Comments
Description
Transcript
PDFをダウンロード - EMC Japan
セキュリティ協議会レポート Security for Business Innovation Council RSA 主催の 業界 イニシアチブ ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| ABN AMRO社 Senior Vice President、Chief Information Security Officer、 Martijn Dekker博士 一般化したAPT攻撃 ADP INC.社 Vice President、Chief Security Officer、Roland Cloutier氏 AIRTEL社 Chief Security Officer、 Felix Mohan氏 高まる脅威に対抗するための 情報セキュリティ戦略の策定 COCA-COLA社 Chief Information Security Officer、 Renee Guttmann氏 CSO CONFIDENTIAL社 創設者兼Director、 BP社前Chief Information Security Officer、 Paul Dorey教授 Global 1000企業のエグゼクティブからの提言 EBAY社 Global Fraud, Risk & Security担当 Chief Information Security Officer兼 Vice President、 Dave Cullinane氏 EMC社 Chief Security Officer、 Dave Martin氏 FEDEX社 Chief Information Security Officer兼 Corporate Vice President、 Denise Wood氏 GENZYME社 Global Risk and Business Resources 担当Vice President、 David Kent氏 HDFC BANK社 Chief Information Security Officer兼 Senior Vice President、 Vishal Salvi氏 JOHNSON & JOHNSON社 Information Security担当Worldwide Vice President、 Marene N. Allison氏 JPMORGAN CHASE社 Chief Information Risk Officer、 Anish Bhimani氏 NOKIA社 Chief Information Security Officer、 Petri Kuivala氏 NORTHROP GRUMMAN社 Vice President兼Chief Information Security Officer、 Timothy McKnight,氏 SAP AG社 IT Security & Risk Officeおよび Global IT担当Vice President、 Ralph Salomon氏 T-MOBILE USA社 Corporate Information Security担当 Vice President兼Chief Information Security Officer、 William Boni氏 ゲスト寄稿者: Mischel Kwon & Associates社、 President、U.S. Computer Emergency Readiness Team (CERT)の前Director、 Mischel Kwon氏 本レポートの内容: APT攻撃の 主な特性 企業に内在する 脆弱性 情報セキュリティへの 新しいアプローチ 高まる脅威に対抗する ための7つの防御策 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 目次 レポートのハイライト 1 はじめに 2 脅威をとりまく状況の変化 4 主な特性 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 5 高まる脅威の兆候>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 7 脅威の影響を受けやすい企業 9 ITに内在する脆弱性 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 情報セキュリティに対する有効でないアプローチ >>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 10 提言 提言1. 情報収集と分析力を向上させる >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11 提言2. 高度な監視を実施する >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 13 提言3. アクセス制御を見直す >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 15 提言4. 効果的なユーザー教育について重点的に取り組む >>>>>>>>>>>>>>>>>>>> 16 提言5.幹部社員の考え方を管理する >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 17 提言6. ITを再構築する >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 18 提言7. 情報交換に参加する >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 19 結論 20 付録 21 Security for Business Innovation Councilイニシアチブについて >>>>>>>>>>>>>>>> 21 Security for Business Innovation Councilおよびゲスト寄稿者のプロフィール >>>>>>> 22 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| レポートのハイライト APTは、軍事分野だけ でなく、あらゆる業界 における脅威となり ました。 過去18カ月の間に世界各国で発生 した一連の高度な標的型のサイバー 攻撃によって、脅威をとりまく状況が 著しく変化したことが明らかになりま した。 これまでは防衛機関に対してのみ行 われていた「APT」(Advanced Persistent Threats)攻撃は、今やさ まざまな業界の企業を標的にしてい ます。 国家以外にも、犯罪組織や「ハクティ ビスト」など脅威をもたらすものたち が、APT型攻撃の実行に必要不可 欠なスキルを手にしています。 APTの増加の要因には、グローバル 経済下で激化する競争や、クレジット カード番号の市場価値の低下などが あります。 侵入を完全に防御できる組織は存在 しないと考えなければなりません。す でに危険にさらされていると仮定した 上で、対策を講じてください。 ITに内在する脆弱性や、情報セキュ リティに対する有効でないアプローチ が原因で、企業はAPT型攻撃を受け やすくなっています。 本レポートの7つの提言は、APTに 直面する組織が防御を強化するため の主な手法をまとめたものです。実 現には、情報セキュリティ・チームの 積極的な取り組みだけでなく、経営 の指揮をとる立場の幹部社員のサ ポートも必要です。 多くの組織にとって、APTに対抗する には、新たなアプローチや、こうした 新種の脅威と戦うためのこれまでに ない情報セキュリティの考え方が必 要です。 組織は、セキュリティに対する姿勢に 関する次のような問いについて常に 自問自答することが求められます。 APTに対抗するには、すべてを守る ことが可能という考え方を捨てる必 要があります。セキュリティ・チーム は、組織にとって最も重要な情報と システムの保護に注力する必要があ ります。 脅威に対応できるような 情報 収集および分析能力を備えて いるか セキュリティ監視では本当に探 すべきものを監視しているか 攻 撃者は 、クレジット カード などの 資 産 管 理デー タ から 、知 的 財産 、 ミッションクリティカルな業務システ ムへのアクセス情報、その他の機 密データやシステムといった高価値 のデジタル資産へと狙いを変えつ つあります。 防御の成功の定義を、「攻撃者を決 して侵入させないこと」から「攻撃者 が侵入する場合もあるが、その場合 にはできる限り早期に検知して損害 を最小限に抑えること」へと変更する 必要があります。 攻撃者に管理者アカウントを 乗っ取られる可能性があるか スピア・フィッシング攻撃を受 ける可能性がるユーザーは何 人いるか 幹部社員は「サイバー軍拡競 一般的にAPT攻撃は、標的が明確 に定められ、綿密な調査と十分な資 金により、個別の組織に合わせた方 法で行われます。そして、検知されな いよう複数の経路で侵入し「少しずつ 時間をかけて」実施されます。 争」を戦うことの本質を本当に このレポートでは、脅威が ますます増大する状況にお いて、組織がセキュリティ戦 略を策定できるよう、世界で も屈指のセキュリティ担当者 やAPT専門家による16の有 益な提言を提供します。 理解できているか かえって攻撃を助長するような、 ITおよびセキュリティへのアプ ローチがとられていないか 他の組織から提供される脅威 APTでは、ネットワークの境界から侵 入するのではなく、エンド・ユーザー やエンドポイントを突破口にして侵入 する傾向があります。ソーシャル・エ ンジニアリングやスピア・フィッシング が主要な攻撃手法です。 に関する情報を十分に活用す る態勢が整っているか RSA,The Security Division of EMC | Security for Business Innovation Councilレポート |1 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| はじめに デ ジタル情報が登場し て以来、情報に対す る脅威は増大し続け ています。セキュリティの専 門家は脅威の増大のペー スに合わせて戦略を策定し 対応してきました。しかし、 この18カ月の間で、こうした 脅威はこれまでにないほど 急激な変化を遂げました。 脅威をとりまく状況は今、 大きく変わりつつあります。 企業や政府の根幹を揺 るがす一連の巧妙なサ イ バー攻撃によって、今日の サイバー攻撃者が驚くほど 熟達していることが明らか になりました。軍事防衛分 野の専門用語だった「APT」 (Advanced Persistent Threat、高度で継続的な攻 撃)は、こうした事件によっ て一般に注目されるように なりま した 。APTは本来 、 国家がその安全に関わる 機密情報や防衛データを 盗み出す目的 で、他国 の 政府や契約者のネットワー クに長期間潜伏して行うサ イバー上のスパイ活動を指 す用語でしたが、現在では より広い意味で使用されて います。 APT は 、次 の よ う な 特 徴を持つサイバー攻撃を意 味するようになりました。そ れは、標的が明確に定めら れ、綿密な調査と十分な資 金により、個別の組織に合 わせた方法で行われ、検知 されないよう複数の経路で 侵入して「少しずつ時間を かけて(low and slow)」実 施される攻撃です。従来型 の攻撃は、たとえばクレジッ トカードのデータを盗むため にバックドアが開いている企 2| Security for Business Innovation Councilレポート | RSA,The Security Division of EMC 業を「隅から隅まで」探して いましたが、今日のAPTは、 高価値 なデジタル資産 の 取得や重要なシステムへ の侵入といった特定の目的 に焦点を絞って攻撃を行い ます。 