今日はInternet Week 2016(1日目)に参加しました。
明日の2日目まで参加して、名古屋に帰る予定です。
D1 法規制とサイバー攻撃対策の動向を見抜く!
D1-1 知っておくべき法律・規制の最新動向
いくつかの細かいパートに分かれていた関係で、かなり急ぎ足でのプレゼンとなりました。
・改正個人情報保護法と電気通信事業者の個人情報保護ガイドライン
「改正個人情報保護法の施行に向けた最新動向」「電気通信分野における個人情報保護に関するガイドラインの改正の方向性」「認定個人情報保護団体制度および改正個人情報保護法への対応状況」の3つのパートに分かれていましたが、個人情報保護法の動向(匿名加工情報など)、電気通信事業者の個人情報保護ガイドラインとも、アップデート情報があまりなく、正直拍子抜けでした。
個人情報保護士とマイナンバー実務検定1級の勉強をしていたとき(約1年前)から時間が経過したものの、具体化されたものがあまりなかった印象です。
12/1追記:
見落としていましたが、11/30に改正法のガイドライン等が公示されました。
改正法の施行準備について(個人情報保護委員会のサイト)
そうか、この件があったから、参事官(講師の方)は講演直後に急いで帰られたのか…。
・その他法律関連の動向
改正電気通信事業法の書面交付義務、初期契約解除制度(特定商取引法におけるクーリングオフ制度に相当⇒但しクーリングオフ制度と一部相違あり)、適合性の原則(高齢者に不釣り合いなオプション契約の禁止など)、マイナンバー関連、改正通信傍受法など、短い時間でしたがこちらのほうが聞いていてためになりました。
改正通信傍受法の適用対象拡大のほか、2017年税制改正での国税庁への調査権限の強化(国税犯則取締法改正)など、タイムリーな話題がありました。
・プロバイダ責任制限法関連動向
(一社)日本レコード協会の方の講演ということで、プロバイダに開示を求める側からのお話でした。プロバイダとしては不用意に情報開示して利用者に訴訟を起こされるのが怖くて開示には慎重になりがちですが、判例の「お墨付き」があれば、開示もしやすくなるような気がします。
・インターネット上の違法有害情報対策啓発活動について
法規制が強化される前に啓発活動の強化を…というようなお話でした。
違法有害情報ではないので直接関係ないですが(あ、そういえば、最近話題になっているものの一部に違法有害情報もあったな…)、インターネット上の「読み手のニーズに応えているようで応えていない」アフィリエイト/広告宣伝目的のコンテンツの氾濫もなんとかしないと、そのうちネット検索での調べ物も死滅するかも…。
D1-2 サイバー攻撃2016 ~正しく見抜いて対策へ~
・昨今の標的型攻撃との向き合い方
伊藤忠商事の「ガチな日常運用」のお話でした。
有料セッションなので詳細の公表は省きますが、「最新のセキュリティソリューションよりも、意外と従来型のソリューションを『本気で使い倒す』ほうが効果があるかもしれないよ」という話は目からウロコでした。
・入れて安心していたセキュリティ対策機器が攻撃されたあの日
タイトルから「実録ナントカ」的なものを期待してしまいますが、「セキュリティ機器も攻撃されるから気を付けてね(ちゃんとアップデートしようね)」という話でした。
いや、「セキュリティ機器だから、入れた後は放っておいても安心」っていう思想の人って、そんなに多いのか…分からなくもないが、意外だ。
・Webサイトを守るためにわたしたちができること
おなじみ徳丸先生が、最近の事例のうち、CMSに関連するものを中心に解説してくださいました。
・パネルディスカッション: まだまだ気になるその他のサイバー攻撃
↑の3セッションの講師によるパネルディスカッションでした。
広告Drive by Download、ばらまき型攻撃、ランサム、Mirai、パッチ/アップデートなどをテーマにディスカッションが行われました。
パネルディスカッションの後、徳丸先生が、普通に参加者席に座って次のセッションを聞かれていたのが印象的でした。
D1-3 失敗から学ぶ、SOC/CSIRTのあり方
・イントロダクション ~セキュリティ対応の今~
・失敗から学ぶ、セキュリティ対応組織が担うべき役割
パネルディスカッションの前フリ的なセッションでした。
CSIRT構築に失敗する「あるあるパターン」を、マンガを交えて例示しました。
・パネルディスカッション:セキュリティ関連事業者が本音で語る、セキュリティ対応組織の現実
ISOG-J会員の皆さんによるパネルディスカッションでした。
パネリストの皆さんが、CSIRT、SOC、SI事業者としてのそれぞれの立場からの意見を出し合いました。
思いが溢れて、「知り合いの話によると」が途中から「うちでは」に変わる場面もちらほら…。
「専門家が何とかしてくれる(何とかしとけよ)」「銀の弾丸」話って、セキュリティに限りませんがホントにありがちです。
あと、権限を振りかざし、口出しだけして責任を待たない人の多いこと…。
・「名ばかり」にならないためのセキュリティ対応組織のあり方
最後のまとめでした。
J1 第16回日本インターネットガバナンス会議(IGCJ16)
IGCJ 16プログラム「情報の自由な流通とデータプライバシー」のご案内
Internet Week本体のセッションではないのですが、「データローカライゼーション」と「データプライバシー」というテーマに興味があったので、ついでに参加してきました。
後者について、個人情報保護法を勉強していた関係でEUデータ保護指令については知っていたのですが、各国個別の法制の統一を図る目的で一般データ保護規則(GDPR)が発効していたことについては、知りませんでした(実際の適用はまだこれから)。
日本の個人情報保護法が、EUの個人データの域外移転の十分性認定を受けることも目的の1つとして急ぎ足で改正されたにも関わらず、結局認定を受けられず…という残念な話がありましたが、同じ時期にEUでは、個人データの保護強化(とともに適用除外の条件の明確化)が進んでいたわけですね。
特に、ネットで何らかの活動をしている以上、「国際展開していないから関係ない」と油断していたらうっかり「地雷」を踏んでしまう可能性もあるので、気を付けておいたほうがよさそうです。
2日目に続きます。