水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2008: パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」

WASForum Conference 2008: パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」

2008年7月4日(金曜日)

WASForum Conference 2008: パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」

1日目の最後のセッションはパネルディスカッション。あまり網羅的にメモできていないので、やりとりの一部のみの抜粋という感じになっています。

※実はPCのバッテリがピンチでメモ回数をセーブしたため、ほとんどメモしていませんでした……。orz

ちなみにパネリストは、サイオステクノロジーの山崎靖之氏、サウンドハウスの中島尚彦社長、ライフネット生命保険の中川達彦氏、奈良先端科学技術大学院大学の門林雄基氏、そしておなじみ、産総研の高木浩光氏。以下のメモでは発言者名の敬称は略させていただいています。

Webを活用したビジネスでの心構えとは?
中島

お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう

高木

今まで2回くらい出てはいるのですが……。

2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思いつつもいろいろ説明した。

経産省からプレスリリースは出ている。IPAセキュリティセンターの取り組み、情報セキュリティ白書などもある。しかし、中島社長の耳には届いていない。

認識のある人は注意してくれるのだが、認識のない人の耳には届かないという問題がある。

高木

サウンドハウスには、SQLインジェクションを知っている技術者がいたのか。

中島

2006年の時点でも最低2人はいた

高木

カカクコムの話で「技術が大切だということを知った」と言っていた。ちゃんとやれば守れると言うこと。

穴さえなければ良いのだと言うことを知っているかどうかがキーになる。

ベンダーはソリューションを売ろうとする。ハッカーセーフは有効か。

中島

……(何も言わず)。

この後、中島社長はしばらく沈黙。

あと、どなたの発言か忘れましたが、「リアル店舗では『なんか中国人が多い』とすぐ分かるが、Webではログを監視していないと分からない」という話があって印象に残っています。

セキュリティ対策、どこまでやれば適切なのか?
高木

外注と自社でだいぶ事情が違う。外注のケース、特に自治体発注で、ロクに見ずに検収してその後脆弱性発覚ということがある。

安全な作り方のスタンダードを作れば良い。

専門技術者が評価される仕組みが必要。試験ではなく、本当のプロフェッショナルをうまく評価する仕組みが必要。

中島

戦争なんだ、道路で人が倒れている。理屈抜きで助けてほしい。免許とかどうでも良い

セキュリティ対策コストは誰が負担するべきか?
中島

行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい。

中川

セキュリティ価格は消費者に転嫁されるが、消費者には区別がつかない。

NGNだと匿名性が少なくなるのではないか。

高木

(ぼそっと)NGNはダメだと思いますが

門林

Webは利用者に労働させることで安くしている。企業側が負っていたリスクも消費者に押しつけられている。

カード会社も16桁のカード番号と数桁のパスワードという脆弱な仕組みを使い続けたいために情報を隠蔽する。今のカードシステムは考え直した方が良いのかもしれない。もう Felica に変えてしまったら?

アメリカ主導の「カード」というシステムにこだわる必要はないのではないか。そうすることでリスク負担の構造も変えられるのではないか。

高木

一般市民も勉強してほしいという話があったが、話を聞くと、どうもサウンドハウスではDBにパスワードを生で格納していたということのようだ。そのような実装は非常識。

技術的な常識を全て把握していれば何も起きないはず。そういう常識を共有できる方法はないのか。

対策はしつくした、CIO、CTOができることは?
高木

セキュリティを分かっている人材を評価する仕組みをつくる。

門林

良き翻訳者になれ。経営サイドの言葉と技術サイドの言葉を両方理解すること。

中川

PDCAサイクルが重要。常にチェック、見つけたらアクションという流れを会社のプロセスに流し込む。

中島

一寸先は闇のジャングルの中にいるという認識を持つ。光がほしい。光、ガイダンスがほしい。

山崎

対策をしつくした状態が仮にあったとしても、環境が変化したら漏れが出る。

監視、モニターが必要。中川さんのPDCAの話に同意。

私の感想

中島社長に言いたかったことを高木さんが言ってくれたので、すっきりしました。:-)

中島社長はひたすら「行政が頑張れ」という主張を展開していましたが、高木さんは「既にやっている」と反論。「サウンドハウスには、SQLインジェクションを知っている技術者がいたのか」という質問はまさに核心ですが、これに「いた」と答える社長が凄い。「じゃあ、どうしてSQLインジェクションでやられたのですか?」……という質問は出ませんでしたが、その質問をしても建設的な感じの議論にはならなそうですね。

やはり認識が大きく違うのではないか、ということを再認識させられました。

……2日目に続きます。

関連する話題: セキュリティ / サウンドハウス / WASForum Conference

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト