Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

「セキュリティ担当者はCSOか、それともCROか」シマンテックのニキエル氏


 「RSA Conference 2005 Japan」では、シマンテック執行役員副社長マーケティング本部長のチャールス・ニキエル氏が「セキュリティ業界を再考する~シマンテックからの提案~」と題して基調講演を行なった。

 まず、ニキエル氏は「セキュリティ担当者の価値をもう一度見直す」として、「セキュリティ担当者とは何者なのか。CSO(セキュリティ最高責任者)と呼べばいいのか、CISO(情報セキュリティ最高責任者)と呼べばいいのか、はたまたCRO(Chief Risk Officer:リスク管理最高責任者)なのだろうか」と会場に問いかける。


セキュリティ対策を取り巻く状況に変化

シマンテックのニキエル氏
 この問いに対する回答は、セキュリティ対策を取り巻く現状にある。ニキエル氏は、現状のセキュリティ問題として、コストや技術的な問題だけでなく「携帯電話や無線機器などPCだけでなく、また、PCであってもWindowsやLinuxなど異なるOSや機種が混在するヘテロジニアスな環境であること」「個人情報保護法などのコンプライアンス(法令遵守)に関連する問題のプライオリティが上がっていること」などを指摘した。

 具体的な脅威については、CodeRedやSlammerなどのウイルス被害を強調。2004年の例として、発生の前日に公開された脆弱性を突く「Witty.Worm」を紹介し、「いわゆる“ゼロデイアタック”がいつ発生してもおかしくない状況だ」と分析した。また、現在シマンテックで検知している50%以上のウイルスは情報漏洩を伴うものだとも付け加えた。

 さらに、スパムメールやフィッシング詐欺などに関して「大量に送り付けられるスパムメールは、単なる嫌がらせではなくなってしまった。フィッシングメールも悪意のあるスパムの申し子と言えるだろう。最近では、hostsファイルを書き換えるなど、悪質なコードを標的のPCに植え付けるファーミングという技法も出現した。正規のサイトだと思っていたら、実はハッカーとやり取りしてしまったという事例もある」という。

 攻撃目的の変化もある。「これまではいたずらやハッカー的な名声のためにウイルスなどが作成される事例が少なくなかったが、フィッシングやファーミングは明らかに金銭目的だ。DoS攻撃に地政学的な問題が含まれている場合もある」。


セキュリティ担当者はCROになるべき。幅広いリスク管理が重要

 「従来は、脅威に対する認識があまりにも狭かった」とニキエル氏。「PCなどのデバイスだけでなく、幅広く情報そのものを守るということを教訓として学んだ。情報はインフラやハードウェア、アプリケーションそのものよりも価値がある。我々は情報化社会に住んでおり、情報そのものが商品にもなっているのだ」という。

 こうした幅広い範囲をカバーするセキュリティ対策を実施するには、「環境を理解(Understand)、行動(Act)、管理(Control)のサイクルと継続的に行なう必要がある」とコメント。継続することで、事後反応的な対策ではなく、事前に対策可能になるとし、復旧もすばやく行えるというのだ。

 「セキュリティ担当者は、単なるセキュリティのプロに止まるのではなくリスク管理が重要だ。CSOやCISOの立場はより高い役割を担うようになった。むしろ戦略や基準、ポリシー、監査、法令順守を担当しなければならない」とニキエル氏。つまり、セキュリティ担当者はCRO(リスク管理最高責任者)として幅広く活動する必要に迫られているという。

 最後に「今後は、シマンテックも単なるセキュリティベンダーではなく、リスク管理に注力する。情報に対する脅威はますます高まり、ハードやソフトのセキュリティに止まることなく、情報を守るという視点を持たなければならない。プライバシー保護の観点も必要だ」とコメントし、講演を締めくくった。


関連情報

URL
  RSA Conference 2005 Japan
  http://www.medialive.jp/events/rsa2005/

関連記事
セキュリティソフト「BlackICE」の脆弱性を狙ったウイルス「Witty.A」が拡大中(2004/03/22)


( 鷹木 創 )
2005/05/13 17:12

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.