目次
David Harley、ESETシニアリサーチフェロー、ESETノースアメリカ
Small Blue-Green World
私は最近、情報化時代におけるCSO(最高セキュリティ責任者)とCISO(最高情報セキュリティ責任者)の役割に関する取材を受けました。すでに記事になったのか、これからなのかは不明ですが、やり取りのすべてが掲載されるとは限りませんから、これを機会に質問の一部と私の回答を以下にご紹介します。長年、企業の経営とは無縁の立場でやってきたせいか、「経営者」というよりは「セキュリティの専門家」色の強い意見となっています (そもそも経営を語れるほどの知識も持ち合わせていません)。
- ここ数年と比較して、2014年に入ってCSOの職務内容に変化は見られますか。もし変化があるとすれば、背景にはどのような要因やトレンドがあると思いますか。
- Cレベル(経営レベル)のセキュリティ担当者といえば、少し前まではセキュリティの熟練者が就任するものでしたが、最近はこうした風潮が薄れています。その一因となったのが、経営者側のセキュリティに対する認識の変化です。セキュリティのベストプラクティスの実施と余裕のあるビジネスプロセスを両立させるには、技術的なセキュリティ対策とビジネスプロセスやインフラのどちらにも精通した人物が指揮を執るべきだと考えられるようになっているのです。このような変化の背景には、組織が準拠する必要のある基準や法令が多岐にわたり、システムのセキュリティや管理に多種多様なスキルが求められるようになったことがまず挙げられます。プライバシーに関する問題をはじめ、犯罪者と国家の活動の境界線がますます曖昧になっており、昨年あたりから事態はさらに混迷の度を深めています。長きにわたり曖昧にされてきたツケが組織に回ってきた、と言った方が正確でしょう。
- CISOの役割は明確に認識されているでしょうか。この役職を導入する企業は今後増えていくでしょうか。理由もお答えください。また、その職務にはどのような内容が含まれるでしょうか。
- CISOとCSOを区別する主な理由は、後者がデジタルセキュリティだけでなく物理的セキュリティに対しても責任を負うことを明確に示すためであると考えます。実際の肩書きに関係なく、物理的セキュリティとデジタルセキュリティの区分けが曖昧なままであれば、あらゆるタイプのセキュリティを1人の人間に一任するのは合理的であるように思えます。一部の組織では、情報セキュリティの分野専任の特殊スキルを備えた人物がCISOとして確保されていますが、IT環境が概して複雑であることを考慮すると賢明な措置といえます。こうしたスキルは、技術的な能力とは限らず、経営ノウハウを指す場合もあり、CSO(または同等の役職)の協業パートナーとなるか報告担当者となるかは、おそらく個人や組織によって異なるでしょう。その職務については画一的なものと考えるのではなく、組織のニーズに応じて柔軟に定めるべきだと思います。
- 物理的セキュリティとデジタルセキュリティは、一組織の傘下で統合されるべきでしょうか。それとも別々に扱うべきでしょうか。
- 物理的セキュリティとデジタルセキュリティを完全に分離するのは現実的ではありません。国際情報システムズセキュリティ認証コンソーシアムの代理人を気取るわけではありませんが、同団体が認定を行っているCISSP(情報システムのセキュリティ専門家認定)において、資格取得のために知識と経験の証明が求められる主要分野の1つとして、物理的セキュリティが何年にもわたり指定されているのは事実です。こうした認定資格は、Cレベルのセキュリティ担当者として相応しいか、候補者の適性を評価する際の基準の1つとして幅広く使用されると見られます。CISSPは技術者側よりも経営層側に傾倒しており、深い知識よりも広い見識が求められます。Cレベルの役員の場合はその方が良いと多くの人が考えるでしょう。
- 経営幹部との関係という点から見て、CSOの役割はどのように変化しているでしょうか。
- セキュリティの実装はなかなか議題に上がりません。しかし、ここ最近は、役員会のような場でCSOが自社のセキュリティの「ビジョン」を主張する光景も珍しくなくなりました。経営幹部は、技術者と経営者の両サイドの視点をCSOに持たせることで任務を適切に果たすための十分な情報が取得できるように計らうと共に、役員会レベルでの発言権および発言力を与えることも重要となります。
- 企業は未来のCSOにどのようなスキルや資質を求めるでしょうか。社会人になったばかり、あるいはもっと若い次世代の人たちは、その役職に見合った能力を備えていくと思いますか。スキルの幅は広がっていくでしょうか。それとも狭まっていくでしょうか。
- *Spafford氏が提唱した「セキュリティ管理の原則」の1つ目は、「セキュリティに対する責務を担っているにもかかわらず、ルール設定や違反者の公開を行う権限がない場合、組織におけるその人物の役割は、何か大きなトラブルが発生した場合に責任を取ることにある」というのものですが、これはCSOレベルでも当てはまります。
大規模組織では、CSOが直々にセキュリティ管理に手を下す可能性は低いのですが、その一方で有効とはいえ高額な負担となる場合が多いセキュリティ戦略の実現に向けて、他の役員を納得させられる議論能力が必要とされます。そのため、若者たちが幹部へと駆け上がっていく中で、視野は広がっていくと言えるでしょう。ですから、把握しておく必要がある問題の幅も広がります。監督する部下のスキルの範囲も同様です。
*Eugene Spafford教授、CERIAS(情報アシュアランスおよびセキュリティ研究教育センター)/パデュー大学 - 多数の従業員や外部のパートナー、顧客を抱える大規模企業において、CSOはどのようなセキュリティエバンジェリスト(セキュリティの啓発活動を任務とする職)であるべきでしょうか。
- たとえセキュリティ対策に問題があったとしても最終的な成否は利用者自身にかかっていることを認識させるなど、Cレベルの役員には、組織内外におけるセキュリティ啓発への関与がある程度求められます。しかし、「セキュリティ」という名の付く肩書きを持つ人物であれば、教育活動や基準やポリシーの策定、周知を通じて関係者の意識を向上させる必要性についても十分に認識しておいてほしいところです。
- 企業向けの包括的なエンドポイントセキュリティソリューションを提供するべくIngram Microと独占契約を締結
