JBPressの7Payの記事がよく事件背景がまとまっていました。しかし提言の部分にはちょっと違和感があったので少し考えてみます。
jbpress.ismedia.jp
4.提言
(1)適任者に求められる資質
では適任者とはどのような人物なのか。セキュリティビジネスには通常の商取引とは全く異なった資質が必要である。その資質は次の通りである。
①サイバーセキュリマネージャー(プロジェクトマネジャー)は、ハッキングのエキスパートでなければならない。ハッキングのエキスパートのみが防護施策を開発し得るからである。
②この適任者は社長直轄でなければならない。中間管理者は不要である。
③ハッキングは常に最新のものであるためサイバーセキュリティに係る関係者は全員が最新のシステムやサイバーセキュリティエキスパートでなければならない。
④最近のシステムはネットワーク化されておりサイバーセキュリティの関係者は関係するシステムの細部にわたるまで把握し、可能ならば脆弱性についても承知しておくことが望ましい。
また、システム連接ポイントが脆弱ポイントとなることが多いことを忘れてはならない。
(JBPress記事より引用)P8
◆キタきつねの所感
元の7Payの記事、よくまとまっていて前半部分は納得する部分も多いです。既に7Pay情報はお腹いっぱいの方も多いかと思いますが、キャッシュレス決済対応を急いでいた背景、事件の推定原因(リスト型攻撃、2段階認証未実装、7idの脆弱性、企業トップのセキュリティ意識の希薄さ・・)は、他社の参考になる部分も多いかと思います。
一方で、提言(まとめ)部分について、普段当ブログで勝手な事ばかりを書き連ねている私が言うべき事ではないかも知れませんが、日本の現実と乖離しているなぁと、少し残念でした。
提言(1)適任者に求められる資質
この基準だと日本の多くのプロジェクトは破綻します。
書かれている内容は、あるべき論で言えば正論です。サイバーセキュリマネージャーなる役職を持っているプロジェクトがどの程度あるかについては非常に疑問・・・というよりかは”無い”と思いますが、ここについてはかっこ書きでプロジェクトマネージャー(PM)と書かれているので、(新規キャッシュレススキーム立ち上げPJ等)大型案件のPMがどんな人間が相応しいのか、という意味かと思います。
まず、PMが①ハッキングのエクスパートである事を求められた瞬間に、日本のプロジェクトの半分以上が止まる気がします。更に言えば、ハッキング知見のあるプロジェクトマネージャーである事が必要となりますので、対象者はプロジェクトを『管理する能力』を持つ事も必要となります。この時点で控えめに言って9割以上のプロジェクトが止まります。
さらにこのPM対象者は、②社長直轄であって、中間管理者(上長)が無い事を求められています。社長直轄である事は、予算やセキュリティについて直接経営層と話す事で経営層の判断がスピーディかつ正しくなる事につながるので良い部分も多いかと思います。
しかし、逆に考えると、経営層に丁寧にかみ砕いて説明できる『高度な説明能力』も求められている事を示唆しています。それって・・・CISO(Chief Information Security Officer 最高情報セキュリティ責任者)レベルですよね?
このPM・・・まず対象者が日本に何人くらいいるのでしょうか?
自社に対象候補がいない場合に、他社から引っ張ってくる事もアリだとして、どの程度の給与を払うべき人財でしょうか?
私はハッキング能力が必須といった時点で、それを満たすCISOはオールマイティのスーパーマンだと思います。おそらくこの手の能力を持つ有能な方々は、海外で高給の条件でCSO/CISO/CTO辺り、もしくはトップコンサルで迎えられるレベルの方々なのではないでしょうか?
日本のCISOは、なんちゃってCISOである事が多いと言われています。また役員会で発言が出来るのがCISO(役員級)の役職と海外では見なされていますが、日本では役員ではないレベルの方がその責務を負っている事も多いかと思います。
こうした現状を考えると、重要な(キャッシュレス)戦略プロジェクトだからといって、理想的で万能なCISOが必須だと説くよりも、その役目を分散する(外注コンサルや、外部ベンダーを上手に使う事も含めて)事で、セキュアなフレーム(システム)を実現する事の方が、今の日本の事情には合っている気がします。
余談です。③④はCISO(PM)以下のプロジェクト担当者への要件となりますが。全員が最新システムやサイバーセキュリティのエキスパートでなければならない・・・・素晴らしい理想ではありますが、全員という所に無理を感じます。私は単に運用やプログラムしかかけない担当が居たとしても、それをセキュリティ視点でチェックできる担当者が複数人、その経過(レビュー)ポイントで入っていれば、リスクは歩い程度抑えられると思います。それが難しい、あるいは絶対的に失敗が許されない様な日程感であるならば、外部ソースを使ってリスク評価をさせて、その部分を埋めれば良いのではないでしょうか。
7Payの失敗を契機に、セキュリティ面(チェック体制)を見直す企業が出てくるのはとても良い事だと思います。しかし、CISOが不在(育成も出来てないし、その仕事に見合った対価を渡せる文化も醸成されてない)な問題について改めて議論になっているかと言えば、そうではなく、まだまだ、理想が現実に近づくのには時間がかかる状況なのかなと思います。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