ニュース
2004/02/25 19:53:00 更新


CSOらによるCSOのためのコンソーシアム、SecMet設立

セキュリティリスクの定量的な計測は、企業のセキュリティ担当者にとって頭の痛い問題だ。現場の人々が自らその問題を解決しようと、新しいコンソーシアムが立ち上げられた。

 「ベンダー主導ではなく、セキュリティの現場に立つ人々の立場から、セキュリティ上のリスクを定量的に計る標準的な手法を作り上げていきたい」(米Foundstoneの社長兼CTO、スチュアート・マクルーア氏)。

 2月24日、サンフランシスコで開催中のRSA Conferenceにおいて、新しいコンソーシアム「Security Metrics Consortium(SecMet)」の立ち上げが発表された。会長には米MotorolaのCSO(最高セキュリティ責任者)、ウィリアム・ボニ氏が就任している。

 SecMetの目的は、企業のCSOやCISO(最高情報セキュリティ責任者)など、企業で実際にセキュリティに携わっている人々が集まり、セキュリティリスクの標準的な計測手法やダッシュボードの作成に取り組んでいくこと。Foundstoneのマクルーア氏のほか、米Macromedia、McKessonといった企業からセキュリティ担当者が加わっており、今後も幅広く参加者を募るという。また、全米情報技術協会(ITAA)やISACA(情報システムコントロール協会)といった既存の組織とも連携し、情報交換などを行う方針という。

 金融や医療など高いセキュリティが求められる業種では、Sarbanes-Oxley法やHIPAAといった各種規制が定められているが、場当たり的な対応が目に付くのも事実。また、こういった規制の外にある一般的な企業では、そもそもガイドラインや測定基準が存在しないため、担当者はセキュリティ対策の最適な落としどころを見出すのに苦労しているという。

 「多くのセキュリティ担当者は、“果たしてセキュリティにどの程度投資すべきなのか”“講じた対策はセキュリティ改善に役立っているのか”といった事柄が分からずに頭を悩ませている」(マクルーア氏)。SecMetを通じてセキュリティの測定基準をまとめることにより、こういった問題を解消し、今いる位置と目標とをはっきり見定め、セキュリティ対策を改善させ、投資が適切であることを証明できるようにしていきたい、という。

 SecMetはまず、2004年夏をめどに、セキュリティリスクの標準的な計測手法案をまとめる予定だ。そして年内に、ベストプラクティスを反映させたセキュリティダッシュボードを作り上げる方針である。ゆくゆくは、このリスク評価技法とセキュリティポリシーとに整合性を持たせるように拡張していきたいという。

CVE互換リストに10社が追加

 この日にはまた、脆弱性情報を集めた辞書「Common Vulnerabilities & Exposures(CVE)」を採用したサードパーティ数社が、「CVE Compatible Products」の認定を受けたことも明らかにされた。

 CVEは、さまざまなデータベースやセキュリティソフトウェアから共通して参照可能な脆弱性情報のリファレンスで、米非営利団体のMITRE Corporationによって運営されている。この日は新たに、RedHatやSAINT、Foundstone、Qualys、HARRISなど、10社14製品が認定を受けることになった。

CVE認定の模様

RSA Conferenceの会場で行われた「CVE互換」認定授与の模様

 認定証授与を行った国土安全保障省のインシデントレスポンスマネジャー、ジョン・ペイトン氏は、日々登録される脆弱性情報が増加している中、「CVEとの互換性を保つことによって、同じインシデントについてばらばらな情報を扱うという複雑なプロセスを経ることなく、効果的に情報を把握し、セキュリティ向上に役立てることができる」と述べた。

 かつてウイルス対策ソフトウェアベンダーで働いた経験を持つという認定企業の担当者は、「ウイルスの分野では、同じウイルスなのに5つも6つも違う名前が付いたりする。そのことを考えれば、CVEという共通のリストを持つことによって、ユーザーは非常に便利になる」とコメントしている。

関連リンク
▼SecMet
▼CVE
▼RSA Conference 2004

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -