即した監査の方法について、丁寧な説明が行われました。

本セミナーの最後では、フィンランドからお招きしたSSH Communications Security のSolution& Service副社長であるKalle Jȁȁskelȁinen （カッレ・ヤースケライネン）氏による「NISTに対応したSSHの監査の実際例」です。

SSHはID管理技術として米国政府で採用されています。米国政府が利用する場合には、NIST800-53のコントロールを満たす必要があります。このため、NISTIR7966でSSHの実装や監査の方法がまとめられています。講演では、英語の逐次通訳により、NISTIR7966のコントロールの一つ一つについて、そのコントロールが想定しているリスク、リスク対策の具体的な内容が説明され、SSHが提供する監査ツールの紹介がなされました。