CSO――その役割と悩み：RSA Conference 2005

RSA Conference 2005の3日目には、OracleのCSO、メリー・アン・デビッドソン氏らが参加してCSOの役割について問うパネルディスカッションが行われた。

[高橋睦美，ITmedia]

　RSA Conference 2005の3日目に行われたパネルディスカッションのテーマは「CSO（Chief Security Officer）の役割」だ。

　OracleのCSOを務めるメリー・アン・デビッドソン氏やMicrosoftのCSOに就任したカレン・オースター氏といったベンダー側のCSOに加え、NikeやThomsonといった大手企業のCSOらが登場し、現在直面している課題や今後のCSOのあり方についてコメントした。

　一連のディスカッションの中で多く時間が割かれたのが「パッチ」の話題だ。ワームやウイルス、不正侵入のリスクを減らすためにパッチの適用は不可欠だが、システムのアベイラビリティ確保という観点から問題が生じることもある。また、適用作業自体に要するコストや手間も無視できるものではない。

　「パッチの適用はツールやテクノロジ、プロセスを組み合わせ、アベイラビリティを確保しながら実行しなければならない。それには、セキュリティチームとビジネスアプリケーションの運用チームとの強い連携も必要だ」と述べたのはNikeのグローバル情報セキュリティマネージャ、リサ・ジョンソン氏。同氏は、適用の判断は「パッチの問題というよりもビジネス上の決定だ」ともコメントした。

　またThe Thomson CorporationのCSOを務めるデニス・デブリン氏は「常に時間とのバランスを見ながら判断を下している」という。そのバランスを勘案するうえで、攻撃を仕掛けてくる敵について理解するのと同時に、自身の環境を知っておくことも重要だとした。

　ベンダー側もパッチにまつわる問題は認識しているようだ。

　デビッドソン氏は「顧客はパッチ適用のリードタイムに課題を抱えている。われわれがパッチを定期的に提供することを決めたのは、この問題を解決するためだ。大事なことは、システム停止時間をいかに最小化するかだ」と述べた。同社は2004年11月にパッチリリースの定期化を図り、合わせて「リスク分析情報」の提供も開始しているが、これも「パッチを適用すべきかどうかに関する顧客の判断を支援するもの」という。

　「ITはほぼすべての重要インフラの基盤となり、公共の安全を支えている。その意味でベンダーには、セキュリティに対する説明責任がある」（同氏）。パッチ適用も含め、セキュリティに関するコストを下げることができれば、ベンダーの競争優位につながるとも述べた。

組織と人が重要

　現場のCSOの意見として、「人」に関する問題にも言及があった。「さまざまなテクノロジが存在しており、これらを用いて防御できることも多い。しかしそれ以上に重要なのは人だ。ソーシャルエンジニアリングによって引き起こされる脅威がある以上、『何をなすべきか』をユーザーに教育することが大事だ」（デブリン氏）。

　またMicrosoftのオースター氏は、ユーザーがよかれと思って導入するワイヤレス技術が脆弱な部分を作り出す可能性があることを例に挙げ、「あらゆることが起こりうるし、悪化する可能性がある」と述べた。また、CSOやセキュリティ担当者らが、社内のさまざまな部署に対する「通訳者」の役割を果たすることで、セキュリティをうまくビジネスチャンスにつなげていくこともできるだろうという。

　ただ、それには「使いやすい製品を提供することが重要だ。システムのセキュリティ確保を簡単に行えるようにしなくてはならない」と、Siebel SystemsのCISO、デイビッド・モートマン氏は述べている。

　「開発をはじめ、会社のあらゆる仕事にセキュリティは関連してくる」と述べたのはデブリン氏だ。これを踏まえ「CSOは企業のリスクに責任を負うことになる」という。

　最後にNikeのジョンソン氏は、経営陣との橋渡しを行ううえで、技術だけでなく「自社の事業や企業文化、さらには自社の戦略について理解しておかなければならない。それらを理解することによって、さらなる付加価値を加えることができる」と述べている。