情報セキュリティ責任者は「リスク責任者」へ――Symantecのメイサー氏：RSA Conference Japan 2006

RSA Conference Japan 2006において、米Symantecのティム・メイサー氏は、情報セキュリティ責任者は「リスク責任者」へと変化していかなければならないと述べた。

[高橋睦美，ITmedia]

　「CISO（最高情報セキュリティ責任者）はただ情報セキュリティのことだけ考えるのではなく、ビジネス環境の変化と、それによってもたらされるリスクおよび軽減策についても考えていかなくてはならない」――4月26日より開催されているRSA Conference Japan 2006において、米SymantecでCISOを務めるティム・メイサー氏はこのように語った。

　メインフレーム全盛の20年前とは異なり、今では事業部門とITとは密接な関わりを持っている。「ITは今、業務と深く関わっている。ネットワークがダウンすれば、それはつまり企業の業務が立ちゆかなくなるということを意味する」（メイサー氏）

米SymantecのCISO、ティム・メイサー氏

　情報セキュリティのプロフェッショナルはそうした観点から、事業部門に対してさまざまな教育や啓蒙を行っていくべきだと述べた。「たとえば、ある新しい取り組みがあるとして『これは効率を高めるかもしれないが、新たなセキュリティ問題を引き起こす可能性もある』ときちんと提言していかなくてはならない」（同氏）

　同氏が描くCISOの役割は、情報セキュリティの分野だけにとどまらない。物理的なセキュリティや財務会計的なリスクといった要素も含んだ、企業の総合的なリスク管理が求められるだろうという。「あと10年もすればCISOという役割はなくなり、CRO（Chief Risk Officer：最高リスク責任者）へと変化していくだろう」（メイサー氏）

　一連のビジネス環境の変化は、現場のセキュリティ担当者にも変化をもたらすだろうと述べた。というのも、いわゆるスタンドアロン型のセキュリティ機器に代わり、ネットワーク機器そのものにセキュリティ機能が組み込まれるようになっているからだ。そうなると「情報セキュリティ担当者は、専任スタッフとしては存在しなくなるだろう」（同氏）という。

脅威はよりしつこく高度に

　メイサー氏は、セキュリティ上の脅威の変化についても触れている。

　まず、ユーザーを広く無差別に狙う攻撃から、ターゲットを絞った攻撃へのシフトが起こっているという。「ランダムに狙っていては効率が悪い。攻撃者も企業と同じように効率を求めている」（同氏）。したがってウイルスにせよフィッシングにせよ、特定のユーザーや組織を狙い打ちにする傾向が見られるという。

　また、攻撃そのものの高度化も進んだ。ソーシャルエンジニアリング一つとっても、手口そのものが高度化しているだけでなく、トロイの木馬やrootkitを用いて「人間をスルーして、直接情報を盗み取ろうとしている。人間をだますまでもない」（同氏）

　「しつこさ」も増しているという。かつてのウイルスは、感染して単にクラッシュさせればそれで終わりだったが、最近の脅威は「ユーザーが知らないうちにシステムを悪用することを狙っている。何日、何週間、あるいは何カ月もの間、検知されないよう隠れてシステムをコントロールし、スパムメールを送ったり情報を盗み取ったりする」（同氏）

　さらに、昔のウイルスはインテリジェンスを持たない「ダム型」だったのに対し、最近のマルウェアはさまざまな形で制御できるようになっている。「攻撃者によるコントロール機能が強化され、ボットネットやゾンビをリアルタイムに制御できるようになっている。ISPによって対策が施されれば、数分後にはまた別の攻撃先を狙ってくる」（同氏）

　このように脅威が変化してきた理由は、攻撃者の目的が変わったからだ。「退屈しのぎに自分の技術力を誇示するための攻撃は減った。今は金銭が目的になっている」（メイサー氏）。金銭を狙う以上、能力のあるプログラマがこうしたツールを作成するようになっているほか、組織犯罪の進出も見られるという。