「 攻撃者は、非常に知能が高く、あらゆる技能 や装備を有し、効果的な攻撃法を熟知してい ます。多くの企業は攻撃に対抗するために 新たなアプローチを採らなければならないで しょう」 Automatic Data Processing, Inc.社、 Vice President、Chief Security Officer、 Roland Cloutier氏 脅威の増大は、リスクを評 価し情報セキュリティ戦略 を強化するための正当な理 由になると気づくでしょう。 セキュリティ協議会 (SBIC:Security for Business Innovation Council)レポート の第8回目に当たる本書で は、脅威をとりまく状況に起 きた変化について深く掘り下 げ、なぜ企業が脆弱である かを考察し、リスク管理にす ぐに役立つ提言をまとめて います。レポートは、Global 1000企 業の 情報 セキュ リ ティ・リーダー16名のほか、 テーマであるAPTを専門と するゲスト寄稿者の見解に 基づいています。 防衛機関では何年もの 間こうした種類の攻撃を受 け続けてきましたが、その 他の業界にとっては新しい 種類の脅威 です。攻撃者 は 、標 的の範 囲を広げつ つあります。今や、価値の 高 いデジ タル 資産を 保有 するあらゆる組織が標的と なる可能性があります。そ して現在では、国家以外で も、この種の攻撃を実行で 2008 年 よ り 、 SBIC レ ポート・シリーズではビジネ ス・イノベーションにおける 情報セキュリティの役割に 着目してきました。新種の 攻撃は、知的財産、企業秘 密、事業および製造計画、 R&D、市場情報、さらには ミッション・クリティカルな業 務運用システムへのアクセ ス情報といった重要なコン テンツを求めて、ビジネス・ イノベーションの中心を直 接狙います。この時点で正 しいセキュリティ戦略を策 定することは、組織の今後 の成功を守るために不可 欠です。 き る 攻 撃者 が 現れ てき て います。 脅威をとりまく状況の変 化は、かなりの数の懐疑論 を含め、情報セキュリティ分 野で大きな議論を呼びまし た。過剰に騒がれている可 能性のあるトレンドに対す る警戒は妥当なことですが、 現状を否定することは危険 です。賢明な組織であれば、 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート |3 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 脅威をとりまく状況の変化 最 近のサイバー攻撃の増大は、IT出版物やビジネス誌 だけでなく、大手マスコミでもトップ・ニュースで取り上 げられています。不安は情報セキュリティ関係者だけ でなく、企業経営幹部層にも広がっています。過去の多くの データ侵害と比べて、これらの攻撃には、より大きな衝撃を 与える何かがあります。それは、単に発生頻度が高いとい うことではありません。 一般的に、情報資産に対する脅威は、次の項目を基に 分析できます。 化していることが分かります(7ページの「従来の脅威とAPT の比較」を参照)。 たとえば、企業が直面する攻撃者の種類は拡大してい ます。これまで多くの企業や政府機関は、いわゆる「スクリ プト・キディ」から組織化されたサイバー犯罪者まで、比較 的広い範囲の攻撃者に直面してきました。それでも、最も 危険な脅威を相手にする必要があるのは、国家の安全保 障および防衛機関のみでした。現在では、多岐にわたる業 界で、より多くの組織が、国家の関与する脅威やその他の 非常に熟達した攻撃者に直面しています。 Who:誰が攻撃を指示/実行しているのか What:標的となる特定の組織はどこで、 情報資産は何か Why:動機は何か How:どのような手法を使用しているのか 「従来の脅威」と「APT」を明確に区別することは、両者 がまったく異なるカテゴリではなく地続きの関係にあり、違 いが明瞭ではないことから困難です。また、APTは敵対者 の目標や採用する手法の拡大に合わせて変化しています。 現在のサイバー攻撃の急増を見ると、今日の脅威をとり まく環境において、これらの項目の答えはすべて劇的に変 APT型攻撃の一般的な 特性: 1. 明確な標的 – 個別の組織に合わせ て攻撃を調整 2. 十分な資金 – 資源消費型 3. 綿密な調査 – 社員に関する情報に 着目 4. 検知を防ぐ設計 – 「少しずつ時間を かける」手法を改良 5. 複数のモデルと手順 – 複数の経路 や手段により、特にエンド・ユーザー およびエンドポイント経由で侵入経路 を確保 4| Security for Business Innovation Councilレポート | RSA,The Security Division of EMC できると思われている同業者になりすまし、パスワードの漏 えい、ウイルスに感染した電子メールの添付ファイルの開 封、不正リンクのクリックなどを促します。さらに、攻撃者は 管理者アクセス権限を持つユーザーを突き止め、アカウン トを改ざんして特権ユーザーとして個人情報を悪用します。 個人情報および職務情報を閲覧できるソーシャル・ネッ トワーキング・サイトは、攻撃者にとって有益な組織と関係 者の詳細情報の容易な入手経路です。攻撃者は、企業の 社員を最も脆弱な防御ラインで、最も容易な侵入経路と見 なしています。多くの場合、ネットワークを破るよりもずっと 簡単です。 主な特性 一般的に、APTには次の特性があります。 1. 明確な標的 攻撃の実行者は、特定の目標に焦点を絞っています。 標的は、高価値のデジタル資産を探し当てるために慎重に 選ばれます。APT攻撃の目的には、より戦略的な性質があ ります。クレジットカード番号などの資産管理データを探す のではなく、知的財産や、ミッション・クリティカルな業務運 用システムへのアクセス情報、その他の機密データやシス テムに狙いを定めています(詳細は7ページの図を参照)。 いうならば、APT攻撃者の動機は目先の金銭ではなく、競 争上の優位性の獲得や妨害工作などの長期的な利益にあ ります。攻撃は、標的とする組織の既存のセキュリティ制御 を破るよう特別に設計されます。 4. 検知を防ぐ設計 APTでは、意図的に脅威検知メカニズムを妨害します。 たとえば、シグネチャベース検知では特定しづらい独自の 新しい攻撃パターンを使用し、短くてランダムな情報を指揮 管制にブロードキャストしてアラームが実行されるのを防ぎ、 ネットワーク・トラフィックが読み取れないように暗号化します。 攻撃者は通常、侵入したIT環境全体にマルウェアを配布し、 攻撃の機が熟すまでは休止状態にしておきます。攻撃の実 行者は大抵の場合、好きなときに出入りして好きなときに データを盗み出せるよう、ネットワークへの常時アクセスを 試みます。 2. 十分な資金 攻撃者は確固たる決意を持って、目的のものを手に入 れるために時間と資金を費やします。攻撃手法が対抗策に よって防御されると、すばやく手法を再構築して防御を回避 する新しい方法を模索します。また、攻撃者は、高度に発 達した非合法なサプライ・チェーンにアクセスし、マルウェア、 ゼロデイ脆弱性、コンピューティング・リソースを調達する手 段を有しています。 資源消費型の長期にわたる攻撃を支える資金は、多く の場合、国家が提供しています。実際の犯人は国家の指 揮下にあるか、サービス・プロバイダとして活動しています。 金銭目的の犯罪グループの一部も、今では国家を顧客とし てこうした高度な攻撃を実行する動機を持っています。 3. 綿密な調査 APTの特徴の1つに、予備調査があります。攻撃の実行 者は、組織の人員、ITインフラストラクチャ、業務プロセスに 関する調査を実施します。こうした詳細情報は、攻撃の計 画に利用されます。調査の焦点は通常、組織構造の把握 や社員およびパートナーの個人情報の収集にあり、ソー シャル・エンジニアリングやスピア・フィッシングが主要な攻 撃手法です。収集した情報を使用して社員または信頼 「銀行業界における APTでは、マルウェアの知識とともに、高 度なソーシャル・エンジニアリングや銀行業への深い理解など が活用されています。APTを実行しているのは、異なるスキル を持つ多様な人材を集めた高度な組織です」 ABN Amro社、Senior Vice President、Chief Information Security Officer、Martijn Dekker博士 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート |5 ・ 脅威をとりまく状況の変化 5. 複数のモデルと手順 典型的な攻撃手法では、ソーシャル・エンジニアリング、 アプリケーション層への侵入、ゼロデイ・マルウェア、高度な データ抽出技術など、複数の方法が使用されます。攻撃者 は細心の注意を払って計画し、時間をかけて段階的に実行 します。当然、2つとして同じ攻撃は存在せず、その手法は 非常に多様です。しかしながら、共通する一連の手順はあ ります。 1. 組織についての知識を得るために予備調査を行う 2. エンド・ユーザーを標的としたソーシャル・エンジニアリングと スピア・フィッシングの両方または一方を実行する 3. エンドポイントの脆弱性を不正使用する 4. 同業者の関係性を利用して横方向に拡大し、ネットワーク上 を徘徊する 5. 追加のスピア・フィッシング または管理者パスワードを解読し、 より上位の特権を段階的に取得する 6. 内部システムを侵害する 7. データを盗み出す、またはその他の目的を遂行する (偽情報を埋め込むなど) 8. クリーンアップする 6| Security for Business Innovation Councilレポート | RSA,The Security Division of EMC • 脅威をとりまく状況の変化 従来の脅威とAPTの比較 追加項目 攻撃者 標的となる データ 日和見主義のハッカーまたは サイバー犯罪者 十分な資金を有し目的を持つ何らかの敵対者:国家(および関 連グループ)、世界的なネットワークを持つ犯罪組織、不正企 業、ハクティビスト* 管理データ:クレジットカードのデータ、 銀行口座データ、個人情報 高価値のデジタル資産:知的財産、国家安全データ、企業機 密、ソース・コード、R&D資料、市場および顧客情報、財務シス テム、事業および製造計画、ミッションクリティカルな業務システ ムへのアクセス情報など 関心のある多数の団体へ販売でき る、一般的に有益な情報 特定の団体が必要とするか、または特定の団体に販売できる ような、特に価値のある情報 標的となる 組織 銀行、カード・データ処理業者、オン ライン販売およびサービス業者、一 般産業、およびその顧客への広範 な攻撃 政府、防衛、石油・ガス、エネルギー、テクノロジー、金融サービ スなどの選定された組織 動機/目的 金銭の取得、 個人情報の盗難、 詐欺、いやがらせ、認知されること 市場操作、国家防衛における戦略的優位性の獲得、業界にお ける経済的優位性の獲得、商談における競争力の強化、重要 なインフラストラクチャへの損害、政治的理由 境界への攻撃で侵入経路を確保 エンド・ユーザーおよびエンドポイントを突破口にして侵入し、複 数の経路と手段で攻撃を実行 一般的な既成のマルウェア 多くの場合はカスタム設計または調整されたマルウェア より利益を得られそうな場所へ感染 させるために、できるだけ広範に マルウェアを伝播 標的を絞り、1企業をマルウェアで攻撃:システムの乗っ取り、 迂回路の作成、バックドアの構築、指揮管制サーバーとの通信 スキル 技術的スキル 予備調査:組織の人員、業務プロセス、ネットワーク・トポロジー に関する詳細な知識 対抗策 への 対応 より容易な標的へ移行 攻撃を修正して、標的の攻撃を続行 方法 使用する マルウェア * ハクティビストは、ハッカーとアクティビスト(政治活動家)の新造語 高まる脅威の兆候 組織がAPTの標的になったことを検知したとき、そのこと が公表されることは稀です。