新闻链接：
http://www.ithome.com.tw/news/94500
新闻时间：
2015-03-16
新闻正文：
亚洲各国中，日本是相对重视资安发展的国家，台湾出身，但在日本电脑网路危机处理暨协调中心（JPCERT/CC）任职迄今近10年的资安分析师林永熙，将于4月初来台参加iThome举办的台湾资讯安全大会并担任Keynote主讲者。

林永熙不仅是日本派赴海外支援各国当地资安事件的国际级专家之一，也在JPCERT/CC负责协调资安漏洞事件处理、资安新团队筹设与培训相关事宜，也负责日本相关资安事件的紧急因应。

平时和各国资安组织都有密切联系，曾于2009年担任日本国际合作机构（JiCA）专家，派遣到东南亚的柬埔寨，协助国家资讯通信技术开发局发展该国的资通全架构；也在2012年时担任日本一般财团法人海外产业人才培育协会（HIDA）专家，也曾被派遣至缅甸的邮电部，协助处理相关资安事件。近年来，负责研究的范围更扩大到以都市安全为主要研究方向，iThome也透过书面访问的方式，第一手揭露他对日本资安防护的观察。以下为专访内容：

身为日本电脑网路危机处理暨协调中心（JPCERT/CC）的资安分析师，日本如何落实该国关键基础建设的防护？

关键基础建设是近年来重大的国家资安议题，日本就经济产业发展立场，由经济产业省带头，针对构成重要关键基础设施（CIP）的工业控制系统安全进行防护，由JPCERT/CC、CSSC（控制系统安全中心，Control System Security Center）以及IPA调查并处理资安事件、制定安全标准、认证资安设备及培育人才等。另外，就整个国家层面，则由NISC领军，制定安全基准，并且定期实施跨组织演习。

以整个亚洲地区的关键基础建设（CIP）以及关键资讯基础建设（CIIP）建设为例，各国作法有何优缺点？

「资安防护」是无国界的，许多国家重要基础设施普遍有采用外国大厂品牌、仰赖外国技术的倾向，对政府或企业而言，资讯安全有时出于较被动状态，是需注意之处。

至于各个国家因为国情不一，在资讯安全风险承受以及系统便利性的要求，各有不同的平衡点及看法，因此很难将各国的资安防护放在同一个比较基准线上做比较。

有越来越多的资安事件必须要跨国调查合作，目前日本和整个亚洲国家如何在资安事件的调查上合作？

JPCERT/CC主要靠全球各个不同CERT（电脑网路危机处理中心）做跨组织间的合作，在处理紧急资安事件上，在台湾则和技术服务中心维运的TWNCERT、中山科学院维运的TWCERT /CC以及经济部商业司负责维运的EC-CERT有密切合作。

全球CERT组织之间的合作机制，则是以尽速解决资安事件为主要命题，就各自擅长领​​域进行合作，协助解决并处理资安事件。

日本在2005年制定个资法捍卫隐私，但仍有许多大企业陆续遭骇并外泄个资，面对各界强烈的资料保护需求，应该怎么做呢？

日本当初制定个人资讯保护法，设立初旨就是希望促进企业重视并保护用户个人资讯，但不只限于网路上行为。不过，近年来，在要求提高保护用户资讯的同时，对于如何更有效利用用户资讯呼声也越来越高。

因此，日本的个人资讯保护法在今年3月，提出了新版的修正法案（但目前尚未通过），就是希望透过统一的行政管理，并且设立第三方检查机关以及设立资料库，提供追查犯罪资料时所需，让个资保护以及个资利用更进步。

您往来世界各国并拜访许多资安专家和政府官员，如何评估各国的资安防御能力的水准呢？

各个国家国情不一，在经济负担能力、资讯安全风险承受力，以及系统便利性的要求上，各有独到看法。从我的经验来看，虽然很难在同一个基准点上做评比，但可以看得出来，各国都努力强化各自的资安防护能力，尽力而为就是最棒的。

资安圈有前辈高喊「防毒软体已死」，您同意吗？

我不同意「防毒软体已死」的说法，因为防毒软体对于已知类型的恶意软体攻击，仍然有其防御能力。

什么会是下一个杀手级的资安攻防工具呢？

现在的通信、电脑网路有各个不同层次（layer），应当做的是，各个单位应当适切评量各自可支出成本及可承担风险，在各个网路层次部署适当的资讯安全产品，以达到纵深防御的效果，并且要搭配定时稽核审计，真正落实资安防护措施。

因为没有一个单一资安产品，能够全盘解决所有资讯安全问题、达到百分之百安全，目前也看不出来有什么产品会是下一个杀手级的资安产品。好的资安防护应该是要分进合击，让每一个产品都发挥最大的防护效果，并且在整体资安环境下，彼此环环相扣并发挥最大的资安防护作用。

[课程]Android-CTF解题方法汇总！