情報セキュリティ担当者の10年後は?

2006/4/27

 「セキュリティ対策の目的は企業のリスク管理。最高情報セキュリティ責任者(CISO)は最高リスク責任者(CRO)に移行していかないといけない」。米シマンテックのCISO ティム・メイサー(Tim Mather)氏は4月26日、開催中のRSA Conference Japan 2006で講演し、企業の情報セキュリティ担当者が変化を求められていることを強調した。

米シマンテックのCISO ティム・メイサー氏

 情報セキュリティ担当者が要求されているのは企業のエンドユーザー部門などビジネスサイドとのコミュニケーションだ。「20年前はビジネス部門がIT部門にかかわりを持つことはほとんどなかった。しかし、いまは積極的にかかわり、ITをビジネスに活かそうと要求を出している」とメイサー氏は述べる。

 また、システム的にもデータセンター内で稼働していたメインフレームから、各従業員がクライアントPCを利用する環境が普通になった。「メインフレーム環境から、LAN環境、インターネット環境に移行する中で、システムやネットワークの境界は冗談のようになってきている」

 情報セキュリティ担当者がビジネス側に伝えるべきメッセージは「情報セキュリティのリスク」(メイサー氏)だ。メイサー氏は企業の情報セキュリティには3つのリスクが浮上しているという。1つ目は無作為な攻撃から、ターゲットを絞った攻撃が主流になってきていること。うその電子メールで偽のWebサイトに誘い出して詐欺を働くフィッシングメールも、無差別に電子メールを送りつける手法から、あるサービスの利用者のうちで利用額が多いユーザーだけを狙うなど標的を絞り込むケースが増えている。

 2つ目は方向性の変化だ。従来のセキュリティ対策は外部からの攻撃への対処が中心だった。しかし、メイサー氏は「企業の内部からの脅威がある」と話す。攻撃の手口もスパムメールなどソーシャルエンジニアリングの高度化やスパイウェア、rootkitの活用など「問題のしつこさが変化している」(同氏)という。3つ目は金品をだまし取ることを目的にした攻撃が増えていること。コンピュータ・ウイルスなどが登場した当時は、自らの技術力を示す目的でウイルスやワームを作成してばら撒くケースが多かった。しかし、現在は「何10年も経験がある不遇のプログラマが犯罪を働いている」(同氏)。メイサー氏は組織犯罪の進出もみられるといい、攻撃者の意図が変化していることを説明した。

 情報セキュリティが変化しているのと同様に、ビジネス部門も法規制への対応やアウトソーシングの利用、パートナーシップの拡大、グローバル化、非正規従業員の増加など変化している。ビジネス部門の変化は情報セキュリティに影響を与える。メイサー氏は「情報セキュリティ担当者はビジネス環境の変化も認識し、対応を考えないといけない」と指摘し、情報セキュリティだけでなく、より広い概念である企業リスクを中心に考えるべきであると説明した。メイサー氏は「10年後にはCISOの役割はCROが担っているようになるだろう」と語った。

(@IT 垣内郁栄)

[関連リンク]
シマンテック
RSA Conference Japan 2006

[関連記事]
1000億円企業に、新生シマンテック船出は「予想以上に順調」 (@ITNews)
経営層にセキュリティ状況を報告、シマンテックの新コンサル (@ITNews)
「日本でテロが起きる前提で準備すべき」〜ジュリアーニNY前市長 (@ITNews)
内部統制の鍵はセキュリティ、SOX法対応でシマンテック提言 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)