企業や政府機関は侵入されたと いう事実を認めたくないからです。こうした抵抗も空しく、ここ 18カ月の間で大手企業を含み、標的を絞った高度なサイバー 攻撃が多数報告されていますが、これも氷山の一角に過ぎな いでしょう。攻撃を受けた組織の業界は、次のようにさまざま です。 放送業界 重要施設 防衛産業 金融サービス 産業 世界中の政府 石油・ガス産業 オンライン・ゲーム 産業 広告サービス 業界 セキュリティ産業 テクノロジー産業 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート |7 ・ 脅威をとりまく状況の変化 さらに、世界各国の政府および国家安全保障機関は高 度な脅威の増加を追跡し、その調査結果を業界に提供し ています1。多くの国の国家機関は大手企業の取締役会や 幹部社員に状況説明を実施して、認識を高めるとともに、 公共部門および民間部門における防衛増強計画への協力 を仰いでいます2。 最近の調査研究でも、脅威の高まりが明らかになって います。Ponemon Institute社の調査によると、「回答者の 83%が高度な脅威の標的になっていると考えており、71% が過去1年で高度な脅威が増加していると考え、70%は高 度な脅威がさらに新しく、より危険な脅威の登場を示唆し ていると回答しました」3。また、X-Forceによる最新の傾向 およびリスクに関する年間レポートには、世界中の公共機 関および民間企業が、標的に合わせて調整され複雑さを 増大させるITセキュリティ攻撃に直面していると指摘して います4。 は依然としてさまざまであることも一因となっています。競 争を挑んでくる脅威そのものは、企業にとって目新しいこと ではありません。変化したのは、こうした脅威の一部がオン ラインでのスパイ活動に移行しているということです。現在、 ネットワークベースの手法で競合情報にアクセスするため の障害は低く、投資収益率(ROI)は高くなっています。 APT攻撃者はこの状況を不正に使用し、経済の複数のセ クターにわたって広範に悪用しようとしています。 また、資産管理データ市場の飽和も一因といえます。 クレジットカード・データの市場価値が低下する中で、野心 を持ったサイバー犯罪者の標的は、より高額で取引されう る、知的財産や企業秘密といった価値ある情報資産に移 行しています。さらに、攻撃に関する知識およびスキルの 拡散も、脅威の拡大の要因です。他の分野と同様に、ノウ ハウは時間とともに拡散します。APTは特定の国家による ものが大半ですが、現実には、攻撃の経路が他国を経由し て変更されることが多いため、攻撃元の場所を特定するこ とは困難です。そして、この時点でこうした能力を持つ国は セキュリティ攻撃が拡大する背景には、いくつかの要因 があります。大枠において世界の経済競争は激化しており、 決して少数ではなく、多数あります。国家の枠を超えた脅 威である、犯罪組織や政治的な目的を持つ「ハクティビス 優勢に立つため不正な手段に頼る企業もあります。また、 ト」なども類似した手法を使用しています。 グローバリゼーションにより相互に接続されるシステムが 増える一方、各国の知的財産保護に関する価値観や慣習 「ドイツの護憲局と犯罪警察局 の報告書によると、高度で標的 を絞った攻撃に関わる活動が増 加していることが分かりました。 攻撃は外国の機関から行われ ていますが、いくつかの犯罪組 織も他企業のIPを取得しようと 試みています」 SAP AG社、IT Security & Risk OfficeおよびGlobal IT担当Vice President、Ralph Salomon氏 1 2 3 4 8| 『Germany to set up cyber defense center in response to growing threats』(ドイツ政府、増加する脅威対策にサイバー防衛センターを設立)、 Infosecurity.com、2010年12月28日 『Australia warns resource companies over cyber attacks』(オーストラリア政府、資源会社にサイバー攻撃への警戒を勧告)、cbronline、2011年5月31日 『Growing Risk of Advanced Threat』(高まる高度な脅威のリスク)、Ponemon Institute社、2010年6 月30日 『IBM X-Force Report:2010 Marked a Year of Sophisticated, Targeted Security Attacks』(IBM X-Forceレポート:2010年は標的を絞った高度なセキュ リティ攻撃の年に)、IBMプレス・リリース、2011年3月31日 Security for Business Innovation Councilレポート | RSA,The Security Division of EMC |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 脅威の影響を受けやすい企業 「実際のところ、それは非常に高度で、検知が難しいのです。探しているものが正しくなければ、インターネットの 接続と同じで、それを見ることはできません」 eBay社、Global Fraud, Risk & Security担当Chief Information Security Officer兼Vice President、Dave Cullinane氏 攻 撃者が腕を磨く一方で、行政機関や企業 はますます攻撃を受けやすくなっています。 今日の大企業のIT環境は、何年も、場合 によっては何十年もかけて構築されてきました。企業はグ ローバルなサプライ・チェーンを構築、併合、拡大する中で、 新しいシステムと旧来のシステムを組み合わせ、ネットワー クをリンクさせ、さらに多くのサードパーティのサービス・プ ロバイダを統合してきました。 ITに内在する脆弱性 現行の複雑な企業IT環境では、熟練した攻撃者であれ ば、誰にも見つからないように未知の脆弱性またはパッチ が適用されていない脆弱性を探し当てることは簡単です。 また、社員が所有するデバイスやソーシャル・メディア・アプ リケーションを企業に持ち込むことでIT環境はさらに複雑化 し、新たな侵入経路が作成される原因となっています。 複雑さ以外で企業ITに存在するもう1つの弱点は、ネッ トワークの設計です。多くの企業ネットワークは、フラット (平坦)すぎます。フラットなネットワーク設計では、ネット ワーク上のすべての端末がブリッジやインターネット・ファイ アウォールなどの中継機器を介すことなく、他の端末にア クセスできます。ブロードキャスト・ドメインが1つのため管 理コストが低く、細かく分離されたネットワークよりも柔軟性 があります。しかし、フラットなネットワーク設計では攻撃者 がネットワーク内を徘徊し、価値の高いシステムに到達し やすくなります。 また、アプリケーションの脆弱性も、企業がサイバー攻 撃を受けやすい原因となっています。今日の標準的な業務 アプリケーションは、その多くが長期にわたって開発され、 数百万行ものコードを含んでいます。セキュリティ・ホール の存在は必然です。その上、自社開発または既成のアプリ ケーションは、開発初期に安全性を考慮して構築されてい ないか、またはコンポーネントの安全性の寿命を超えてし まっている可能性が往々にしてあります。結果、攻撃者は さらに多くの脆弱性を発見できるというわけです。 情報セキュリティに対する 有効でないアプローチ こうした問題に加えて、多くのセキュリティ・チームは高 度な攻撃パターンを検知できません。従来のウイルス対策、 ファイアウォール、IDSツールでは、攻撃の全体像を把握で きないのです。従来のツールでは不正アクセス、ウイルス、 フィッシング・メール、またはマルウェアを個々に検知できて も、これらのイベントを関連付けることができません。さらに、 シグネチャベースの検知手法では、よく知られていない侵 入口を利用するAPTに対して、あまり効果がありません。 また、ログ分析は大抵が法規制による要求から導入された ものであるため、一般的に脅威の軽減ではなくコンプライア ンス対応のために調整されてきました。 さらに、組織構造にも問題があります。多くの場合、セ キュリティを担当するさまざまなグループはサイロ化が進み すぎており、グループ間の連携はわずかしか機能していま せん。たとえば、インシデント対応チーム(CIRT)やセキュリ ティ・オペレーション・センター(SOC)といったイベントを監 視する組織は、企業で最も重要なデジタル資産に関する完 全な情報を持っていません。さらに、APT攻撃は多方向か ら行われます。攻撃はITベースであるだけでなく、技術的な 手法にソーシャル・エンジニアリングや施設への物理的ア クセスを組み合わせています。複合的な攻撃を正確に解釈 するためには、セキュリティ・チームはサイロ型の活動に依 存してはなりません。 「 ゼロデイ脆弱性を探る攻撃者が、こ れまで蓄積してきたゼロデイ脆弱性 をすべて収益化しようと決めたら、 それこそ問題です」 FedEx社、 Chief Information Security Officer兼Corporate Vice President、 Denise Wood氏 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート |9 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 提言 A 「第一に、資産を詳細に分類し、機密性の観点から保護しなければならないものを把 握します。次に、これらのシステムに対して、他のシステムよりもさらに慎重に保護計 画を立てます」 Nokia社、Chief Information Security Officer、Petri Kuivala氏 を特定し、こうした最重要資産の保 PT攻 撃 者 が さ ら なる 提言 護に注力するために業務と緊密に連 標的を探し求める中で、 携する必要があります。さらに、境界 多くの組織は自分たち 1. 情報収集と分析力を向上させる 防御の重視から離れることも必要で が直面している脅威に気づ 2. 高度な監視を実施する す。境界の防御に注力しても、攻撃 き始めました。長期にわたっ 3. アクセス制御を見直す を防ぐことはできません。今日の組 てこうした種類の脅威に対 4. 効果的なユーザー教育について重点的に 織は、本質的に穴だらけです。企業 応してきた業界は先を見越 取り組む 全体およびサプライ・チェーン全体の して、具体的な防御策を導 5. 幹部社員の考え方を管理する ライフサイクルを通じてデータを保護 入しています。しかし、多く 6. ITを再構築する するという見方に変えてください。 のセキュリティ・チームは、 7. 情報交換に参加する 脅威をとりまく状況の変化に 加えて、防御の成功の定義を、 対するチームの立ち位置を 「攻撃者を決して侵入させないこと」 評価し始めたばかりです。 から「攻撃者が侵入する場合もあるが、その場合にはでき APTに対抗するには新たなアプローチが必要で、この新 る限り早期に検知して損害を最小限に抑えること」へと変 たな脅威と戦うためのこれまでにない情報セキュリティの 更する必要があります。自社はすでに危険にさらされてい 考え方が必要です(11ページの「従来の脅威とAPTの比 ると仮定し、そこから考え始めます。 較」を参照)。 たとえば、APTに直面するには、「すべてを保護できる」 という考え方を捨てなければなりません。これは、すでに現 実的ではないのです。