Vanguard Security & Compliance (VSC) 2022 参加手記より (Part I)

カンファレンスのイメージ

Vanguard Security & Compliance (VSC) 2022は、民間企業と政府機関の両方からグローバルなサイバーセキュリティリーダーを集めて、IBM zSystemsを保護と防御するための、最も完全な知識ベースのトレーニングを提供します。昨年に続きブロードからの参加者の手記を通して二回に分けて情報共有いたします。

VSC2022 開催

去る9月12日~15日、米国ダラスフォートワースでVanguard Security & Compliance 2022が開催されました。コロナ収束に伴い昨年の2倍以上の200名強が現地参加、さらにリモート参加者を含めた一大イベントになりました。ブロードからの現地参加は3年振りでしたが、プレゼンテーターが世代交代しており、各々のセッションは質問者にキャンディーを投げて渡す米国スタイル?で、若い人たちも積極的に参加する和やかな雰囲気でした。Vanguard社は企業として大学で「メインフレーム講座」を設けており、卒業生を20名ほどインターンで採用するといった意識改革などもありました。

6つのテーマ

今回開催されたセッションテーマは以下の6種で、セキュリティに関する入門編、上級編、管理者編など学習を主体としたセッションのほか、今後の暗号化やRACFの方向性など、米国IBM社からも多くのプレゼンがあり、合計70セッションが開催されました。(括弧内はセッション数)

  • Basic Administration(14)
  • Beyond the Basics(10)
  • Compliance, Audit & Security(14)
  • Crypto & More(10)
  • Enterprise Security Managers(9)
  • Vanguard Security Solutions(13)

システムの傾向

メインフレームの重要性は現在でも健在で、米国およびヨーロッパのトップ55銀行のうち44行、同じく大手小売25社中の23社はz/OS上で重要資産が稼働していると言います。

サイバーセキュリティの被害は拡大しており、これに費やされる予算も増加していますが、興味深い点はITで実際使われる予算の75%がIT部門からの申請ではなく、他の業務部門からの予算申請とのことです。つまり、IT技術を利用しないとビジネスにならない業務がコアのITだけでなくビジネスアプリケーション、業務、エンドポイント管理などに拡大しているということになっています。

2021年はサイバー侵害ではアイデンティティ詐欺による損失が最大で、560億ドルに達しました。メインフレームも決して例外ではないことも理解しておく必要があります。

基調講演

今回、VSC 2022 ではセキュリティ全般について、2つの基調講演が行われました。内容的に有意義だと思いますのでそれぞれのダイジェストを2回に分けてご紹介します。

It‘s Always About the Data(Mr. Andrew Neal氏のセッション)

組織は、いっそう細分化されたレベルでのデータの保護や監査、管理をする必要があります。ランサムウェアや、規制の圧力、消費者の期待などの脅威によって、データのライフサイクルの制御がより重要な優先事項になっています。

同時に、データ環境はさらに複雑化しています。デジタルトランスフォーメーションは多くの場合、ビジネスユニットレベルでシステムのより迅速な展開を推進し、絶え間なく急速に進化するデータランドスケープを創造しています。データ分析は、あらゆるビジネスプロセスの重要な部分になりつつあります。従って、このデータを管理、監査、および保護する機能は、これまで以上に重要になっています。

このプレゼンテーションでは、データランドスケープの進化を推進する力と、それがリスク管理、プライバシー、および監査の専門家にとって何を意味するかについて説明しています。ディスカッションには、この急速に変化する技術環境における管理、保護、および監査の戦略が含まれます。

講師はもともとはプログラマーで、メインフレーム時代からキャリアを始め、その後セキュリティ事件の捜査サービスで、エンロン社や大手メーカの法的捜査に関する業務、コンサルティングなどを経由して、現在はGartnerのバック支援アドバイザーです。自身の長い経歴で、現在は世界がすべてデータで成り立ち、データに支配されている状況と考え、そのデータを保護する重要性を説いています。

データ保護に関して3つの重要なポイントとして、

  1. Shaping User Behaviour(ユーザの行動を制御)
  2. Comprehensive Data Management(完全なデータ管理)
  3. Comprehensive ID Management(完全なID管理)

例として、旅客機が一回飛行する平均距離で全てのデバイス類からあがってくるデータ量は1時間あたり24TB、これが世界中で一日にどれだけ発生しているか。しかし、データの所在とその複製の所在、実際どこにどの重要なデータが存在し、保存されているかの不確実性は否めません。

FaceBookのSEにインタビューしたところ、「ユーザのパーソナルデータがいったいどこに保存されているか全くわからない」と回答したそうです。現行の米国監査基準では、「データの所在が正確に回答出来ない時点で、そのデータが訴訟対象、例えば重要データ、であると即法的には敗訴」となるくらいシステムの管理=経営責任、とみなされています。

Vanguardについてくわしくはこちら

シェアする

  • このエントリーをはてなブックマークに追加

フォローする