私は最近、情報化時代におけるCSO(最高セキュリティ責任者)とCISO(最高情報セキュリティ責任者)の役割に関する取材を受けました。すでに記事になったのか、これからなのかは不明ですが、やり取りのすべてが掲載されるとは限りませんから、これを機会に質問の一部と私の回答を以下にご紹介します。長年、企業の経営とは無縁の立場でやってきたせいか、「経営者」というよりは「セキュリティの専門家」色の強い意見となっています (そもそも経営を語れるほどの知識も持ち合わせていません)。
- ここ数年と比較して、2014年に入ってCSOの職務内容に変化は見られますか。もし変化があるとすれば、背景にはどのような要因やトレンドがあると思いますか。
- Cレベル(経営レベル)のセキュリティ担当者といえば、少し前まではセキュリティの熟練者が就任するものでしたが、最近はこうした風潮が薄れています。その一因となったのが、経営者側のセキュリティに対する認識の変化です。セキュリティのベストプラクティスの実施と余裕のあるビジネスプロセスを両立させるには、技術的なセキュリティ対策とビジネスプロセスやインフラのどちらにも精通した人物が指揮を執るべきだと考えられるようになっているのです。このような変化の背景には、組織が準拠する必要のある基準や法令が多岐にわたり、システムのセキュリティや管理に多種多様なスキルが求められるようになったことがまず挙げられます。プライバシーに関する問題をはじめ、犯罪者と国家の活動の境界線がますます曖昧になっており、昨年あたりから事態はさらに混迷の度を深めています。長きにわたり曖昧にされてきたツケが組織に回ってきた、と言った方が正確でしょう。
- CISOの役割は明確に認識されているでしょうか。この役職を導入する企業は今後増えていくでしょうか。理由もお答えください。また、その職務にはどのような内容が含まれるでしょうか。
- CISOとCSOを区別する主な理由は、後者がデジタルセキュリティだけでなく物理的セキュリティに対しても責任を負うことを明確に示すためであると考えます。実際の肩書きに関係なく、物理的セキュリティとデジタルセキュリティの区分けが曖昧なままであれば、あらゆるタイプのセキュリティを1人の人間に一任するのは合理的であるように思えます。一部の組織では、情報セキュリティの分野専任の特殊スキルを備えた人物がCISOとして確保されていますが、IT環境が概して複雑であることを考慮すると賢明な措置といえます。こうしたスキルは、技術的な能力とは限らず、経営ノウハウを指す場合もあり、CSO(または同等の役職)の協業パートナーとなるか報告担当者となるかは、おそらく個人や組織によって異なるでしょう。その職務については画一的なものと考えるのではなく、組織のニーズに応じて柔軟に定めるべきだと思います。
- 物理的セキュリティとデジタルセキュリティは、一組織の傘下で統合されるべきでしょうか。それとも別々に扱うべきでしょうか。
- 物理的セキュリティとデジタルセキュリティを完全に分離するのは現実的ではありません。国際情報システムズセキュリティ認証コンソーシアムの代理人を気取るわけではありませんが、同団体が認定を行っているCISSP(情報システムのセキュリティ専門家認定)において、資格取得のために知識と経験の証明が求められる主要分野の1つとして、物理的セキュリティが何年にもわたり指定されているのは事実です。こうした認定資格は、Cレベルのセキュリティ担当者として相応しいか、候補者の適性を評価する際の基準の1つとして幅広く使用されると見られます。CISSPは技術者側よりも経営層側に傾倒しており、深い知識よりも広い見識が求められます。Cレベルの役員の場合はその方が良いと多くの人が考えるでしょう。
- 経営幹部との関係という点から見て、CSOの役割はどのように変化しているでしょうか。
- セキュリティの実装はなかなか議題に上がりません。しかし、ここ最近は、役員会のような場でCSOが自社のセキュリティの「ビジョン」を主張する光景も珍しくなくなりました。経営幹部は、技術者と経営者の両サイドの視点をCSOに持たせることで任務を適切に果たすための十分な情報が取得できるように計らうと共に、役員会レベルでの発言権および発言力を与えることも重要となります。
- 企業は未来のCSOにどのようなスキルや資質を求めるでしょうか。社会人になったばかり、あるいはもっと若い次世代の人たちは、その役職に見合った能力を備えていくと思いますか。スキルの幅は広がっていくでしょうか。それとも狭まっていくでしょうか。
- *Spafford氏が提唱した「セキュリティ管理の原則」の1つ目は、「セキュリティに対する責務を担っているにもかかわらず、ルール設定や違反者の公開を行う権限がない場合、組織におけるその人物の役割は、何か大きなトラブルが発生した場合に責任を取ることにある」というのものですが、これはCSOレベルでも当てはまります。