セキュリティ・チームは、組織にとっ て最も重要な(最も高価値な)情報およびシステムが何か 次の7つの提言は、APTに直面する組織が防御を強化 するための主な手法をまとめたものです。実現には、情報 セキュリティ・チームの積極的な取り組みだけでなく、経営 の指揮をとる立場の幹部社員のサポートも必要です。 「 重要なのは、データです。 セキュリティ担当者は、データ を中心に組織をとらえる必要 があります。すべては『データ はどこにあるか』や『データを 誰がどう扱うのか』に関係して おり、これは大企業にとって大 きな課題でもあります」 Johnson & Johnson社、 Information Security担当 Worldwide Vice President、 Marene N. Allison氏 10 | Security for Business Innovation Councilレポート | RSA,The Security Division of EMC • 提言 情報セキュリティに対する従来のアプローチと最新のアプローチの比較 従来の アプローチ 最新のアプローチ すべての情報資産を 保護 最重要資産を重点的に保護 予防的制御 (AV、ファイアウォール) 捜査的制御 (モニタリング、データ分析) 境界中心 データ中心 ログ記録の 目的 コンプライアンス報告 脅威の検知 インシデント 管理 部分的:マルウェア または感染ノードの 検出と無効化 大局的:攻撃パターンの検出と分析 マルウェア情報を 収集 攻撃者の現在の標的および手口、自社の主要な資産およびIT環境に ついて詳細に把握 ネットワークに攻撃者を 侵入させないこと 攻撃者に侵入される場合もあるが、その場合にはできる限り早期に検知 して被害を最小限に抑えること 制御範囲 制御の焦点 視点 脅威に関する データ 成功の 定義 脅威をとりまく状況や自分の組織に対する深い知識を 得ることは、情報セキュリティ戦略にとって不可欠です。 単にマルウェアの研究にとどまらない情報収集と分析力が 必要です。リスクを適切に評価し、リスク軽減の戦略を策定 するためにも、多くの組織はこうした情報力を新しいレベル に引き上げる必要があります。 脅威に関する情報は必須 脅威について、次の点を把握しておく必要があります。 目的のデジタル資産は何か 標的をどのように調査しているか 攻撃の手法、手段、動機は何か 他の組織が実際に受けた攻撃はどのようなものか どのような攻撃パターンがあるか マルウェアはどのようなものか 提言1. 情報収集と分析力を 向上させる 自社の業界を対象とした攻撃が計画されているか 具体的に自社が標的となっているという噂はないか 最近のニュースの多くは、サイバー攻撃の高まりをサイ バー戦争と表現しています。これは少し大げさかもしれま せんが、高度な脅威に直面する組織がサイバー上の一種 の「軍拡競争」に巻き込まれているのも事実です。攻撃者 は自由に使える武器を多く所持しており、特に、標的に関 する知識を活用します。攻撃者は、標的とする組織のこと をその組織以上に理解しています。この知識の差が、攻撃 者をはるかに優位に立たせています。 以上の質問を利用して、戦略を策定してください。 たとえば、特定の情報に対するアクセス制御レベルや、 社員の身元調査方法の種類、侵害の兆候となりうるイベン トなどを決定します。攻撃者のテクニックや計画を理解でき れば、侵入を検知できる可能性が高まります。 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート | 11 ・ 提言 課題は、情報収集にコストがかかる点です。脅威に関 する情報の多くは公開されたソース(オープンソース)から 入手できますが、情報の検索、選定、取得、解釈、伝達に は高い分析力が必要です。セキュリティ・チームの能力を 高める方法として、情報配信サービスなどのサービス・プロ バイダを活用したり、脅威に関する情報に詳しいコンサルタ ントを採用したりする方法もあります。 「敵を知り、己を知らば、 百戦危うからず」 『孫子の兵法』より、孫子(紀元前500年頃) このほかに、脅威について分かった情報を組織間で提 供し合う情報交換の場に参加する方法もあります。これに は、情報を取得して準備する時間が必要です。最終的に、 組織はその情報に価値があると判断して、データの収集、 購入、または交換への投資を準備する必要があります(今 まで情報交換はそれほど効果を発揮していません - 提言7 を参照)。 内部システムの情報の必要性 脅威に関する情報を取得するほかに、標的となりうる組 織内のデジタル資産についても深く理解する必要があります。 次の質問に答えられなければなりません。 保護する最も重要なデジタル資産は何か それはどこにあるか 誰がアクセスできるのか どのように保護されているのか 現行の攻撃対策と関連して、既存のセキュリティ制御 の状態はどうなっているか 攻撃者にとって最も利益が得られる管理者権限の所有 者は誰か 最も脆弱な箇所はどこか 自社環境全体において、正規のユーザー・アクティビ ティとはどのような挙動か 平常時のネットワーク・アクティビティを構成するものは 何か 正規のアクティビティと不正なアクティビティを区別でき るか また、この内部情報を利用して戦略を強化します。最も 価値のあるデジタル資産の詳細情報によって、注力すべき 箇所を知ることができます。たとえば、重点的に保護すべき システムや、詳しく監視する必要があるユーザーなどです。 脅威をとりまく状況の変化を考えると、管理データだけで なく、知的財産やミッションクリティカルなシステムなどを範 「組織内、ネットワーク内、システム内の『異常なアクティビティ』を 検出するには、まず『平常時のアクティビティ』を理解し、認識する 必要があります。情報セキュリティ部門は今こそ、日常業務の流 れと、その一連の業務が既存の検知システムでどのように認識さ れているのかを分析し解釈するための投資を行うべきです」 ABN Amro社、Senior Vice President、Chief Information Security Officer、Martijn Dekker博士 囲に含めるかどうか、再検証する必要があるかもしれませ ん。これには、部門を超えた協力が必要です。組織全体を 通じて業務プロセス担当者などと緊密に連携し、最も重要 なデータとシステムを特定しなければなりません。大規模 なグローバル企業では、所有するすべての高価値デジタ ル資産の目録を作成するのは、大きな難題となる場合が あります。セキュリティ・チームはデータ検出ツールを導入 したり、エンタープライズ・リスク・マネジメント(ERM)ツー ルまたはガバナンス・リスク・コンプライアンス(GRC)ツー ルで既存の情報を活用したり、これらの手段を併用したり できます。 攻撃を示す異常を検出するには、平常時のアクティビティ の基準を作成します。これは、例外的なデータ取得や不審 なイベントのシーケンスを特定するのに役立ちます。社内 では確認がとれない不審なイベントがある場合は、社外に 調査を依頼します。 インシデントに関する必須情報 データの盗難が発覚したら、次に挙げるような情報を収集 します。 実際にどのデータが盗まれたのか データはどこに送信されたのか 攻撃者はどのくらいの時間、システムに滞在したのか ネットワークのどこに侵入されたのか 攻撃者はどの権限を取得したのか バックドア・アクセス用の休止状態のマルウェアが残さ れていないか 12 | Security for Business Innovation Councilレポート | RSA,The Security Division of EMC • 提言 「 解決の方法は、セキュリティを単なるテクノロジーの機能として扱うのを止めることです。大量の 有益な情報を持つ熟達した攻撃者に直面する場合は、セキュリティを、諜報活動に対抗する機 能として扱うべきです」 T-Mobile USA社、Corporate Information Security担当Vice President兼Chief Information Security Officer、 William Boni氏 APTに対処する場合は、高度な情報を得られるようにイ ンシデント対応の手法やフォレンジック技法を設計する必 要があります。侵害に直面したときに重要なのは、インシデ ントの本質と範囲を理解することです。データの盗難が検 知されたら、セキュリティ・チームはおそらく本能的にシステ ムをシャットダウンするのではないでしょうか。しかし、可能 であれば、この機会を利用してトラフィックの行き先を観察 してください。偽の情報を与えてチャネルを開いたままにし ておき、攻撃に関するより多くの情報を収集します。この時 点で収集した情報は、自分の組織はもちろん他の組織に とっても、さらなる攻撃を防ぐ上で非常に有用です。 デントを検知します。環境全体で発生するイベントの相 関付けは、複雑な攻撃の検知に役立ちます。ただし、脅威 と自社の資産について理解していることが前提です。多く の場合、SIEMはコンプライアンスの報告要件を満たすた めに設定されます。脅威の検知にSIEMを効果的に活用す るには、取得すべきデータ・ログと、情報に基づいて相関付 けるべきイベントが分かっている必要があります。 セキュリティ・データ分析 一部のセキュリティ・チームは、より強力で詳細な分析 機能を求めています。不正なアクティビティを検知するため のデータ分析を使用した、企業セキュリティへの革新的な 提言2. 高度な監視を実施する アプローチが誕生しつつあります。この方法では、顧客の 購買活動などのデータを集約し、統計分析とデータ・マイニ 環境内での不正なアクティビティの全体像を把握するに ングを利用してビジネスの機会や非効率を特定する「ビジ は、アプリケーション、ホスト、ネットワーク、およびデータな ネス・インテリジェンス」システムをモデルにしています。 どの複数層での監視に加え、複数のプラットフォームで起き たイベントを関連付ける機能が必要です。これは難題です。 同様に、社員のアクセス状況などのデータを集約して分析 することで、セキュリティ・インシデントを検出することができ ポイントは、監視システムに対して、脅威および社内環境に ます。この考え方は魅力的です。分析エンジンを使用する 関するリアルタイムの情報を常に安定して供給することです。 と、膨大なリアルタイム・データと履歴データを高速で精査 し、ユーザーやシステムのアクティビティの傾向を明らかに 過去数年間にわたり、組織は包括的な監視を行うため し、侵害を示す異常を検出できます。課題としては、膨大な に、セキュリティ情報・イベント管理(SIEM)インフラストラク 量のデータの保管と処理が挙げられます。さらに、有意義 チャを導入してきました。SIEMテクノロジーでは、ファイア な分析を行うには、効果的な分析モデルを構築しなければ ウォール、IDS、WindowsR サーバー、データベース、Web なりません。特にAPTを検知するためには、脅威に関する サーバー、その他の種類のアプリケーションを含む多様な データを分析モデルに統合する必要があります。 ソースからログを集め、イベントの相関付けを行ってインシ RSA,The Security Division of EMC | Security for Business Innovation Councilレポート | 13 ・ 提言 「 ソフトウェアを中心とした包括的なシステムの課題は、そ れを支える管理プロセスがあってこそ有効なツールとなる 点です。まずは組織の体制を整えてから、これらの攻撃 を検知するためのプロセスを構築する必要があります」 Genzyme社、Global Risk and Business Resources担当Vice President、 David Kent氏 市場では「セキュリティ・データ分析」または「セキュリティ・ データ・ウェアハウス」など、既成のシステム・ソリューション がいくつか提供され始めています。