Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

Equifax事件は、やらないCEOへの警鐘

ムーディーズの格付けが「大型情報流出事件」を理由に引き下げられたのは、多くの経営陣にとって警鐘と言えるかと思います。そしてそれは日本でも同じです。

japan.zdnet.com

 

Moody'sがEquifaxの格付け見通しを引き下げた。1億4000万件を超えるユーザー記録の盗難につながったセキュリティ侵害を理由に挙げている

 CNBCが報じたところによると、Moody'sは先週、Equifaxの見通しを「安定的」から「ネガティブ」に引き下げることを決定した。

(中略)

 Apache Strutsプロジェクト管理委員会は当時、このデータ流出の背後にいる攻撃者が「パッチの当てられていないEquifaxサーバーに対して、先に発表された脆弱性を使用したか、あるいは現時点では未知の脆弱性を悪用した」と述べた。Equifaxはその後、データ流出が発生する2カ月前にこのバグが開示され、パッチが公開されていたにもかかわらず、システムにパッチが適用されていなかったことが問題だったと明かした。

 つまり、この情報流出は防ぐことが可能だった。この事実は現在もEquifaxに影を落としている。

(中略)

 Moody'sの広報担当者はCNBCの取材に対して、「見通しを変更する理由としてサイバー関係の問題を挙げたのは今回が初めてであるため、わが社はこれを重要な問題として取り扱っている」と述べ、「情報漏えいの影響が格付け見通しの変更の要因になるほど大きくなったのは、これが初めてのことだ」と続けた。

ZDnet記事より引用)

 

◆キタきつねの所感

セキュリティに一番厳格であるべきクレジットスコア等のサービスを提供するEquifaxへのデータ侵害が、Apache Struts2のパッチを2カ月当ててなかった事だったのは、当時衝撃的でした。

日本だとApache Struts2脆弱性を突かれGMO-PGとぴあが大きな被害を受けました。中でもGMO-PGは、かなり早い対応を取ったにも関わらず(運悪く)、冷静に考えると0ディ攻撃だったと言えるにも関わらず、関係各所から非常に叩かれていたのを思い出します。

 

※因みに、GMO-PGの後に事件を発表した(同時期に攻撃を受けていた)ぴあは、事故対象アワードを受賞していますが、私は未だに、この賞を(この年)受賞すべきだったのはGMO-PGであったと思います。

news.mynavi.jp

 

参考記事:

情報セキュリティ事故対応アワード - Fox on Security

 

 

本題に戻すと、パッチ当てが遅れた事により、大きな被害(1億4000万件)を受けた事について、企業は責任を問わされ始めています。少し前では考えられなかった程のペナルティが課された、このムーディーズの格付け変更はそう受け止める事ができます。

 

これは、日本に特に多い(気がする)セキュリティへのコストを渋る経営陣に対する警鐘と考える事もできます。

 

海外ではこうした大型インシデントをきっかけに、経営陣がセキュリティを経営課題との認識を強めつつあり、それは情報セキュリティ担当の役員(CSO・CISO等)の平均給与水準(※下記一例)にも表れているかと思います。

f:id:foxcafelate:20190601063032p:plain

 

因みに上記のサイトが示すCISOの平均年収は、日本円で約2000万円となります。サイバーインシデントのビジネスへの影響を考慮して、こうした専門性の高い上級役員を置かないのであれば、もしかすると近い将来のインシデントの責任を、CEOが(CISO等を置かなかったが故に)取らなければならない。そんな認識が海外企業には多いかと思います。併せて、サイバーセキュリティ保険の加入率も高くなってきている様です。

 

振り返ってみて、日本のCISOは、私がお会いした方、あるいは聞き及んでいる限りでは、なんちゃってCISOが多い気がします。情報セキュリティの担当課長・部長…場合によっては担当が、CISOとして任命されている姿を見聞きすると、サイバーセキュリティ経営ガイドラインに書かれているから・・・といった形だけの役職任命は、いつか大きな問題になる気がします。

 

社長(CEO)は、サイバーセキュリティが経営課題である事を理解し、サイバーセキュリティへ向き合う必要がある訳ですが、CISO等に正しい権限を振らない(なんちゃって)のであれば、インシデントが発生してしまった場合は、社長あるいは経営陣がその責任を問われる可能性がある、そんな風にこのムーディズの記事を改めて考える必要がありそうです。

 

 

参考記事:

大きなインシデントは株式市場が教えてくれる? - Fox on Security

Equifaxのインサイダー取引事件の判決 - Fox on Security

 

 

 

f:id:foxcafelate:20190601061222p:plain

更新履歴

  • 2019年6月1日AM(予約投稿)