開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

レッドハット株式会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2019/01/09

金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか

2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。

これまでのセキュリティフレームワークだけでは「役に立たない」

photo
デロイト トーマツ リスクサービス
パートナー
サイバーリスクサービス
野見山雅史氏
 特定の組織に存在する情報を狙う「標的型攻撃」などのサイバー攻撃が激しさを増し、情報セキュリティの必要性が一層高まっている。最近では「実際に攻撃を受ける想定」や「マルウエア侵入後の対策」を見据える企業が増えた。

 こうした潮流の中、情報セキュリティの専門家であるデロイト トーマツ リスクサービス パートナー野見山雅史氏は、サイバーセキュリティ対策は、経営者が主体となり、自社だけでなく取引先やパートナーなどのサプライチェーン全体で強化していくことが求められていると指摘する。

 米国立標準技術研究所(NIST)が公開する「サイバーセキュリティフレームワーク」や、日本でも経済産業省が公開する「サイバーセキュリティ経営ガイドライン」でもサプライチェーンに対するセキュリティ対策を、経営者が認識すべき原則として明記している。

 中でも日本では2020年に向けて世界的に注目を集めるイベントが相次いで開催され、中国や北朝鮮、あるいは米ロ関係などの地政学的リスクも相まって、同時にサイバーリスクも高まる見通しだ。

 一方、多くの組織、企業でセキュリティ対策の評価を行っているが、既存の評価手法は、その組織の「実力」を評価するものではないと野見山氏は指摘する。

 たとえば、米国連邦金融機関 検査協議会(FFIEC)が公開するCAT(Cybersecurity Assessment Tool)や上述した「サイバーセキュリティフレームワーク」、あるいは情報セキュリティに関する認証フレームワークである「ISO/IEC27001」を用いた評価を行っている企業は多い。これらのフレームワーク自体は網羅的で信頼が置けるものだが、評価手法としてはインタビューや資料閲覧ベースであるため、セキュリティ対策の実効性を評価できるのかとの懸念がある。

 また、技術的にセキュリティ評価を行う「脆弱性評価」や「ペネトレーションテスト(侵入テスト)」などの手法では、「OSやミドルウェアの脆弱性は発見できても、それらが悪用されるかどうか、悪用されるとどうなるかまではわからないといった課題がある」と野見山氏は説明する。

 そこで、新しい評価手法として注目されるのが「Red Team Operations」(RTO)だ。

 海外では、英国中央銀行や香港金融管理局といった金融当局が実施を求めており、金融庁も報告書の中でRTOの実効性を認め、金融機関に対して活用を推奨している。では、そもそもRTOとはどのようなもので、どのような点が評価されているのだろうか。

この記事の続き >>
・なぜRTOが有望視されるのか
・「攻めの投資」へ向かうインフラ運用のあるべき姿とは
・コンテナ技術を用いたセキュリティテスト自動化フレームワークとは

この続きは会員限定です

ここから先は「ビジネス+IT」の会員の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!