一部の組織では、すで にシステムを自社開発しているか、または既存のビジネス・ インテリジェンス・プラットフォームを改良しています。テクノ ロジーだけでなく、セキュリティ問題を解決するためにデー タを分析しビジネス・インテリジェンスを使いこなせる人材も 必要です。先進的なセキュリティ部門では、すでに独自の データ分析チームを設立するか、または組織の別部門の既 存チームとの連携を開始しています。こうした技能を持つ人 材は銀行業界に多く存在します。銀行業界では、金融詐欺 を検知するためにデータを分析するデータ・サイエンティス トを採用しているためです。 ネットワークの可視性 監視の重要なもう1つの領域は、ネットワーク・トラフィッ クです。最も一般的なツールの1つに、侵入検知システム (IDS)があります。IDSでは、ネットワーク内のパケットを監 視して、事前に定義された攻撃パターン(シグネチャ)また は異常トラフィックを探します。予算の制約がある場合は、 オープンソースのIDSツールを利用できます。従来型の IDSの難点は、シグネチャのライブラリを常に更新しなけれ ばならない点です。組織は、IDSベンダーがシグネチャをタ イミングよく開発および導入するかどうかに左右されます。 APTの場合、攻撃は広く知られていないことから、シグネ チャが提供される範囲も広くはありません。 高度な攻撃を検知するため、別のアプローチとして、完 全なパケット・キャプチャと調査が可能なネットワーク・フォ レンジック・ツールを導入している組織もあります。ネット ワーク・フォレンジック・ツールは、ネットワーク上の全アク ティビティを収集、処理、保管します。ネットワーク・フォレン ジック・テクノロジーは、ネットワーク通信プロトコル(TCP、 SQLなど)を解釈してアクティビティをメッセージ送信、デー タベース・トランザクション、データ要素などとして認識し、 発生するアクティビティすべてを通知します。続いて、脅威 に関するデータに基づき、既知の技法、識別子、およびアド レスなどの指標について、ネットワーク・アクティビティの完 全なデータセットに問い合わせます。たとえば、指揮管制サ イトのIPアドレスが分かっている場合は、「このアプリケー ション内で、このIPアドレスを用いて自社システムのいずれ かが通信している先はどこか」などと問い合わせることがで きます。攻撃手法に関する情報がある場合は、「実行コード によって自社インフラストラクチャがトラバースされている箇 所はどこか」などと問い合わせます。脅威とその実行者に 対する理解が深まれば、前に戻って分析を改善することが できます。 脅威に関する情報をIPアドレス、ドメイン名、ユーザー 名、ファイル名、トランザクションの種類、キーワードなどの リストのような構造化データとして表すことができる場合は、 脅威データをシステムに直接入力し、ネットワーク・アクティ ビティの自動分析を行うことが可能です。脅威データは、コ ミュニティ・インターネット・スレット・インテリジェンス・サービ ス、商用スレット・インテリジェンス・フィード、US-CERT、 NSA、または組織が独自に作成した外部/内部向けスレッ ト・インテリジェンスなどから取得できます。 ネットワーク・フォレンジック・テクノロジーの課題の1つ は、ネットワーク上のイベントをすべて記録すると膨大な量 のデータが生成されることです。これらのデータを保管およ び処理するには、リソースを消費します。 14 | Security for Business Innovation Councilレポート | RSA,The Security Division of EMC • 提言 また、意味あるものとして分析する方法を知る人材がチー ムに必要です。つまり、情報を取得して有益な問い合わせ や自動検知で使用できるデータへと変換できる人材です。 現在、この新しい技能を備えた人材のいる組織は、ほんの わずかです。 概して、特に継続的に侵害されている組織があることを 考えると、新しい監視アプローチでインシデントの定義やイ ンシデント対応プロセスの構築方法を再検討する必要があ ります。次世代型のインシデント監視により、SOCまたは CIRTで求められる人材と役職のタイプは一変します。また、 継続的に侵害されている状態では、セキュリティ・チームに 過大な負担がかかる場合があります。防衛産業の組織の 先例にならって、APTと戦うための「戦闘パターン」、すなわ ち日々繰り返し行うタスクの内容と実行スケジュールを確 立する取り組みを実施してください。 APTの検知では新しい監視アプローチが重視されるこ とがほとんどですが、既存のセキュリティ構造も入念に見 直してください。たとえば、構成管理とパッチ管理は、いず れも検討が必要な領域です。システムが正しく構成され、 最新の設定と保護が確実に適用されるように、システムを 監視する必要があります。多くの攻撃は、構成に問題があ るかパッチが未適用のシステムを狙います。構成管理と パッチ管理の自動化が進めば、ITおよびセキュリティ担当 者の負担は軽減される、その分、新たなコンピテンシーの 構築に注力できるようになります。 「アイデンティティ管理については、企業全体を対象としないでく ださい。まずは最も高いドメイン・レベルの特権から取り組みま す。理由は、攻撃者が最初に標的とするからです。その証拠は 十分あると考えています。アイデンティティは重要な領域で、徹 底した防御の鍵となりますが、対応が難しいために見過ごされ がちです」 Northrop Grumman社、Vice President兼Chief Information Security Officer、Timothy McKnight氏 密に連携し、次に挙げる防御策への支援を促進する必要 があります。 特定の機器の管理者アカウントのみに対して管理者の ログインを許可する これらの機器ではリモート・アクセス、電子メール、Web サーフィンなどを許可しない 管理者アカウントについては対面でのパスワード変更 と多要素認証のいずれかまたは両方を必要とする 提言3. アクセス制御を 見直す システム全体で通用する管理者パスワードの利用を停 止する ネットワーク上を動き回れる管理者権限の保持者数を 重要な防御策に、攻撃者によるアクセス権限の取得を 困難にすることがあります。はじめに、最小特権ポリシーを 強化します。重要な資産については、アクセスが本当に必 要なユーザーを再評価し、アクセス権を持つユーザーの数 をできる限り減らします。 削減する 管理者グループを一般ユーザー群から切り離す方法を 使用する(サーバーをジャンプさせるなど) すべての管理者ユーザーに対して広範な監視を実施 する パスワードを廃止すれば、攻撃者はパスワードを取得 最も標的になりやすい認証情報は、特権ユーザーです。 または解読してアカウントを不正使用することができなくな 管理者アクセスは厳しく制御してください。これは、管理者 ります。一部の組織では、APT対策として、全ユーザーを の業務方法が制限される場合があるため、利便性が低下 多要素認証に移行させています。 するという理由で多くの抵抗を受ける可能性があります。IT 部門だけでなく業務プロセス担当者および資産所有者と緊 「 重要度の高いセキュリティ侵害について、直ちに厳戒態勢を 敷く必要があります。特に、管理者ユーザーが関与するイベ ントはすべて警戒してください。ただの管理者エラーだと決め 付けず、確認することが大切です」 Coca-Cola Company社、Chief Information Security Officer、 Renee Guttmann氏 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート | 15 ・ 提言 「 予防的に対処して全ユーザーを教育し 続ければ、いずれは本物のメールと フィッシング・メールの区別が付くように なるでしょう。統計情報を用いて本当に 効果的な教育戦略とは何かを検証すれ ば、戦略の成熟度はさらに高まります」 HDFC Bank Limited社、Chief Information Security Officer兼Senior Vice President、 Vishal Salvi氏 提言4. 効果的なユーザー教育について重点的 に取り組む どのようなセキュリティ・テクノロジーを導入したとしても、 すべての組織にとって最大の脆弱性は人間です。ソーシャ ル・エンジニアリングはAPT攻撃の主要な側面であり、ユー ザー教育の効果を上げる方法をすぐにでも探す必要があ ります。Webコース、ビデオ、対面講義などの従来のユー ザー教育方法では、ユーザーが実際に防御を実施するこ とはありませんでした。ユーザー1人ひとりが脅威を現実の ものとして認識し、組織の防御を実際に経験し、個人が原 因で大規模な情報漏えいが起こりうることを十分に理解で きるような教育方法が必要です。 新しい教育手法では、ユーザーのグループに対して フィッシング攻撃やスピア・フィッシング攻撃のシミュレー ションを実施し、実際に体験させて対応を試験します。内部 でフィッシング・テストを開発する組織もあれば、現在提供 されている自動フィッシング診断ツールを利用している組織 もあります。この自動ツールは、リアルタイムのフィードバッ クを提供し、フィッシングによるセキュリティ侵害を認識させ るのに役立ちます。ユーザーはテスト用の偽メッセージに 引っかかると直ちに通知を受け、何を間違えたか知らされ ます。セキュリティ・チームは、攻撃手法の進化に合わせて 教育プログラムを調整できます。新しい攻撃手法が登場し たら、セキュリティ・チームはこの新手法を組み込んだ新規 のフィッシング・メッセージを送信し、社員の対応を検証す ることができます。このほか、メッセージをクリックしたユー ザー数の統計を取り、その結果を長期にわたって評価する 際にも、このツールは役立ちます。もちろん、これらのテス トを実施する場合、セキュリティ・チームは人事部などの他 部門と緊密に連携する必要があります。 16 | Security for Business Innovation Councilレポート | この他の有効な教育手法に、シリアス・ゲームの活用が あります。この手法では、社員は自身のワークスペースを 模した仮想環境上でコンピュータ・ゲームを行います。この ゲームでは、一般的な実生活における業務特有のさまざま な状況を体験します。その中には、ソーシャル・エンジニア リング攻撃の完全なシミュレーションも含まれます。社員は ゲームと認識していますが、実際の業務で起きた場合と同 様に対応することが求められます。これにより、ユーザーは 脅威の現実味を実感し、自身が組織を危険にさらす可能 性を体感できます。セキュリティ・チームは、ユーザーの ゲームでの対応を評価し、それをセキュリティ・プログラム の評価と改善に役立てることができます。 教育の効果を高めるために非常に重要な点は、ユー ザーに各自の責任を認識させることです。この観点から、 従来の教育プログラムはよくても中途半端でした。脅威の 深刻度や、ユーザーが直面しうる個人による重大な過失の 可能性が効果的に伝えられてきませんでした。すべての社 員が、電子メールをクリックしたことが原因で、攻撃者に高 価値のデジタル資産を盗み出す機会を与え、可能性として は組織全体の壊滅につながることもあること、つまりこうし た大きな被害の責任を負う可能性があることに気付くべき です。これには、組織文化の変化と、セキュリティに対する、 より懲戒的なアプローチが必要です。 たとえば、ユーザーが注意を怠ってスピア・フィッシング の被害にあった場合、懲戒処分を与える方法があります。 組織によっては、ユーザーを怖がらせるという理由で反対 に合うかもしれません。しかし、脅威の高まりを考えると、 恐怖心があるからこそ、ユーザーが自ら脅威の現状を認識 し、セキュリティについて個人的に注意する動機が生まれ るともいえます。