圖片來源: 

洪政偉攝

亞洲各國中,日本是相對重視資安發展的國家,臺灣出身,但在日本電腦網路危機處理暨協調中心(JPCERT/CC)任職迄今近10年的資安分析師林永熙,將於4月初來臺參加iThome舉辦的臺灣資訊安全大會並擔任Keynote主講者。

林永熙不僅是日本派赴海外支援各國當地資安事件的國際級專家之一,也在JPCERT/CC負責協調資安漏洞事件處理、資安新團隊籌設與培訓相關事宜,也負責日本相關資安事件的緊急因應。

平時和各國資安組織都有密切聯繫,曾於2009年擔任日本國際合作機構(JiCA)專家,派遣到東南亞的柬埔寨,協助國家資訊通信技術開發局發展該國的資通全架構;也在2012年時擔任日本一般財團法人海外產業人才培育協會(HIDA)專家,也曾被派遣至緬甸的郵電部,協助處理相關資安事件。近年來,負責研究的範圍更擴大到以都市安全為主要研究方向,iThome也透過書面訪問的方式,第一手揭露他對日本資安防護的觀察。以下為專訪內容:

身為日本電腦網路危機處理暨協調中心(JPCERT/CC)的資安分析師,日本如何落實該國關鍵基礎建設的防護?

關鍵基礎建設是近年來重大的國家資安議題,日本就經濟產業發展立場,由經濟產業省帶頭,針對構成重要關鍵基礎設施(CIP)的工業控制系統安全進行防護,由JPCERT/CC、CSSC(控制系統安全中心,Control System Security Center)以及IPA調查並處理資安事件、制定安全標準、認證資安設備及培育人才等。另外,就整個國家層面,則由NISC領軍,制定安全基準,並且定期實施跨組織演習。

以整個亞洲地區的關鍵基礎建設(CIP)以及關鍵資訊基礎建設(CIIP)建設為例,各國作法有何優缺點?

「資安防護」是無國界的,許多國家重要基礎設施普遍有採用外國大廠品牌、仰賴外國技術的傾向,對政府或企業而言,資訊安全有時出於較被動狀態,是需注意之處。

至於各個國家因為國情不一,在資訊安全風險承受以及系統便利性的要求,各有不同的平衡點及看法,因此很難將各國的資安防護放在同一個比較基準線上做比較。

有越來越多的資安事件必須要跨國調查合作,目前日本和整個亞洲國家如何在資安事件的調查上合作?

JPCERT/CC主要靠全球各個不同CERT(電腦網路危機處理中心)做跨組織間的合作,在處理緊急資安事件上,在臺灣則和技術服務中心維運的TWNCERT、中山科學院維運的TWCERT/CC以及經濟部商業司負責維運的EC-CERT有密切合作。

全球CERT組織之間的合作機制,則是以盡速解決資安事件為主要命題,就各自擅長領域進行合作,協助解決並處理資安事件。

日本在2005年制定個資法捍衛隱私,但仍有許多大企業陸續遭駭並外洩個資,面對各界強烈的資料保護需求,應該怎麼做呢?

日本當初制定個人資訊保護法,設立初旨就是希望促進企業重視並保護用戶個人資訊,但不只限於網路上行為。不過,近年來,在要求提高保護用戶資訊的同時,對於如何更有效利用用戶資訊呼聲也越來越高。

因此,日本的個人資訊保護法在今年3月,提出了新版的修正法案(但目前尚未通過),就是希望透過統一的行政管理,並且設立第三方檢查機關以及設立資料庫,提供追查犯罪資料時所需,讓個資保護以及個資利用更進步。

您往來世界各國並拜訪許多資安專家和政府官員,如何評估各國的資安防禦能力的水準呢?

各個國家國情不一,在經濟負擔能力、資訊安全風險承受力,以及系統便利性的要求上,各有獨到看法。從我的經驗來看,雖然很難在同一個基準點上做評比,但可以看得出來,各國都努力強化各自的資安防護能力,盡力而為就是最棒的。

資安圈有前輩高喊「防毒軟體已死」,您同意嗎?

我不同意「防毒軟體已死」的說法,因為防毒軟體對於已知類型的惡意軟體攻擊,仍然有其防禦能力。

什麼會是下一個殺手級的資安攻防工具呢?

現在的通信、電腦網路有各個不同層次(layer),應當做的是,各個單位應當適切評量各自可支出成本及可承擔風險,在各個網路層次部署適當的資訊安全產品,以達到縱深防禦的效果,並且要搭配定時稽核審計,真正落實資安防護措施。

因為沒有一個單一資安產品,能夠全盤解決所有資訊安全問題、達到百分之百安全,目前也看不出來有什麼產品會是下一個殺手級的資安產品。好的資安防護應該是要分進合擊,讓每一個產品都發揮最大的防護效果,並且在整體資安環境下,彼此環環相扣並發揮最大的資安防護作用。

 

相關報導請參考:「臺灣資安大會現場直擊」

熱門新聞

Advertisement