金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。
これまでのセキュリティフレームワークだけでは「役に立たない」
パートナー
サイバーリスクサービス
野見山雅史氏
こうした潮流の中、情報セキュリティの専門家であるデロイト トーマツ リスクサービス パートナー野見山雅史氏は、サイバーセキュリティ対策は、経営者が主体となり、自社だけでなく取引先やパートナーなどのサプライチェーン全体で強化していくことが求められていると指摘する。
米国立標準技術研究所(NIST)が公開する「サイバーセキュリティフレームワーク」や、日本でも経済産業省が公開する「サイバーセキュリティ経営ガイドライン」でもサプライチェーンに対するセキュリティ対策を、経営者が認識すべき原則として明記している。
中でも日本では2020年に向けて世界的に注目を集めるイベントが相次いで開催され、中国や北朝鮮、あるいは米ロ関係などの地政学的リスクも相まって、同時にサイバーリスクも高まる見通しだ。
一方、多くの組織、企業でセキュリティ対策の評価を行っているが、既存の評価手法は、その組織の「実力」を評価するものではないと野見山氏は指摘する。
たとえば、米国連邦金融機関 検査協議会(FFIEC)が公開するCAT(Cybersecurity Assessment Tool)や上述した「サイバーセキュリティフレームワーク」、あるいは情報セキュリティに関する認証フレームワークである「ISO/IEC27001」を用いた評価を行っている企業は多い。これらのフレームワーク自体は網羅的で信頼が置けるものだが、評価手法としてはインタビューや資料閲覧ベースであるため、セキュリティ対策の実効性を評価できるのかとの懸念がある。
また、技術的にセキュリティ評価を行う「脆弱性評価」や「ペネトレーションテスト(侵入テスト)」などの手法では、「OSやミドルウェアの脆弱性は発見できても、それらが悪用されるかどうか、悪用されるとどうなるかまではわからないといった課題がある」と野見山氏は説明する。
そこで、新しい評価手法として注目されるのが「Red Team Operations」(RTO)だ。
海外では、英国中央銀行や香港金融管理局といった金融当局が実施を求めており、金融庁も報告書の中でRTOの実効性を認め、金融機関に対して活用を推奨している。では、そもそもRTOとはどのようなもので、どのような点が評価されているのだろうか。
この記事の続き >>
・なぜRTOが有望視されるのか
・「攻めの投資」へ向かうインフラ運用のあるべき姿とは
・コンテナ技術を用いたセキュリティテスト自動化フレームワークとは
・なぜRTOが有望視されるのか
・「攻めの投資」へ向かうインフラ運用のあるべき姿とは
・コンテナ技術を用いたセキュリティテスト自動化フレームワークとは
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