こうした組織文化の変化が起こることから、 幹部社員はその必要性を理解し、協力的になる必要があ ります。 ユーザーの脅威に対する認識とセキュリティへの責任 感を向上させることは絶対的に必要なことですが、100%成 功するものではないと理解することも重要です。ソーシャ ル・エンジニアリングに至っては、犯人は偽装の天才です。 偽装された電子メール、メッセージ、または電話の呼び出し は完全に合法に見えます。セキュリティ担当者ですら、騙さ れる可能性があります。 RSA,The Security Division of EMC • 提言 提言5. 幹部社員の考え方を管理する 情報セキュリティの一般的な哲学として、上層部の高い 意識と賛同が必要ということがあります。現状では、この賛 同なしで脅威に対抗することはできません。ニュースによる と、経営陣や取締役会は高まる脅威を認識してはいるもの の、リスクが実際に及ぶ範囲に目を向けたり必要な対策の 実現を検討したりはしない傾向にあるようです。セキュリティ・ チームが必要とする人、プロセス、テクノロジーの導入を事 業課題にするのは難しく、特に大きな障害となっているの が、サイバー攻撃が多くのエグゼクティブにとって未だ曖昧 な概念であることです。状況を伝える手段の1つに、財政面 と事業面への影響を含め、他の企業で実際に起こったイン シデントの事例を提示する方法があります。もう1つは、政 府機関を活用する方法です。行政機関から最新の脅威と 攻撃手法について説明してもらうことは、これら脅威の深刻 な性質を経営幹部レベルが理解するために役立ちます。 経営の指揮をとる立場の幹部社員にセキュリティにつ いて理解してもらえるように、コミュニケーションの機会を計 画しましょう。経営幹部レベルは、セキュリティの問題を、彼 らが直面する他の課題と同じで「適切に投資すれば解決で きる」と考えているかもしれません。もしくは、セキュリティを コンプライアンス問題のように、「チェックボックスを埋めれ ば終了する」と考えている可能性もあります。そうではなく、 APTとは解決できる問題ではないことを説明してください。 APTに対抗するには、常に進化する脅威について最新の 情報を入手し、継続的に脅威を評価し、セキュリティ戦略を 修正する必要があります。セキュリティに投資しても、攻撃 を止めることはできません。しかし、適切なリソースがあれ ば、組織は進化する攻撃に対処し、リスクを管理し、不可 避な攻撃が発生しても損害を最小限に抑えることが可能に なります。こうした現実を幹部社員に伝えてください。そ の際、脅威データをメッセージの裏付けとして使用してく ださい。 組織構造への支援を受けられることで、APTへの取り 組みが実現します。APT攻撃者は、さまざまな専門分野を 結集したチームを編成することに非常に長けています。彼 らに対抗するには、企業はまとまっている必要があります。 セキュリティ・チームは、部門横断(クロス・ファンクショナ ル)チームや運営委員会に対する経営陣の支援を得ること が求められます。これにより、多様な技能と専門知識を1つ にまとめ、取り組みを連携することができます。 経営陣からの支援を得るには、状況に応じて情報セ キュリティへの投資を引き合いに出します。メトリクスやベン チマークを通じて、投資を効果的に使用していることを示し てください。経営陣にとって、情報セキュリティのリスクは、 財務リスクまたは市場リスクといった企業が直面するリスク のポートフォリオ全体のうちの1つに過ぎないことを理解し てください。その上で、APTを受ける可能性とその影響につ いて説明し、経営陣が情報リスクをその他のリスクよりも重 要視できるような状況を作っていきます。情報リスク管理は、 企業の総合的なリスク管理戦略に統合されるべきです。 「単刀直入に『弊社は安全なのか、安全ではないのか』と質問する経営陣に 会うと、とても不安になります。リスク管理を正しく理解してもらいたいもので す。質問の内容も、『脅威の進化に遅れをとらないよう、セキュリティ機能に 対する十分な支援と資金は得られているか』であるといいのですが」 CSO Confidential社、創設者兼Director、BP社前Chief Information Security Officer、 Paul Dorey教授 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート | 17 ・ 提言 「ネットワークを保護する上で必要となる、技術の進化、インテ リジェンスおよび監視機能、継続的な刷新を正当化することは、 ITサービスを提供してそのネットワークを保護する義務を負担 してきた企業にとっては、比較的容易だと思います」 Mischel Kwon & Associates社、President、U.S. Computer Emergency Readiness Team(CERT)の前Director、 Mischel Kwon氏 提言6. ITを再構築する APTに対抗するには、セキュリティへの異なるアプロー チが必要なだけでなく、ITを変更する必要があります。深刻 な弱点に対処するためにも、多くの組織はネットワーク設 計を見直すことが必要です。フラットなネットワークでは、サ イバー犯罪者が容易にネットワーク上を移動し、あらゆるマ シンから求めるデータを見つけ出すことができます。フラッ トなネットワークの代わりに、組織は重要な資産を隔離する ためのネットワーク・ゾーンを設定し、ネットワーク環境を区 分する必要があります。情報資産の価値または機密性に 応じて、ネットワークから特定のデータを一気に取り除くこと も検討してください。 必要なリソースがなく専門家もいない組織の場合、解決策 として、常に最新の情報収集および情報セキュリティを維 持できるITサービス・プロバイダに移行する方法があります。 企業の唯一の目標が安全なITインフラストラクチャの提供 にあり、損益と株価がそれに左右される場合、必要な投資 を行う動機は強くなります。ITの専門家に安全なITインフラ ストラクチャの運用を外注することは、複数の顧客企業間 でコストが配分されることから、コスト効率も高くなります。 これは、クラウド・コンピューティングを導入するよい機会で もあります。ただし、安全性が実現されるかは、クラウド・プ ロバイダの取り組みの積極性と、提供されるITサービスの コスト効率がよいか、そのセキュリティが信頼でき、堅牢で、 拡張性に優れているかどうかに左右されます。 デスクトップ仮想化やシン・コンピューティングも、より安 全なシステムへの再構築に役立ちます。こうしたテクノロジー によって、デジタル資産は中央集中型サーバーに格納され、 ネットワーク上からは閲覧できてもダウンロードや転送がで きなくなるため、攻撃者はアクセスが難しくなります。 アプリケーションの脆弱性の数を削減するには、組織は 効果的なソフトウェア保証の方法を利用するとよいでしょう。 社内開発の場合は、強固なセキュリティを含むソフトウェア 開発ライフサイクル(SDLC)の基準を導入してください。既 成ソリューションの場合は、ベンダーが、安全かつ信頼性 の高いソフトウェア、ハードウェア、およびサービスを開発し 提供するための業界ベスト・プラクティスに準拠しているこ とを確認してください。 APTに対抗するには、人、プロセス、テクノロジーを長 期にわたって継続的にアップグレードする必要があります。 これは、組織によってはコストがかかる方法かもしれません。 18 | Security for Business Innovation Councilレポート | RSA,The Security Division of EMC • 提言 提言7. 情報交換に 参加する 最終的に、APTを防御するには、企業ITの新たなモデ ルだけでなく、情報共有の新たなモデルも必要です。現在 の情報共有チャネルには、たとえば北米のInformation Sharing and Analysis Center(ISAC)があります。しかし、 既存のチャネルは、脅威に関する情報を広めるには遅す ぎる可能性があります。一般的な攻撃シグネチャの寿命は 時間単位で計測されます。攻撃者はシグネチャが共有され たことを知ると、すばやく利用を停止します。共有の仕組み は、よりリアルタイムに近い速度で実現する必要があります。 そうすることで、シグネチャを認識したらすぐに他の組織へ と情報を広め、攻撃の検知に間に合わせることができます。 もう1つの大きな問題は、業界および政府が、脅威に関 する情報の共有に非常に消極的であることです。これには さまざまな理由がありますが、特に、法的リスクが認められ る情報についてはその傾向が強まります。重要なインフラ ストラクチャの圧倒的多数を民間団体が所有していること から、金融サービス、エネルギー、公共施設、通信事業者、 技術セクターを含めて、より幅広い情報交換への参加が必 要です。情報交換において、多くの組織は脅威に関する情 報を受け取りたいと考える一方で、積極的に貢献したいと は考えていないことがほとんどです。これを改善するため には、組織が協力し合うための動機付けが必要です。 現在の情報共有の行き詰まりを改善するには、法規制 が必要だという意見もあります。しかしながら、政府主導の 協調への取り組みは、法規制で実現されるものではありま せん。これはおそらく解決策になりません。政府のより重要 な役割は、情報共有の障害を取り除くことにあります。具体 的に言うと、法規制によって対処できるのは、多くの企業の 法務部門が関わる責任の問題です。また、企業が一定の 規模であるか、または重要なインフラストラクチャの一部で あるとき、企業合同コミュニティに所属するように法規制で 義務付けることもできます。実行可能なモデルにするには、 参加を匿名性にして、いずれの情報も特定の団体を突き止 めることができないよう保証することが必要です。 重要なのは、組織が法執行機関との連携をより深める ことです。企業がセキュリティ侵害を受けた多くの事例では、 インシデントが報告されていません。しかし、(米国の場合) FBIやNSAなどの機関は、サイバー犯罪の証拠を収集する ために情報を必要としています。また、企業がさらなる攻撃 を防ぐために役立つ可能性がある、脅威に関する情報も保 有しています。 「 情報共有で本当に難しいのは、どうすれ ば、注意して扱わなければならない種類 の 情 報を 、 多 くの 人 々 と、 最 も速 い ス ピードで、すぐに消費できる形態で共有 できるかということです」 EMC Corporation社、Chief Security Officer、 Dave Martin氏 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート | 19 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 結論 世 界各国の政府や業界を標的とする APT型攻撃が台頭する中で、多くの企 業は、まったく新しいタイプの脅威に直 面しています。また同時に、企業ITに内在 する脆弱性や、情報セキュリティに対する 有効でないアプローチが原因で、企業は危 険にさらされています。APTに対抗するに は、まったく新しい防御理論が必要であると いう認識が広まりつつあります。 進化し続ける脅威に対抗するためには、脅 威に対する自社の状況を常に再評価し、情 報セキュリティ戦略を適合させていくことが 必要です。すべてのセキュリティ・チームに とって、情報収集は必要不可欠なコア・コン ピテンシーとなりつつあります。また、多くの 企業にとっては、APTに対処するために組 織文化を変えることが必要になります。情報 セキュリティ戦略では、侵入を完全に防御で きる企業は 存在しないという考えを前提として、最も重 要なものを保護することに集中することが 必要になります。