本日の情報セキュリティコラム(2014年2月21日)

TOP 平成25年度サイバーセキュリティ月間 本日の情報セキュリティコラム 本日の情報セキュリティコラム(2014年2月21日)

本日の情報セキュリティコラム(2014年2月21日)

2014年2月21日

大学のセキュリティ事情

九州大学 附属図書館付設教材開発センター アカデミッククラウド事業
平原 孝明

 通信会社、セキュリティ会社、ネットワーク機器販売会社など様々な会社を経て、今大学に勤務している。役務は、全国の大学に役立つアカデミッククラウド環境構築を推進すること。1230の大学並びに公的研究所を対象とした、ニーズ調査、現状調査を把握するために、かつてない大規模なアンケートを九州大学が中心となり実施した。多くの大学等から、多忙の中、膨大な設問数にも係わらずご回答を頂き、感謝の念に尽きない。アンケートからは、アカデミッククラウドを推進していくには、イノベーションの創造、コスト削減効果がでること、快適なネットワークインフラ整備の必要性、セキュリティ面の不安払拭をあげる大学が多かった。このあたりは、企業のそれと大きく変わらない。
 それでは、大学における情報セキュリティ対策状況はどうなのであろうか。大学に身を置く身分のため、具体的な説明は控えておくが、情報漏洩が発生すると経営が揺らぐ通信会社やセキュリティ会社よりも高い水準とは言えない気はする。大学は、いろんな意味でオープンな環境であるから教育・研究が進むのだ!!という事を聞くこともあるし、国家的に重要な研究を行っているので、厳重なセキュリティ対策が必要!!と聞くこともある。一般的に情報セキュリティ対策というと、ISMSの取得があげられる。企業では、相手先との取引基本契約を締結する際に、ISMSを取得していることが条件に定められている場合もあり、取得は珍しいことではない。
 さて、大学のISMSへの取り組みは?既に、ISMSを取得している大学に、取得理由を尋ねると、学内での情報の取り扱いの運用が社会的に見て適正であることを第三者に認証してもらうため、大学が何らかの契約をするときに相手方に信頼を認めてもらうため等をあげており、これも企業のそれと大きくは変わらない。それでは、現在のISMS取得校数はいくつぐらいあるのか。大学は、一般的に信頼されている組織で契約時にISMS等の取得が条件になることは殆どないところもあるからか、現在は20校弱である。(因みに日本の高等教育機関は、約1200校)
 私は、よく大学関係者が集まるイベントに参加するが、その中で大学関係者からは、情報セキュリティ対策をどうすればいいかわからない、格付け方法がわからないので誰かにお願いしたい、ISMSを取得した後も監査などがあるので、継続した予算の確保が難しいなどの発言をよく聞く。これも、情報セキュリティ対策で悩む企業からでてくる課題と同じと感じる。多くの企業は、予算や時間がない中、努力してこれらに対処されているので、大学も少し工夫すれば、対応は可能ではないかと個人的には考える。
 そこで提案。大学は、規模の違いはあるが組織構成や業務内容は似たところがあるのでISMSに準拠した認証を与えるコンソーシアムを形成し、お互いが監査し合う環境を構築してみたらどうだろうか。大学には、情報セキュリティに関する研究者の方も多いし、ISMS規格準拠的な実施は可能と考える。研究者の方に取っても、監査する側、監査される側の両面の経験ができ、研究促進にも役に立つのではないかと思う。情報セキュリティの格付けや運用におけるポイントの共有で情報セキュリティ対策が効率化に運用でき、コスト的にも抑えられるのではないかと思う。また、大学の情報セキュリティのレベルが上がれば、私が携わっているアカデミッククラウド環境構築の推進にも弾みがつくと考える。
 それでは、このコンソーシアムは誰が立ち上げる。私?
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

福岡県での情報セキュリティ対策の向上にむけた取り組みについて

福岡県警察本部 警部補
平原 隆

 私は、福岡県警察のサイバー攻撃特別捜査隊において、生活に必要なコンピュータをサイバー攻撃から守る仕事に従事しています。

 私たちは、企業等に対する被害の未然防止のための情報を提供し、意識の向上を図るための情報セキュリティ講習会等を開催するほか、事案発生を設定した対処訓練や発生時における被害の拡大防止と早期復旧のための助言・捜査等を行っています。

 日進月歩するコンピュータ犯罪と向かい会うためには、常に最新の知識と技術が要求されますが、このような仕事を行う中で、被害に遭った多くの企業のIT担当者と接し私が感じたのは、福岡では情報セキュリティを専門に勉強した者が少なく、IT担当者となった後も最新の知識や技術を得る教養の機会がほとんどないということでした。

 福岡全体のレベルアップを図るためには、やはり警察の力だけでなく関係機関や有識者の協力が必要となります。

 そこで福岡の学生に情報セキュリティを勉強する機会を与えて優秀な人材を育成し、地元企業で採用すること、採用後も福岡での勉強の機会と各企業間での情報交換が行える場を設け、担当者が最新の知識技術を習得し続けることが可能な環境を作ることを目的として新たな取組みを行いました。

 その一つは人材の育成に関するものです。具体的には、子供のための学習環境作りとして、IPAが学生を対象として行う「セキュリティ・キャンプ」を今年9月に開催し、学生のほか教育関係者や保護者も参加対象にしました。

 今後も、地元企業が開催や運営を通じて子供達と関わり、優秀な人材を採用できるように、関係機関や企業と調整を図っていきたいと考えています。

 二つ目は、福岡のIT従事者の情報セキュリティ知識の向上に関するものです。

 企業のIT担当者が情報セキュリティの勉強を行う機会を作るため、有識者が出張や帰省で福岡を訪れる際に、勉強会の開催を依頼し、積極的な働きかけを繰り返し行っていくことで、会場と講師は無償で協力頂ける場合も増え、企業PRが全くない参加費無料の勉強会を年間を通じて開催できるようになりました。

 また、情報交換の機会作りを促すため、各企業のIT担当者による懇親会のグループを作り、その席上に有識者や関係機関の担当者をゲストに招いて自然な形での意識向上を図っています。

 今後とも効果的な施策を積極的に取り入れ、福岡の情報セキュリティ向上とサイバー攻撃の未然防止のため、様々な活動を行っていきたいと考えています。 
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。