情報化された組織のセキュリティマネージメントWG
2011年度活動計画
活動方針
ICT化の更なる進展に伴い、会員機関における研究、教育、業務のICT依存の割合は益々高まってきている。一方、情報セキュリティの脅威も増加しており、ネットワークからの進入・攻撃は大規模化し、業務遂行に支障をきたすこともありうる状況である。
このような状況において、ネットワークセキュリティの対策向上を目指し、本WGでは、情報センター等のBCP(Business Continuity Plan、事業継続計画)のあり方を考慮しつつ、個々の事象についてセキュリティ対策を検討し、ノウハウの共有をはかるとともに、会員をはじめとするICT管理者へ有効な情報の提供を行っていく。
活動内容
検討の効率化のため、Aグループ(前半テーマ:BCP,重要情報持ち出し、後半テーマ:クラウド,認証)と Bグループ(テーマ:DNS) に分かれ、グループごとのディスカッションとメンバ全体でのディスカッションにより検討を進めている。
[Aグループ]:BCP、重要情報持ち出し、クラウド、認証
2010年度テーマを「BCP」と「重要情報持ち出し」、2011年度テーマを「クラウド」と「認証」に設定して活動を推進している。このうちBCPについては、教育機関のBCPサンプルと資料リファレンスの作成を目指している。クラウド技術を利用した外部サービスへのメールサービスやWebサービス等のアウトソーシング、Shibboleth認証を例とするSSO環境(シングルサインオン)の構築、統合認証基盤構築のためのICカード導入など、組織における情報・人的資源の管理について、BCPおよびセキュリティの観点から事例研究、問題点抽出などを進めている。
[Bグループ]:DNS
セキュリティ向上を主眼とするDNS設定ガイドの作成を目指して検討を進めている。DNSはインターネット上のサービスを提供するために必要な技術のうち最も基礎的な要素の一つである。しかし設定およびゾーンの内容が規格を逸脱しているなど、セキュリティが脆弱である例が多く見られる。新しい規格・状況を踏まえていない古い文書が今でも流布していることが大きな原因と考えられるため、この状況を改善できるような文書の作成を目指す。活動の後半では、2011年前後に予想されるIPv4アドレス枯渇を踏まえてIPv6空間での運用や、今後需要が高まると予想されるDNSSECについても盛り込んでいく。
進め方
- 活動期間:2年6ケ月(2009/10〜2012/03)
- 会合開催:年4回、計10回程度
SS研facebookページへ