経営の指揮をとる立場の 幹部社員は継続的な取り組みに協力し、す べての一般ユーザーは情報セキュリティに 対して実際に責任を負う必要があります。 APTに対抗するには、行政機関と企業は情 報共有に対する現在の消極的な姿勢を克 服し、合同コミュニティを設立する必要があ ります。今日の脅威をとりまく状況では、組 織は他の組織とまったく協力せずに防御を 行うことはできないと考えなければなりませ ん。グローバル組織は、国内だけでなく、国 際規模での連携が求められます。結果とし て、個々の組織が利益を得るだけでなく、 公共部門および民間部門の全体的な セキュリティ改善につながります。 「APTに対抗するために、セキュリティ戦略の考え方を これまでの要塞化モデルから転換していく必要があり ます。防御、検知、対応できるだけでなく、侵害され続 ける状況下でも安全に業務を継続できることが必要と されています」 Airtel社、Chief Security Officer、Felix Mohan氏 20 | Security for Business Innovation Councilレポート | RSA,The Security Division of EMC |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 付録 企 Security for Business Innovation Councilイニシアチブについて 業の経営陣がグローバリゼーションやテクノロジーの パワーを活用して新たな価値や効率の良さを創造しよ うとしている今、ビジネス・イノベーションは多くの企業 にとって最も優先すべき事項となっています。しかし、「失わ れた環(ミッシング・リンク:連続性が期待される事象に対し て、欠けている部分)」がまだ存在しています。ビジネス・イ ノベーションは情報およびITシステムによって推進されるも のであるとはいえ、情報およびITシステムの保護は、一般 には戦略的なものとはみなされておらず、企業が大きな規 制上のプレッシャーを受け、拡大する脅威に直面してもそ れは変わりません実際、情報セキュリティへの対応は、し ばしば後手に回り、プロジェクトが終了する頃に取り組みが 行われることが多く、より悪い場合にはまったく対応がなさ れないことさえあります。しかし、適切なセキュリティ戦略が なければ、ビジネス・イノベーションはすぐに行き詰まり、組 織が大きな危険にさらされることもあるのです。 RSAは、セキュリティ・チームがビジネス・イノベーション・プ ロセスの真のパートナーになれば、組織がこれまでにない 成果を達成するための手助けができると考えています。今 こそ、新たなアプローチを採用する絶好の時です。セキュリ ティは、技術的な専門分野からビジネス戦略へと変貌を遂 げています。多くのセキュリティ・チームが、セキュリティとビ ジネスをさらに連携させる必要性を認識していながら、その 認識を具体的なアクション・プランに移すことに苦心してい ます。どこに向かうべきか分かっているのに、そこにどう やってたどり着くのかが明確になっていません。それが、 RSAが企業間の意見交換を促して、前進する道を見つけ 出すために、世界中のセキュリティ分野におけるトップ・ リーダーたちと協力している理由です。 RSAは、さまざまな業界のGlobal 1000企業から、セキュリ ティ分野で大きな成功を収めたエグゼクティブに呼びかけ、 セ キ ュ リ テ ィ 協 議 会 ( SBIC : Security for Business Innovation Council)を招集しました。そして、メンバーへの 詳細なインタビュー、その考えに関する一連のレポートの 発行、この問題を掘り下げる独立した研究への資金援助を 実施しています。RSAでは、この交流の場への皆様のご参 加をお待ちしています。 www.rsa.com/securityforinnovation/で、レポートや研 究内容をご覧いただくことができます。また、レポートへの コメントやご自身のアイデアをお寄せください。力を合わせ れば、この業界に大きな変革をもたらすことができます。 RSA,The Security Division of EMC Security for Business Innovation レポート・シリーズ www.rsa.com/securityforinnovation/ をご覧ください 今がその時: 情報セキュリティ戦略を ビジネス・イノベーションへ リスク/リワード均衡の習得: 情報リスクの最適化と同時に ビジネス・イノベーション・ リワードを最大化 迅速な推進: 厳しい経済状況下での戦略的 優位実現のための情報 セキュリティを管理 パスの図表化: 空前のリスク下での 「ハイパーエクステンデッド」 企業の実現 CISO-CEO間の隔たりを 埋めるために ユーザー主導型ITの台頭: チョイス・コンピューティングに向け た情報セキュリティの再調整 コンプライアンスの新時代: 規制強化が世界中の企業に 影響 ビジネス・イノベーション の定義 新規市場に参入し、新製品や新しい サービスを立ち上げ、新たなビジ ネ ス・ モ デル を 構 築 し、 新 し い 販路 や パートナーシップを確立し、また業務 の変革を達成するための企業戦略 | Security for Business Innovation Councilレポート | 21 Security for Business Innovation Councilおよびゲスト寄稿者のプロフィール ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| Global 1000企業の情報セキュリティの トップ・リーダー 寄稿者 Johnson & Johnson社、 Information Security担当 Worldwide Vice President、 Marene N. Allison氏 Anish Bhimani氏、 CISSP資格保持者 Marene N. Allison氏は、 Johnson & Johnson社に入社 する前は、Medco社、Avaya社、 およびGreat Atlantic and Pacific Tea Company社の Senior Security Executiveを務 めました。米軍に在籍したほか、 FBIの特別捜査官も務めました。 Allison氏はAmerican Society of Industrial Security International(ASIS)および Domestic Security Alliance Council(DSAC)の取締役会の メンバーで、West Point Women のPresidentでもあります。米陸 軍士官学校を卒業しています。 Anish Bhimani氏は、JPMorgan Chase社のITインフラストラク チャのセキュリティおよび弾力性 維持に関するグローバル責任者 であり、企業リスク管理プログラ ムをサポートしています。それ以 前は、Booz Allen Hamilton社、 Global Integrity社および Predictive Systems社でそれぞ れ幹部社員として勤務した経験 があります。Bhimani氏は、 Executive Allianceによって 「Information Security Executive of the Year for 2008」に選出され、Bank Technology Newsの「Top Innovators of 2008」リストにも 挙げられました。著書に 『Internet Security for Business』があり、Brown大学 およびCarnegie Mellon大学を 卒業しています。 Genzyme社、Global Riskおよび Business Resources 担当Vice President、 Nokia社、Chief Information Security Officer、 David Kent氏 David Kent氏は、Genzyme社 のビジネスに整合したグローバ ル・セキュリティ・プログラムの設 計および管理の責任者であり、 同プログラムは、ビジネス継続 性や危機管理と共に、物理的セ キュリティ、ITおよび製品セキュ リティを実現するものです。以前 には、Bolt Beranek and Newman社で勤務した経験があ ります。セキュリティとビジネス 目標の整合に関して25年に及 ぶ経験を有しています。セキュリ ティ分野における先見性に富む リーダーシップに対して、CSO Magazineの「2006 Compass Award」を受賞しました。経営学 修士号および刑事司法学士号 を有しています。 22 | JPMorgan Chase社、 Chief Information Risk Officer、 Petri Kuivala氏 Petri Kuivala氏は、2009年から Nokia社のCISOを務めています。 前職では全世界の企業セキュリ ティ運用を指揮し、その前には 中国でのセキュリティ運用を指 揮しました。Nokia入社は2001 年で、同社のIT Application Development組織とNokia Siemens Networks統合プロ ジェクトにも従事していました。 Nokia社に入社する前は、1992 年からHelsinki Police departmentに勤務し、Helsinki Criminal Police IT investigation departmentの創設メンバーでし た。Kuivala氏は法学修士号を 取得しています。 Security for Business Innovation Councilレポート | T-Mobile USA 社、 Corporate Information Security担 当Vice President兼Chief Information Security Officer、 Automatic Data Processing 社、 Vice President 兼Chief Security Officer、 CISM、CPP、CISA資格保持者 Roland Cloutier氏は、ADP社の 世界中の事業所を対象とした情 報、リスク、危機管理および調査 セキュリティ業務の機能および 運用に関する責任者です。それ 以前は、EMC社のCSOであり、 コンサルティング・サービス会社 や管理サービス会社で役員を務 めました。行政および法執行に おいて多くの経験を持ち、湾岸 戦争で空軍に従軍した後、米国 の法執行機関に務めました。 High Tech Crime Investigations Association、米 国務省のPartnership for Critical Infrastructure Security、 ならびにInfraguardのメンバー でもあります。 William Boni氏、 情報保護の専門家として30年以 上の経験を持つWilliam Boni氏 は、2009年にT-Mobile社へ入 社しました。それ以前は、 Motorola Asset Protection Services社のCorporate Security Officerを務めました。 Boni氏は経歴の全体にわたっ て有形、無形資産を保護するコ スト効果の高いプログラムの設 計および実装に携わってきまし た。電子業務システムを標的と したインシデントに対して、コン ピュータ・フォレンジックと侵入検 知を適用した先駆者でもありま す。2007年にはCSO Magazine の「Compass Award」および 「Information Security Executive of the Year – Central」を受賞しました。 