RSAC2013 - AuditorはCISOの敵か、味方か。

RSA CONFERENCE 2013レポート第5弾。

　"Psychographics of the CISO"と"Managing Risk When Everything is Changing"。

　"Psychographics of the CISO"は、192人のCISOにアンケートを取り、結果をまとめた報告。現在の情報セキュリティの課題は、1.Mobile Device Security、2.Security Awareness Training、3.User Behaviorと。モバイルデバイスは、BYOD(個人所有端末)の問題と、タブレット等のビジネス利用(会社所有端末)をどう管理するか、といった両面がある。2位と3位は昔から続く課題。セキュリティの鎖で最も弱い輪は"人間"ということを示している。依然としてPCを無くす人は減らず、毎週「PCを無くさないように」「PCはトランクに入れ、助手席に置いたまま車から離れないように」とメールしているという例も紹介された。

　これらの課題のうち、個別の対策はそれぞれの担当者に任せることもできるが、ソーシャルエンジニアリング対策などは総合的な対応が必要になってくるので、CISOがリードすべきである、とする。

　情報セキュリティに関するプロジェクトとしては、1.Data Leakage Prevention、2.Identity Management、3.Mobile Device Securityの順。DLPのプロジェクトが23%もの企業で動いているということに驚いた。

　導入済みのセキュリティ施策として、1.Path Management、2.Vulnerabilty Scanning、3.IDS。このあたりは順当か。MDMが、46%の企業で導入済みというのは想像よりも多い。DLPの導入率は28%。ちょうど今普及期にあるということか。

　情報セキュリティのドライバーは何か、という問いには、ダントツで65%が"Compliance"と。結局なんだかんだ言って、情報セキュリティはコンプライアンスのためと考えている人がほとんどなんだな、と再認識した。

　会場からの質問で、CISOは誰にreportするか(誰の部下になるべきか)という質問が出た。可能性としては、CEO、CIO、CTOなどを考えることができるが、答えとしては、「最も情報セキュリティに興味を持っている人が良い」とのこと。確かに、言いたいことはわかる。

　次の質問で、Auditorとどうつきあっていくべきか、という問いに、「Auditorと友達になるべきである」という回答。これには会場から様々な意見が出た。AuditorはITを理解していないので、見当違いのことを言ってくる、といった意見が多く、Auditorとうまくいっていない人がとても多いのだな、ということがよく分かった。この点は日本でも米国でも変わらないらしい。コンプライアンスが情報セキュリティ施策実施の最大の理由であるならば、CISOが推進したいと考えているプロジェクトに関して、Auditorに上手に指摘してもらい、それをテコとして前に進める、ということができればいいのだろうが、なかなかCISOとAuditorの間に信頼関係は構築されないようだ。

　その次は、情報セキュリティ部門の人に対する悪口が始まった。情報セキュリティ部門の人は、自分は例外だと思っているからルール違反をするとか、問題が発生したら他人のせいにするとか、情報セキュリティ部門が一番の情報セキュリティリスクだとか、愚痴大会になった。

　その次は、PCI DSSの話。PCI DSSでは、WAF(Web Application Firewall)、もしくはソースコード分析が必須になっていて、これがとても厳しい、という話になった。そこで発表者から、「世の中で設置されているWAFの10%しかBlocking modeで動作していない」、と。え、ということは、PCI DSSをクリアするためだけにWAFを導入するけど、誤動作したら困るからBlocking modeにしていない、ということか。それって...。

　最後に、適正な情報セキュリティチームの人数はどうやって決めれば良いか、という質問が出た。タスクを分解したり、工数管理システムを使ったり、同規模の他社例を参考にするなどがいいのではないか、と回答があった。

　"Managing Risk When Everything is Changing"は、ISACAとしての発表。なのに何故か発表者のEd MoyleはCISSPの資格しかカバーページに表示していない。CISA持っていないのかな。Social Media、Big data、Cloud、Smartphoneなど、テクノロジーがどんどん変わっていく中で、"Best Performer"と呼ばれる企業がどのようにリスクを低減しているかの説明。

　総じて、Best Performerは、リスクアセスメントを頻繁にやっている、というISACAらしい内容。

　デジタルダーウィニズム、というコンセプトが紹介された。デジタルの環境は、企業が適合するよりも速く変化し続けている。革新を続けていかなければ、企業は生き残れない、と。

小熊