 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
「セキュリティ担当者はCSOか、それともCROか」シマンテックのニキエル氏 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
「RSA Conference 2005 Japan」では、シマンテック執行役員副社長マーケティング本部長のチャールス・ニキエル氏が「セキュリティ業界を再考する~シマンテックからの提案~」と題して基調講演を行なった。 まず、ニキエル氏は「セキュリティ担当者の価値をもう一度見直す」として、「セキュリティ担当者とは何者なのか。CSO(セキュリティ最高責任者)と呼べばいいのか、CISO(情報セキュリティ最高責任者)と呼べばいいのか、はたまたCRO(Chief Risk Officer:リスク管理最高責任者)なのだろうか」と会場に問いかける。 ● セキュリティ対策を取り巻く状況に変化
具体的な脅威については、CodeRedやSlammerなどのウイルス被害を強調。2004年の例として、発生の前日に公開された脆弱性を突く「Witty.Worm」を紹介し、「いわゆる“ゼロデイアタック”がいつ発生してもおかしくない状況だ」と分析した。また、現在シマンテックで検知している50%以上のウイルスは情報漏洩を伴うものだとも付け加えた。 さらに、スパムメールやフィッシング詐欺などに関して「大量に送り付けられるスパムメールは、単なる嫌がらせではなくなってしまった。フィッシングメールも悪意のあるスパムの申し子と言えるだろう。最近では、hostsファイルを書き換えるなど、悪質なコードを標的のPCに植え付けるファーミングという技法も出現した。正規のサイトだと思っていたら、実はハッカーとやり取りしてしまったという事例もある」という。 攻撃目的の変化もある。「これまではいたずらやハッカー的な名声のためにウイルスなどが作成される事例が少なくなかったが、フィッシングやファーミングは明らかに金銭目的だ。DoS攻撃に地政学的な問題が含まれている場合もある」。 ● セキュリティ担当者はCROになるべき。幅広いリスク管理が重要 「従来は、脅威に対する認識があまりにも狭かった」とニキエル氏。「PCなどのデバイスだけでなく、幅広く情報そのものを守るということを教訓として学んだ。情報はインフラやハードウェア、アプリケーションそのものよりも価値がある。我々は情報化社会に住んでおり、情報そのものが商品にもなっているのだ」という。こうした幅広い範囲をカバーするセキュリティ対策を実施するには、「環境を理解(Understand)、行動(Act)、管理(Control)のサイクルと継続的に行なう必要がある」とコメント。継続することで、事後反応的な対策ではなく、事前に対策可能になるとし、復旧もすばやく行えるというのだ。 「セキュリティ担当者は、単なるセキュリティのプロに止まるのではなくリスク管理が重要だ。CSOやCISOの立場はより高い役割を担うようになった。むしろ戦略や基準、ポリシー、監査、法令順守を担当しなければならない」とニキエル氏。つまり、セキュリティ担当者はCRO(リスク管理最高責任者)として幅広く活動する必要に迫られているという。 最後に「今後は、シマンテックも単なるセキュリティベンダーではなく、リスク管理に注力する。情報に対する脅威はますます高まり、ハードやソフトのセキュリティに止まることなく、情報を守るという視点を持たなければならない。プライバシー保護の観点も必要だ」とコメントし、講演を締めくくった。 関連情報 ■URL RSA Conference 2005 Japan http://www.medialive.jp/events/rsa2005/ ■関連記事 ・ セキュリティソフト「BlackICE」の脆弱性を狙ったウイルス「Witty.A」が拡大中(2004/03/22)
( 鷹木 創 )
- ページの先頭へ-
|
