日本オラクル特集記事

2019年、最高情報セキュリティ責任者(CISO)の優先事項

オラクル・コーポレーション
アラン・ゼイチック

顧客のデータを安全に保持し、自社が新聞に載るような事件を起こさないようにするということ、最初に挙げる良いゴールである。機密データが国内外の競合企業の手に渡らないようにする、これも重要だ。ビジネスを共にする顧客とパートナーの安全を確実に維持する、これも欠かせない。自社のCEOがデータ漏えいについて議会で証言することがないようにする……挙げ続けてもキリがない。

確実に言えることは、最近の最高セキュリティ責任者(CSO)または最高情報セキュリティ責任者(CISO)の仕事は楽ではないということだ。しかし、過去は楽であったのかと言えば、そんなことはない。外部のエージェント(ハッカー)と内部の危険因子(不満を抱く従業員)のおかげで危険はあらゆるところに存在する。財務情報や顧客情報をはじめとする機密データは、データセンター、ノートPC、モバイル機器、クラウド・サービスにわたり保存されている。それらシステム全体のセキュリティの維持が一筋縄でいくわけがない。

業界ルールや政府の規制が厳しくなれば、犯罪者たちは別の方法を探し出してネットワークに侵入し、IoTを悪用し、フィッシング詐欺とマルウェアを仕掛けてくる。その一方で、顧客とのやり取りはデータに問題がないことを大前提にしているわけであり、提供している製品やサービスが安全であることを顧客、保険会社、規制当局に納得させなければならない。

CISOにとってこれは、最初に挙げた、顧客からの信頼を維持することや、新聞に悪評が載らないようにするなどの大局的な優先目標に置き換えることができる。これらの目標を達成するために、2019年にセキュリティ責任者が時間、精神力、予算を使わなければならない6つの基本領域を次に挙げる。

1. 全プラットフォームにわたって脅威の可視性を確保する

見えないものを守ることはできない。したがって、2019年のCISOの最優先目標は、クラウド、モバイル、オンプレミス上の資産に対する真の可視性を確保し、リスクとインシデントをすべてのプラットフォームにおいて迅速に検出し、関連付けできるようにすることである。

オラクルのクラウド・セキュリティ担当シニアプリンシパル・ディレクターであり、近日公開される「Oracle/KPMG Cloud Threat Report 2019」の共同執筆者でもあるグレッグ・ジェンセン(Greg Jensen)によれば、データがアプリケーションやクラウド・サービス、時には未承認のサービスなどの複数層に分散することは、「CISOの一元的な可視性を持つ能力に非常に大きな影響をもたらした」

「あらゆるエンタープライズ・クラウドにおいて存在する大量のセキュリティ・データの陰に潜んでいるものは、攻撃の特徴や兆候である可能性がある」とジェンセンは語る。しかし、ここに問題がある。2月に公開される「Oracle/KPMG」レポートによれば、セキュリティ・イベント・テレメトリーの75%以上を収集、分析し、それに対応できるCISOは16%に限られている。

調査の対象となったCISOによれば、データが侵害された場合、通常、企業は2つの行動をとる。まず、リーダーに責任を取らせる。そして、同じことが再び起きることがないように予算を増額する。

このような憤りを招かないようにするには、あらゆる場所に対してセキュリティ・チームが可視性を高めることが重要だとジェンセンは考えている。

2. 新しい境界の把握

クラウド・コンピューティング、スマートフォンなどのモバイル機器やIoTが登場したことで、エンタープライズの境界という旧来の定義は時代遅れなものとなった。安全なトラフィック、信頼できるユーザー、パブリック・クラウドとプライベート・クラウドの間に存在する単一の境界点についての仮説を、セキュリティとITの両方のオペレーションで変えなければならなくなった。