EMC社、Chief Security Officer、 Dave Martin氏、 CISSP資格保持者 Dave Martin氏は、EMC社にて 業界をリードするGlobal Security Organization(GSO)の 責任者を務め、同社の数十億ド ルに上る資産および収益の保護 に注力しています。それ以前は、 EMC社のOffice of Information Securityの責任者としてグロー バル・デジタル企業の保護を担 当しました。2004年にEMC社へ 入社する前は、基幹インフラスト ラクチャ、テクノロジー、金融、医 療業界を対象としたセキュリ ティ・コンサルティング会社を設 立し、代表を務めていました。英 国Hertfordshire大学の生産シ ステムエンジニアリングで理学 士号を取得しています。 RSA,The Security Division of EMC Roland Cloutier氏 Northrop Grumman社、Vice President兼Chief Information Security Officer、 Timothy McKnight氏 Timothy McKnight氏は、 Northrop Grumman社のサイ バー・セキュリティ戦略および構 想を担当し、企業全体のポリ シーを定義して、企業を支える セキュリティを推進しています。 2007年には「Information Security Executive of the Year Mid-Atlantic Award」と 「Information Security Magazine Security 7 Award」 を受賞し、BAE社およびCisco Systems社の管理職を兼任する ほか、FBIにも所属しています。 ウォートン・スクールで学士号を 修得し、同大学でエグゼクティ ブ・リーダーシップ・トレーニング を修了しました。また、ジョージタ ウン大学の非常勤職員として勤 務した経験もあります。 |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| ゲスト寄稿者 Mischel Kwon & Associates社、 President、U.S. Computer Emergency Readiness Team(CERT)の前Director、 Mischel Kwon氏 eBay社、 Global Fraud担当Chief Information Security Officer兼 Vice President、 Dave Cullinane氏 Dave Cullinane氏はセキュリ ティに関して30年以上の経験を 有しています。eBay社に入社す る前は、Washington Mutual社 のCISOであり、またnCipher社、 Sun Life社およびDigital Equipment社では、セキュリティ を指導する立場にありました。 ISSAの現および前国際理事長 (current Past International President of ISSA)を含め、数 多くの業界団体に関係していま す。SC Magazineの「CSO of the Year for 2005」やCSO Magazineの「2006 Compass Award」の「Visionary Leader of the Security Profession」など多 数の受賞歴があります。 Airtel社、 Chief Security Officer、 Felix Mohan氏 Felix Mohan氏の仕事は、Airtel 社で情報セキュリティとITを、リ スク環境とビジネス・ニーズの変 化に対応させることです。以前 は、セキュリティ・コンサルティン グ会社のCEO、4大コンサルティ ング会社のアドバイザー、インド 海軍のITとセキュリティの責任 者を務めていました。インドの国 家情報セキュリティ対策本部 (National Task Force on Information Security)のメン バーと、Indo-U.S. Cybersecurity Forumの Co-chairでもありました。Mohan 氏には、情報セキュリティに分野 での革新的な功績に対してイン ド大統領からVishisht Sevaメダ ルが授与されました。 Mischel Kwon氏は、テクニカル防御セキュリティ、セキュリティ運用、および情報保証を 専門とするセキュリティ・コンサルティング会社を経営しています。以前は、EMCのセキュ リティ部門であるRSAのPublic Sector Security担当VP、U.S.- CERTのVP、米司法局 (DOJ)の IT Security Staff担当Deputy Directorに従事しました。また、ジョージワシント ン大学でコンピュータ科学分野の科学修士を取得するほか、Computer Security and Information Assuranceのgraduate certificate(学士と修士の中間に位置する学位)を有 し、非常勤教授も務めています。 ABN AMRO社、 Senior Vice President、Chief Information Security Officer、 CSO Confidential社、 創設者兼Director、BP社、前Chief Information Security Officer、 Coca-Cola社、 Chief Information Security Officer、 Martijn Dekker博士は2010年 の初めにABN AMRO社のChief Information Security Officerに 任命されました。以前はオランダ でHead of Information Security やHead of Technology Risk Managementなどの情報セキュ リティとITに関するいくつかの職 務を担当していました。IT Architect、Program/Portfolio Manager、IT Outsourcing/Offshoring Specialistなども務めました。 Dekker博士はUtrecht大学で数 学の修士号、Amsterdam大学 で数学の博士号を取得してから、 1997年にABN AMRO社に入社 しました。 Paul Dorey教授は、ベンダーや エンド・ユーザー企業、政府機関 によるセキュリティ戦略策定を支 援するためのコンサルティング、 トレーニングおよび調査などに 携わっています。CSO Confidential社を設立する前、 Dorey氏は、BP社でITセキュリ ティ、情報および記録管理の責 任者でした。それ以前は、 Morgan Grenfell銀行および Barclays銀行のセキュリティお よびリスク管理を担当していまし た。また、Jericho Forumの創設 者であり、Institute of Information Security Professionalsの会長、ならびに London大学Royal Hollowayカ レッジ客員教授でもあります。 Renee Guttmann氏は、 Coca-Cola社の情報リスク管理 プログラムの責任者です。以前 には、Time Warner社で情報セ キュリティおよびプライバシー担 当Vice Presidentを、Time社で Information Security部門の Senior Directorを務めました。 同氏はまた、Capital One社と Glaxo Wellcome社の Information Security部門での 勤務経験もあり、Gartner社でセ キュリティアナリストとしても勤務 しています。CSO Magazineの 「2008 Compass Award」受賞 者であり、2007年には、 Executive Women’s Forumに よって「Woman of Influence」に 選ばれました。 SAP社、 IT Security & Risk Officeおよび Global IT担当Vice President、 HDFC銀行、 Chief Information Security Officer兼Senior Vice President、 FedEx社、 Chief Information Security Officer兼Corporate Vice President、 Martijn Dekker博士 Paul Dorey教授 Ralph Salomon氏 Vishal Salvi氏、 Ralph Salomon氏は、SAP社の 世界規模のグローバルITセキュ リティ戦略および運用ITセキュリ ティの開発と維持の責任者です。 Salomon氏には、セキュリティ、 品質、およびリスク管理の統合 とITサービスおよび事業継続管 理の向上を含む数多くの業績が あります。これらは、SAP社の ISO 27001認証の取得とドイツ 企業初のBS25999認証の取得 に貢献しました。SAP社に所属 する前は、KPMG社でIT Security, Quality, and Risk Managementのアドバイザーお よび監査役を務めました。 Renee Guttmann氏 CISM資格保持者 Denise Wood氏 Vishal Salvi氏は、HDFC銀行お よびその子会社における情報セ キュリティ戦略とその導入の促 進に責任を負っています。 HDFC銀行の前には、Standard Chartered銀行(SCB)でGlobal Operational Information Security部門の責任者を務め、 またIT Service Delivery, Governance & Risk Management部門に勤務した経 験もあります。それ以前は、 Crompton Greaves社、 Development Credit銀行、 Global Trust銀行で勤務したこと があります。フランスNMIMS大 学でコンピュータ工学学士号お よびMBAを取得しています。 Denise Wood氏は、信頼される ビジネス・パートナーとしての FedEx社を保証するためのセ キュリティおよびビジネス継続性 戦略、プロセス、テクノロジーの 責任者です。1984年に入社して 以来、fedex.comの開発など重 要なプロジェクトを支援する情報 テクノロジー担当としていくつか の役職を歴任してきました。 1995年には、FedEx Asia Pacific社最初の最高情報責任 者(CIO)に就任しました。 FedEx社の前は、Bell South社、 AT&T社およびU.S. West社で 勤務した経験を持ちます。 Computerworldの「Premier 100 IT Leaders for 2007」受賞 者です。 RSA,The Security Division of EMC | Security for Business Innovation Councilレポート | 23 ©2011 EMC Corporation. All rights reserved. EMC, EMC2, the EMC logo, RSA and the RSA logo are registered trademarks or trademarks of EMC Corporation in the U.S. and/or other countries. All other trademarks mentioned herein are the property of their respective owners. EMCジャパン株式会社 RSA事業本部 24 | http://japan.rsa.com Security for Business Innovation Councilレポート | RSA,The Security Division of EMC CISO RPT 0711 - J