Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

事件を受けて前を向くには

昨年大型の情報漏えい事件があったEquifaxが、新たなCTOを雇用したとのニュースがZdnetに出ていました。

japan.zdnet.com

 米信用情報大手のEquifaxは米国時間6月14日、IBM WatsonおよびIBMクラウドプラットフォーム担当の元最高技術責任者(CTO)Bryson Koehler氏をCTOに指名したことを発表した。

 

 Koehler氏は、「AIは、データがどのように使われるかということにおいて大きな可能性を解き放っている。そしてクラウドベースのAIテクノロジは、安全で信頼性のあるデータ主導の製品を開発するにあたって変革をもたらすものとなる」と述べた。「Equifaxがデータ主導技術のリーディングカンパニーになるチャンスを感じている。素晴らしい才能が集まったチームに参加し、Equifaxが変革を加速してインサイト予測におけるリーダーとなるよう活性化させていくことを喜ばしく思っている」

Zdnet記事より引用)

 

◆キタきつねの所感

Equifax事件と言えば、日本では信用情報の巨大なDBを抱える同じような業態が無いためか、あまり話題になりませんでしたが、米国では、セキュリィがしっかりしていると思われていた大手企業から人口の約半分の個人情報が漏えいしたという事もあり、2017年を代表するデータ侵害事件であると言われていまます。この事件では事件自体の対応の遅さ(Apache Struts2脆弱性を放置)もさる事ながら、事後対応も後手後手に廻った感があり、上級役員のインサイダー取引疑惑、フィッシングサイトの乱立、Acrobat脆弱性などの責任を取ってCEOやCSOが辞任する事態にまで発展し、今なお多くの集団訴訟を抱えています。

 

そんな中、建て直しを期待されたのが新CTOBryson Koehler氏です。Linkedinの経歴を見ると、

f:id:foxcafelate:20180624101709j:plain

直接的にセキュリティを統括するCSO/CIOではありませんが、間接的な面も含めて全世界の情報技術戦略と開発を担当する事、及び分析チームを率いて新たな価値を顧客やパートナーに早く提供するミッションを任されている事がわかります。

過去の経歴を見みると・・・

f:id:foxcafelate:20180624102218j:plainIBM人工知能ワトソンやクラウドプラットフォームを担当していたCTO(1年8ヶ月)であり、それ以前の経歴を見ても、Weather CompanyでCTO/CIO(4年5ヶ月)であったりと、非常に有能な新役員である事が伺えます。

 

Equifaxの事後対応の不備については、一時期(元)CSOの学歴問題がとりざたされました。(元CSOの最終学歴がジョージア大学の作曲専攻であった事が原因ですが、職歴を見ると別な会社でCSOとして働いていたこともあり、収束していきました)

techtarget.itmedia.co.jp

現在のEquifaxのCISOは、元HomeDepot(2年11ヶ月)やTimes Warner(8ヶ月)でCISOを勤めたJami Farshchi氏ですが、実務面はともかく、大きな事件を起こした後の対外的なインパクトを払拭するという意味では、「元IBMでワトソン」の最高技術責任者という肩書きは非常に大きかった気がします。

いわゆるAIを使ったビックデータ分析というEquifaxの将来が期待される分野に対して良い補強が出来たと共に、事件を受けて大きくなった「セキュリティは大丈夫だろうか」という顧客や市場の大きな不安に対しては1つのフィードバックになったと言えそうです。

 

因みに・・・アメリカのCTOの平均給与はどのくらいかな・・と調べてみたのですが、

f:id:foxcafelate:20180624103457j:plain

Pay Scale社のデータだと、平均で$154,123(約1,700万円)と出ていました。IBMから引き抜きした新CTOは上の図の上位の方だとは思いますが。。。

 

同じサイトでCTOの平均給与を見てみると、

f:id:foxcafelate:20180624103819j:plain

CTOと同じで約1,700万円と出ます。

※優秀なCISOになると最近は事故も多発しているので責任が重くなってきており、2,000万円以上が最低ラインであると良く聞きます。

 

大きなデータ侵害事件が起きると、その対策としてシステムや機器を導入する事が一般的です。勿論、早期にビジネス影響を回復する為には必要な事ではあるのですが、事件を起こさせないため、あるいは事件後の影響を軽減するためには、人への投資(必ずしも役員だけでなくIT部門の待遇も含め)が重要なのではないでしょうか。

 4月に発表した最新の四半期決算報告で、Equifaxはこの事件やデータセキュリティ関連に2億4270万ドル(約268億円)を費やしたとしていた。

Zdnet記事より引用)

Equifaxは、事件対応で268億円も使っています。この影響が半分であり、100億円浮くのであれば、優秀なセキュリティ人材への投資は、はるかに安い買い物といえます。

ただ残念なのが、事故が発生した後でないと、日本企業の経営陣がこうした費用対効果(結果論ですが)について理解してくれないところ。しかし他社での不幸な事故事例は、自社を見直す良いチャンスでもあります。そう考えて、このニュースも俯瞰すると良いヒントになるかも知れません。

 

ピラミッド型組織のイラスト

 

更新履歴

  • 2018年6月24日AM(予約投稿)