ISTOCKPHOTO

「新しい境界はクラウドへと押し上げられ、IDという形ですべてのユーザーの手の中にまで広がった」とジェンセンは語る。

CISOは今、これらの境界を管理するための新たなアプローチに取り組んでいる。これには、クラウドで稼働する「次世代」ファイアウォール、エンタープライズ全体とクラウドを対象にIDを一元管理する新しいID管理システム、洗練されたハイブリッド攻撃を特定できる攻撃検出・分析システムなどが含まれる。

3. セキュリティ意識の醸成

オラクルの最高セキュリティ責任者であり、「Oracle/KPMG Cloud Threat Report」の共同執筆者でもあるメリー・アン・デビッドソン(Mary Ann Davidson)は、「セキュリティが行動規範であることが第一である。行動規範でなければ勝ち目はない」と語る。

これは、オラクルのようなクラウド・サービス、ソフトウェア、ハードウェアのプロバイダーには特に当てはまる。それを実現するには、ソフトウェア開発、データ保護、アクセス管理で業界標準のコンプライアンス・プロセスに準拠する必要がある。デビッドソンが仕事で扱う領域は、自社のセキュアなコーディング標準や、オラクル自身や顧客向けの製品およびサービスの脆弱性レポートへの対応などである。

しかし、常にポリシーやベストプラクティスと連携させる必要がある。たとえば、セキュアなソフトウェア開発では、「開発者の一人ひとりが、自分が書くコードに対して個人的に責任を負っている。セキュリティは、品質保証の仕事でも、ホワイトハッカーの仕事でも、セキュリティ部門の仕事でさえもない。セキュリティに対しては、全ての関わる者が何らかの形で責任を負っている」とデビッドソンは語る。

クラウド技術、アジャイル開発技法、継続的統合や展開を用いた迅速な開発方法が高い人気となっているが、これらの動きがセキュアなソフトウェア開発を後押しすることもあるとデビッドソンは強調する。ただし、ショートカットしなければならないプレッシャーがないことが前提である。正しく行いさえすれば、セキュリティはこれらすべてのアプローチに組み込むことができる。

4. セキュリティ・オペレーションとITオペレーションの整合

CISOが監督するセキュリティ・オペレーション・チームの目標は、CIOまたはCTOが監督するITオペレーション・チームの目標と一致しないように見えるかもしれない。ざっくり単純化すると次のようになる。

・セキュリティ・チームの第1の仕事はデータの安全を維持することであり、「ノー」と言う機会が多くなる。

・ITチームの第1の仕事はプロジェクトを実行し、機会を捉え、売上増加に貢献することであり、「イエス」と言う機会が多くなりがちである。

「CISOは、CIOとは異なるレンズを通して物事を見ていることが多い」とジェンセンは語る。

確かに、CISOはセキュリティ・オペレーションとITオペレーションの不整合を解決しなければならず、それを重荷と感じることも多いが、範囲が広いITチームが妥協への圧力を感じることは少ない。

たとえば、自社のパッチ適用がときどき遅れると回答したCIOが89%であったのに対し、99%のCISOがときどき遅れると回答している。「CISOはパッチ管理についてより積極的だ」とジェンセンは語る。企業がクラウドベースのサービスへと移行する理由の1つは、パッチ適用とアップグレードが「Oracle Autonomous Database」のようにクラウド・プロバイダー側で行われる場合があるためである。

CISOは、「自分が信頼に値することを自分で証明せよ」という考え方を保持している。行動規範の話に戻ろう。ITオペレーションもこの考え方に従うほうが賢明である。資産は未保護の状態でクラウド・サーバー、データベース、携帯デバイスに保存されているのだ。

5. ファイアウォールの内側からのリスクへの対応

故意であるにせよ、ないにせよ、従業員や契約社員も脅威になる。会社に対して不満を抱く従業員であれば、データを盗んで公開するなどの方法で損害を与えるかもしれない。不満はないが教育が不十分な従業員であれば、フィッシング詐欺にひっかかってパスワードを盗まれたり、マルウェアを仕込まれてハッカーにリモート・アクセスを許したりするかもしれない。いずれにしても、攻撃は外部から来るのではなく、ネットワークの内側や承認されたデバイスから来るのである。

