| エンタープライズ:ニュース | 2002/10/29 19:52:00 更新 |
セキュリティコミュニティーの実現に向け、「PacSec.JP」開催へ
セキュリティ専業企業のSIDCは、従来より展開してきたコンサルティングやセキュリティシステム設計・構築といった事業に加え、セキュリティ教育事業を本格化させる。さらに、カナダで開催されている「CanSecWest」の日本版となるセキュリティカンファレンス「PacSec.JP」を開催する予定だ。
SIDC(Secure Infrastructure Design)は2001年8月に設立された、セキュリティに完全にフォーカスした企業だ。同社はこのたび、国内でのセキュリティ事業を本格的に開始する方針を明らかにした。
昨今では、NECや富士通、日立製作所といった国内大手ベンダーからコンサルティング企業、システムインテグレータにいたるまで、「セキュリティ」を事業戦略の一部に組み入れない企業はないといってもいいほどだ。この中にあって、決して規模が大きいとはいえないSIDCの強みは「人材」。国際的な情報セキュリティの資格であるCertified Information Systems Security Professional(CISSP)取得者4名を擁しており、ペネトレーションテストを含む脆弱性検査やセキュリティシステムの設計・構築・運用、ポリシーに関するコンサルティングや教育トレーニングなどを提供している。
例えば同社テクニカル本部のセキュリティスペシャリスト、ケン・インクスター氏は、ビッグファイブに数えられるコンサルティング企業での経験を持っている。コンサルティング系企業におけるノウハウや手法に、高度なセキュリティ技術を組み合わせることによって、よりよい製品およびサービスを提供できるという。
そのうえ、「動きの遅い大企業に比べると、業界に多くのネットワークを持ち、北米とのダイレクトなコネクションがあり、小回りが効くこともメリットになる。このためわれわれは、最新の脆弱性情報をすばやく入手することができる」と、同社会長兼CEO(最高経営責任者)を務めるジム・クテニコフ氏は述べている。
「セキュリティは企業全体の問題」
これまで主に、個々のクライアントに対してセキュリティコンサルティングや教育、ポリシー作成支援などを提供してきたSIDCだが、今後は広い対象に向けた教育サービスにも力を入れていく計画だ。
この中には、セキュリティプロフェッショナルのニーズに応える、高度なセキュリティ技術/標準に関するプログラムだけでなく、企業経営陣や管理者層をターゲットに、セキュリティの重要性を訴える内容も含まれる。「セキュリティの実現には、マネジメントと技術、そして運用が欠かせない」(クテニコフ氏)という立場から、セキュリティの重要性そのものを訴える教育プログラムを展開していく計画だ。
「セキュリティに対する認識はまだ低い。しかも、IT担当者と経営陣の間には、セキュリティに対する認識のギャップがある。しかし、セキュリティはIT部門の問題ではなく、企業全体の問題なのだ」(インクスター氏)。
このギャップを埋めるため、SIDCでは企業経営陣に対し、機会損失やブランドイメージへの影響、顧客イメージなどの観点からセキュリティの重要性を説くセミナーを展開していく予定だ。さらに同社代表取締役社長を務める里吉昌博氏は、「経営陣は、問題があることは分かっていても、いったい何から手をつければいいのか分からないでいる。彼らが問題を把握し、それに取り組むための支援をしていきたい」と述べている。
ブラックハットもホワイトハットも
さらに2003年5月には、セキュリティのエキスパートによるカンファレンス「PacSec.JP」を開催する予定だ。毎年5月にカナダ・バンクーバーで行われているセキュリティカンファレンス、「CanSecWest」のコーディネータ、ドラゴス・ルジュ氏と共に計画が進められている。
ノリとしてはDefConやBlackHat Briefingsと共通の部分があるが、これらのカンファレンスが良くも悪くも大規模化しているのに対し、CanSecは「まだ小規模で、本当のテキー・ガイ(技術屋)と顔を付き合わせて話ができる」(ルジュ氏)ことが特徴と言う。
事実、一昨年および昨年のCanSecには、NmapやNessus、Snortといったツールの作者本人やHoneyNetプロジェクト関係者、アットステーク、セキュリティフォーカスなどのセキュリティアナリスト、あるいはクラックを仕掛ける側の人間など、多様なスピーカーが参加し、ディスカッションを行った。.NETやSIPのセキュリティ問題についていち早く報告がなされるなど、技術的な観点から興味深いセッションが行われただけでなく、SnortとDragon IDS、Black ICEの作者がそれぞれ技術上のつばぜり合いを行うといった具合の、楽しいエピソードもあったという。
「ブラックハットもホワイトハットもともに、顔を合わせて話し合い、どのように攻撃がなされるかを理解しなくてはならない」(ルジュ氏)。最新のカンファレンスでは、FBI関係者とドイツから参加したハッカーが名刺交換をするシーンもあったといい、参加者どうしのコミュニケーションを通じてセキュリティ・ソサエティを作り上げる場にしたい、というのが同氏の狙いだ。
この精神を引き継いで、2003年5月22日、23日に渡って「PacSec.JP」が都内で開催される予定だ。「セキュリティの問題は国際的な問題」(ルジュ氏)だけに、北米とその他の国の間の情報ギャップを埋め、速やかな知識移転を実現することが目的の1つだ。
左からSIDC代表取締役社長の里吉昌博氏、クテニコフ氏、ルジュ氏、それにインクスター氏
これとともに「日本のマネージャ層に、セキュリティ技術の重要性を認識してもらい、IT部門とのギャップを埋める」ことも目標の1つとなる。このためPacSec.JPでは、1日目を「管理者向け」の日とし、BS7799をはじめとするセキュリティ管理の標準についてプレゼンテーションを行う予定だ。一方、2日目は完全に技術にフォーカスした内容となる見込みである。
「(CanSec、PacSecは)アマチュアの野球愛好家がメジャーリーグの選手に混じって、一緒にプレイできるようなもの」(インクスター氏)。PacSec.JPの詳細は、追って専用Webサイト(http://www.pacsec.jp/、現在はまだ未公開)で紹介される予定だ。
関連リンク
SIDCCanSecWest[ITmedia]
