世界有数のサイバーセキュリティイベントであるRSAカンファレンスが、今年も2月24日(月)~28日(金)に米サンフランシスコのMoscone Centerで開催されました。
今回のRSAカンファレンスは、新型コロナウイルスの感染拡大による影響が米国で深刻化する少し前に開催されたこともあり、大手企業ではAT&T、IBM、Verizonが参加および出展を取りやめたものの、概ね例年通りの規模、スケジュールで開催されました。
例年当社は日本・北米拠点から社員を派遣していましたが、この事情に鑑みて北米拠点の社員のみRSAカンファレンスに参加することとしました。
本記事は、北米拠点から参加した社員による現地からのレポートに加えて、RSAカンファレンスのホームページで公開されているセミナー資料や、YouTubeで公開されているセミナー動画などを参照し作成しました。
RSAカンファレンス2020のテーマ
毎年RSAカンファレンスではテーマが設定されており、テーマが開催年のトレンドを反映しています。昨年(2019年)のテーマは『Better.』でしたが、今回のテーマは、『Human Element』でした。今回のテーマを設定した理由を、主催者は以下のように説明しています。
・セキュリティのプロと脅威者の双方が採用しているあらゆる新しい技術、戦略、人工知能において、ある1つの不変的な要素があります。それは、私たち人間です。
・RSA カンファレンスの目標は、業界が成熟することを支援すると同時に、世界の防衛者としての役割を担う個人が成長できるように準備することです。
・サイバーセキュリティとは原則として、人々が人々を守ることであると私達が認識することで、世界はより良く、より安全な場所になると信じています。
29回を迎える今回のRSAカンファレンスには、公式発表で36,000人以上の参加者、704名のスピーカー、658社の出展があったとのことです。
RSAカンファレンスは大きく分けて、セキュリティ専門家がセキュリティについての講演を行うKeynote/Conferenceパートと、セキュリティベンダーが各社製品の展示を行うExpoパートがあります。今回は、聴講したKeynote/Conferenceパートのセッションから興味深いトピックを選りすぐり、皆さんにご紹介します。
Keynote/Conferenceのハイライト
今回のRSAカンファレンス2020で行われたセッションの中で、特に気になったセッションを「ハイライト」としてご紹介します。
ハイライト① Reality Check
RSAのPresidentであるRohit Ghai氏は、サイバーセキュリティ業界を変革するために、以下2点のアプローチを取るべきであると訴えた。
- ①Reclaim the Narrative(物語の書換え)
サイバーセキュリティは防御側・攻撃側に二分されるが、防御側が攻撃側に勝てる事はほとんど無いというのが共通認識となってしまった。しかし、防御側が攻撃側に負けなかった事例も多く存在し、そうした事例を、私たちは外部に積極的に発信していくべきである。
- ②Reorganize our Defense(防御の再構築)
サイバーセキュリティはもはや、企業や団体のセキュリティ部門の範疇を超えており、今後はビジネス部門、リスク部門、IT部門と協力して防御を再構築していくべきである。
ハイライト② We the People: Democratizing Security
CiscoのHead of Advisory CISOs であるWendy Nather氏は、これからのセキュリティのキーワードとして”民主化”という言葉を使いながら下記が重要であると説いている。
-
フィッシング詐欺などの、人間が本能的に行動してしまう攻撃に対する対症療法(教育など)ではなく、人間が本能的に実施できるセキュリティ対策を”デザイン”すべき(KeynoteではiPhoneのロック解除手法がパスコードからTouch IDへ移行された例が挙げられた)。
-
セキュリティは専門家だけの領域でなくなっており、年齢、業界、職種にかかわらずすべての人が参加でき、またそれぞれが自身の判断を下せるようにすべき。
-
セキュリティ対策、ソリューションは市場の中でその良し悪しが民主的に決定されていくであろう。
ハイライト③ Fear and Loathing in Cybersecurity: An Analysis of the Psychology of Fear
CygentaでCo-CEOを務めているJessica Barker氏は、組織のセキュリティ意識醸成について心理学的な観点を踏まえ下記のように述べている。
-
人々に行動を与えるために、恐怖を交えたメッセージを伝えることは有効であるが、行動につなげるためにはそのメッセージに提示する対策が受け手にとって有効であることも同時に伝えなければならない。
-
また対策を実施するためのツール(具体的な手段)も同時に提示することが有効である。
-
伝えるメッセージには、ポジティブなメッセージと同時に、他の人も総じて理解している、または実施していることを伝えると、人は動きやすい。
ハイライト④ Hot Topics in Cyber-Law
ABA Science & Technology Law Sectionの情報セキュリティリーダーたちは、サイバー関連の法律に関する2020年のホットトピックとして、「データブローカー」と「ハッキング民主主義」をキーワードとして挙げている。
- ①データブローカー ※1
ほとんど透明性がないことや保有データの正確性が確証できないこと、データの収集元が不明であることなどのデータブローカーにまつわる問題点を踏まえ、現在米ベルモント州やカリフォルニア州をはじめとした、さまざまな州でデータブローカーに関する法案(CCPAなど(※2))が通されている。今後、州レベルでデータブローカーに対する法規制が強まり、連邦議会でも立法化されていくであろう。
②ハッキング民主主義
2020年秋に実施される米大統領選挙がハッカーの大きな標的となっている。選挙システムは複雑であり、攻撃できる領域が広いために脆弱である。特に選挙運動や投票の規模が大きくなればなるほど、攻撃者に突かれる脆弱性の数が増えてしまう。ポイントは、投票システムの安全性確保、選挙システムのベンダおよびベンダが提供するシステムに対する認証制度の創設、安全性の高いシステムへの選挙資金の投入、州および地方機関の選挙システムに関わるセキュリティへの投資であると考えられる。
※1 データブローカー:消費者の生データを所持し、売買してビジネスをしている組織
※2 CCPA:カリフォルニア州消費者プライバシー法。カリフォルニア居住者を保護する目的で2020年1月に施行された。2500万ドル以上の売上のある企業、売上高の5割以上が個人情報の販売で利益を得ている企業などを準拠対象としている。
ハイライト➄ NAVIGATING PRIVACY IN A DATA-DRIVEN WORLD: TREATING PRIVACY AS A HUMAN RIGHT
ニューヨークの弁護士でインターネットプライバシー専門家であり、Future of Privacy ForumのCEOを務めるJules Polonetsky氏は、これからの世界において、私たちのプライバシーは基本的人権として扱われて行くべきであると訴えている。
-
現在、世界中のあらