Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

CISOをスケープゴートにしてはいけない

ガートナーのセキュリティ&リスクバーチャルサミットでのGartnerVPアナリストのトビーブッサ氏の講演内容が記事になっていました。この中でいくつか気になった部分をご紹介します。

www.infosecurity-magazine.com

 

 

キタきつねの所感

国内のセキュリティ会議の基調講演で、10年先を見据えたセキュリティ戦略といったテーマで踏み込んだものは、あまり記憶にありません。

Gartnerだから出来る事と言ってしまえばそれまでですが、行政や企業のトップ層への気づきとなる様な内容だけに、こうした関係者が集まる場で、こうした内容が講演されたり議論される必要がある気がしました。

 

Bussaは、過去10年間にサイバーセキュリティの展望が根本的に再形成されてきた方法を概説することから始めました。これには、攻撃面を拡大したクラウドサービスやモノのインターネット(IoT)デバイスの爆発などのITの進歩、はるかに重要な問題として浮上しているプラ​​イバシーとデータ保護、国家によるサイバー攻撃の増加などランサムウェアはより洗練され、大規模な組織をターゲットにしています。

これを念頭に置いて、今後10年間のさらなる変化を予測することは、ビジネスパフォーマンスの混乱を防ぎ、サイバー犯罪者の先を行く上で重要です

(InfoSecurity Magazine記事より引用)※機械翻訳

 

現在われわれを取り巻くここ10年の状況(上記文章の前段)については、多くの方が異論ないかと思います。問題は後半です。現状のセキュリティ対応で手一杯になっている企業が多い中、だからこそと言うべきか、攻撃者の先を行く必要があるとブッサ氏は言っています。

 

彼はまた、テクノロジー自体が脆弱化する可能性があると述べました:一般的なITとサイバーセキュリティの両方。これは、国家が特定の地政学的な地域でのみ使用される独自の技術を開発している結果です。Bussa氏は、この現象はすでに効果を示し始めており、「企業が採用しているITだけでなく、採用するセキュリティテクノロジーにおいても、サイバーセキュリティのリーダーにとっては検討事項になるだろう」と語った

(InfoSecurity Magazine記事より引用)※機械翻訳

 

社会や企業のDX化が進むにつれて、自社の技術だけでなく他社のクラウドサービスやセキュリティサービス等の技術も自社のシステムとして利用が進む事になりますが、こうして採用する他社のセキュリティ技術も脆弱化をしっかりとチェックする必要があるという意味かと思います。

この部分を読んで思い出したのが、ドコモ口座やゆうちょ銀行等々、企業サービスのサプライチェーンになる口座振替周りで発生しているインシデント発表です。他社の提供するサービス(例えば口座番号と暗証番号による本人認証)だけで本当に大丈夫か?と自らのもつ資産に対する影響を(リリース前に)検証する、ゼロ・トラスト思想が無いと、こうしたGartnerの言う脆弱化を防ぐことは難しい気がします。

 

今後10年間、サイバーセキュリティのリーダーが考慮しなければならないもう1つの分野は、規制が増える可能性と規制の複雑さです。ビジネスはますますデジタル化されており、COVID-19パンデミックによりその傾向はさらに加速しています。Bussa氏は、「規制当局は引き続き対応し企業がどのように前進しているかに対するこれらの技術革新の影響を理解しようとし、これは法律として表現される可能性が高い」と述べた。

(InfoSecurity Magazine記事より引用)※機械翻訳

 

この内容、日本は少し怪しい気がします。規制側が企業と同様に攻撃側のトレンド(もっと言えば先を)読んで企業をリードしていく役目にあるのですが、事後対応に追われているのが日本の現状な気もします。Gartnerが言う規制当局は海外を指しますが、「規制当局は引き続き対応し」の部分に、日本との意識の差を感じます。

※日本が伝統的に得意としている「護送船団方式」では日進月歩のサイバーの世界では、時代遅れになっていく可能性が高いと思います。(レジリエンス=復旧にも比重を置くのが海外で主流の考え方になってきています)

 

Bussaによると、地政学的な問題から自然災害や新しい規制に至るまで、潜在的な混乱や脅威の範囲が広がっていることを考えると、組織の回復力はサイバーセキュリティリーダーにとってもう1つの焦点になるはずです。この例は、COVID-19パンデミックの間にリモート作業への大幅なシフトで見られました。サイバー犯罪者はすぐにそれを利用しようとしました

(InfoSecurity Magazine記事より引用)※機械翻訳

 

コロナ禍のリモートシフトに対する攻撃は、日本でも既にインシデントが発生していると思われます。

国内では断片的にインシデントが報じられていますが、例えば迷惑メール(フィッシングメール)件数の増加、Emotet被害の拡大(注意喚起)、VPN装置の脆弱性攻撃(日経スクープ)、ランサム被害(大手SIer企業や自動車会社)等・・従来からあった攻撃も中には含まれますが、これらの兆候を「テレワーク移行に対する脆弱性を突いた攻撃」だと考えるか、「単体のインシデント」と考えるかで、今後10年の「被害」はまったく違う方向に向かうかと思います。

 

多くのイベントを予測することはできませんが、サイバーセキュリティのリーダーは、将来のトレンドに備えて組織を準備するための対策を講じることができると述べて締めくくりました。ただし、これにはCISOの果たす役割を根本的に変える必要があります。「サイバーセキュリティリーダーとしての役割を、信頼できるアドバイザーになるために問題が発生した場合にスケープゴートと見なされる人からどのようにシフトするかを考えてください。長期的な見方と組織の理解を深めることにより、組織を導きます。未来は続くかもしれない」と彼は言った。

(InfoSecurity Magazine記事より引用)※機械翻訳

 

多くの海外組織のCISOは日本組織に多い「なんちゃってCISO」に比べて、専門知見も権限(予算)も持っていると言われていますが、それでもサイバーインシデントが発生した際のスケープゴートとなっている部分を変えていかなければいけない、とまとめています。

海外のCISOは、スケープゴートといっても、かなりの高給が保証されていますし(※米国では年収2000万円以上が普通かと思います)、役員待遇のポジションが付与されていて、自身の権限で判断できる予算もつけられているのが一般的です。

 

日本の組織は、10年先の攻撃トレンドに備えて対策を講じていくべきというGartnerのこの提言を、どう自組織で受け止めるべきなのか、改めて考える必要がありそうです。

 

 

余談です。@ITがGarnterの記事を出していました。同じバーチャル会議の内容か?とも思ったのですが、Gartnerブログ記事をベースにしている様です。こちらの内容も講演と共通する部分もあり、ITリーダー(CISO)がどういった考え方をすべきかといった(もう少し具体的な)内容が書かれていますので、日本語記事という事もありますが、ご一読をお勧めします。

www.atmarkit.co.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 スケープゴートのイラスト

 

更新履歴

  • 2020年9月19日 PM(予約投稿)