大規模組織では、CSOが直々にセキュリティ管理に手を下す可能性は低いのですが、その一方で有効とはいえ高額な負担となる場合が多いセキュリティ戦略の実現に向けて、他の役員を納得させられる議論能力が必要とされます。そのため、若者たちが幹部へと駆け上がっていく中で、視野は広がっていくと言えるでしょう。ですから、把握しておく必要がある問題の幅も広がります。監督する部下のスキルの範囲も同様です。
*Eugene Spafford教授、CERIAS(情報アシュアランスおよびセキュリティ研究教育センター)/パデュー大学 - 多数の従業員や外部のパートナー、顧客を抱える大規模企業において、CSOはどのようなセキュリティエバンジェリスト(セキュリティの啓発活動を任務とする職)であるべきでしょうか。
- たとえセキュリティ対策に問題があったとしても最終的な成否は利用者自身にかかっていることを認識させるなど、Cレベルの役員には、組織内外におけるセキュリティ啓発への関与がある程度求められます。しかし、「セキュリティ」という名の付く肩書きを持つ人物であれば、教育活動や基準やポリシーの策定、周知を通じて関係者の意識を向上させる必要性についても十分に認識しておいてほしいところです。
- 企業向けの包括的なエンドポイントセキュリティソリューションを提供するべくIngram Microと独占契約を締結
ESETは、世界トップクラスのテクノロジー関連商品のディストリビューターであるIngram Micro Inc.(NYSE: IM)と戦略的かつ独占販売提携を締結したと発表しました。Ingram Microは米国のチャネルパートナーに対して、数々の受賞歴を誇るESETのビジネスソリューションのフルスイートへの迅速かつ効率的なアクセスを提供し、各分野で拡大し続けるニーズに対応します。
Ingram Microと新たな提携関係を結んだことで、ESETは、製品とサービスのベストマッチングを実現できるほか、魅力的なボリュームインセンティブプログラム(数量ベースで提供される報酬や特典)の立ち上げや、柔軟性の向上に伴う販売代理店の信頼性確保、安全な見積もりと注文を行うためのプロセスの容易化も達成できます。 - ESET Mobile Securityの最新バージョンにプロアクティブな盗難防止機能が搭載
ESETは、Android™ユーザーを対象とするESET Mobile Securityの最新バージョンを発表しました。最新バージョンには、紛失または盗難に遭ったモバイルデバイスをmy.eset.comの使いやすいWebインタフェースを介して追跡するプロアクティブな盗難防止機能、「アンチセフト」が新たに搭載されています。基本的な保護機能はいつでも無料でご利用いただけますが、さらなるメリットがあるプレミアム版はサブスクリプション形式で提供されます。必要に応じてご購入をご検討ください。
プロアクティブなアンチセフトは、潜在的に危険な状況を検出すると、盗難や紛失したデバイスの位置特定を容易にするための予防措置を講じます。プレミアム版には、バッテリが少なくなるとデバイスの位置情報を送信する、間違ったPIN/パターンの入力やSIMの不正な変更が検出されると前面と背面のカメラでスナップショットを作成する、といった新機能も搭載されています。デバイス上のすべてのデータは、my.eset.comのWebインタフェースからアクセス可能です。
Androidユーザーの利便性を高め、サイバー脅威に対する懸念を払拭する強力なセキュリティ機能を備えるESET Mobile Securityは、無料版とプレミアム版が用意されています。無料版では、デバイスのフルスキャン、ダウンロードしたアプリケーションのアイテムのスキャン、基本的なアンチセフト機能といった基本的な保護機能が提供されます。プレミアム版のすべての機能は、30日間のトライアル版を有効にするか、ライセンスを購入すると利用できるようになります。プレミアム版には、スケジュール設定可能なスキャン、オンチャージャースキャン、高度かつプロアクティブなアンチセフト機能、my.eset.comとの統合、SMSおよび通話フィルタ、セキュリティ監査といった機能が搭載されます。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年5月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.99%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
詳細については、ESETの概要とプレスセンターをご覧ください。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。