そこで、暗号化が問題になる。機密データがデータセンター、エンドユーザー・デバイス、クラウドのどこに保存されていても、CISOはそれを暗号化すべきかどうかを評価し、暗号化する場合は強力な鍵管理を使用する必要がある。これはサービス・プロバイダーにも適用される。CISOは、サービスとしてのソフトウェア、クラウド・ストレージ、暗号化機能および手法のその他ベンダーを見直し、顧客情報が適切に保護されていることを確認しなければならない。時としてそれは、顧客の従業員と同等のアクセス権を持ったベンダーの従業員であってもデータの内容を閲覧できないことを意味する。

「Oracle/KPMG」レポートによれば、2018年にセキュリティ予算が最も多く使われた分野の1つはセキュリティ・トレーニングであり、その主な目的は、内部リスクの防止にある。最も多い攻撃形式は現在もメールであり、データ・セキュリティ・リスクと毎年強化されるコンプライアンス要件を全従業員に認識させるためもトレーニングが重視される。セキュリティ企業のFireEyeの調査によると攻撃の91%はフィッシング・メール攻撃によって開始されたとジェンセンは語る。もう1つの一般的な攻撃は、従業員による特権アカウントの誤用によるものである。従業員が管理者の資格情報を借りる、盗む、あるいはハッキングし、それを使って本来使用できないはずの機能を実行し、データにアクセスするような場合がこれに該当する。

一層のトレーニングと教育が求められるのは、一般従業員に限った話ではない。ITチームやサイバーセキュリティ・チームにもセキュリティ・スキルの向上が必要であり、明日の脅威の防御に貢献するには、定期的なトレーニングが必要である。セキュリティの人材は維持するのも新たに雇用するのも難しく、安売りされていない。

6. クラウド内のセキュリティの管理

シャドーITが、CISOの大きな懸念となっている。従業員は、Google Drive、Microsoft OneDrive、Dropboxなどの無償ファイル共有プラットフォームや、Slack、Evernoteなどのコラボレーション・サービスにビジネス上の機密情報を保存し、共有することに利便性を感じている。開発者は、無償または安価なアカウントをスピンアップすれば、GitHubやSourceForgeなどのプラットフォームでコードを共有できる。開発者チームは、IT予算に現れないクラウド・リソースを使用して、顧客データを備えたアプリ全体を開発してローンチすることさえできる。

ジェンセンは次のように述べている。「組織は、シャドーITや従業員による未承認クラウド・アプリの使用という難問に取り組んでいる。CISOにとって、従業員が許可なく機密データをサービス上で利用しないようにすることは、優先事項のひとつになる」

セキュリティの懸念は、無償または低額のサービスのみに存在するわけではない。「たとえば、信頼できるニューヨークの従業員が常識では考えられない時間帯に海外から会社のクラウドベース・エンタープライズ・リソース管理に突然アクセスを開始し、通常の10倍の金融トランザクションを処理することも考えられる」とジェンセンは語る。このような危険な兆候を特定し、多要素認証の徹底などの対策を取ることができるシステムにCISOが投資する金額が増加している。

報われないが不可欠な仕事

2019年、データのセキュリティを確保し、同時にビジネスの成長を支えるCISOは、多くの課題を抱えている。厳しい仕事であるが、感謝されないことが多い。これらの優先目標に重点を置き、リスク削減を通じて組織の軌道を正しく維持すれば、CISOは「ノー」を「イエス」に変えることに集中できるだろう。

本記事はForbes.com OracleVoiceの以下の記事を抄訳しています:
Chief Information Security Officer Priorities For 2019

将来の製品に関する免責条項
上記の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。上記の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期および価格については、弊社の裁量により変更される可能性があります。