ESETは、世界トップクラスのテクノロジー関連商品のディストリビューターであるIngram Micro Inc.(NYSE: IM)と戦略的かつ独占販売提携を締結したと発表しました。Ingram Microは米国のチャネルパートナーに対して、数々の受賞歴を誇るESETのビジネスソリューションのフルスイートへの迅速かつ効率的なアクセスを提供し、各分野で拡大し続けるニーズに対応します。
Ingram Microと新たな提携関係を結んだことで、ESETは、製品とサービスのベストマッチングを実現できるほか、魅力的なボリュームインセンティブプログラム(数量ベースで提供される報酬や特典)の立ち上げや、柔軟性の向上に伴う販売代理店の信頼性確保、安全な見積もりと注文を行うためのプロセスの容易化も達成できます。 - ESET Mobile Securityの最新バージョンにプロアクティブな盗難防止機能が搭載
ESETは、Android™ユーザーを対象とするESET Mobile Securityの最新バージョンを発表しました。最新バージョンには、紛失または盗難に遭ったモバイルデバイスをmy.eset.comの使いやすいWebインタフェースを介して追跡するプロアクティブな盗難防止機能、「アンチセフト」が新たに搭載されています。基本的な保護機能はいつでも無料でご利用いただけますが、さらなるメリットがあるプレミアム版はサブスクリプション形式で提供されます。必要に応じてご購入をご検討ください。
プロアクティブなアンチセフトは、潜在的に危険な状況を検出すると、盗難や紛失したデバイスの位置特定を容易にするための予防措置を講じます。プレミアム版には、バッテリが少なくなるとデバイスの位置情報を送信する、間違ったPIN/パターンの入力やSIMの不正な変更が検出されると前面と背面のカメラでスナップショットを作成する、といった新機能も搭載されています。デバイス上のすべてのデータは、my.eset.comのWebインタフェースからアクセス可能です。
Androidユーザーの利便性を高め、サイバー脅威に対する懸念を払拭する強力なセキュリティ機能を備えるESET Mobile Securityは、無料版とプレミアム版が用意されています。無料版では、デバイスのフルスキャン、ダウンロードしたアプリケーションのアイテムのスキャン、基本的なアンチセフト機能といった基本的な保護機能が提供されます。プレミアム版のすべての機能は、30日間のトライアル版を有効にするか、ライセンスを購入すると利用できるようになります。プレミアム版には、スケジュール設定可能なスキャン、オンチャージャースキャン、高度かつプロアクティブなアンチセフト機能、my.eset.comとの統合、SMSおよび通話フィルタ、セキュリティ監査といった機能が搭載されます。
1. Win32/Bundpil[全体の約2.99%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
2. LNK/Agent.AK[全体の約1.87%]
前回の順位:2位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
3. Win32/Sality[全体の約1.56%]
前回の順位:3位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
4. HTML/ScrInject[全体の約1.49%]
前回の順位:4位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
5. INF/Autorun[全体の約1.47%]
前回の順位:5位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。 今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。 WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。 ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
6. Win32/Qhost[全体の約1.37%]
前回の順位:6位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
7. Win32/Conficker[全体の約1.22%]
前回の順位:7位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。 Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。 ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。 「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
8. Win32/Ramnit[全体の約1.19%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
9. Win32/TrojanDownloader.Waski[全体の約1.12%]
前回の順位:9位
このトロイの木馬は、インターネットから別のマルウェアをダウンロードしようとします。2つのURLを保持しており、そのURLからファイルをダウンロードしようとします。通信にはHTTPプロトコルが使用されます。ダウンロードしたファイルをまず%temp%\miy.exe内に保存し、それから実行します。
10. Win32/Dorkbot[全体の約1.01%]
前回の順位:10位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからのコントロールが可能です。UPXを使用して実行ファイルが圧縮されています。ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年5月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.99%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
詳細については、ESETの概要とプレスセンターをご覧ください。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
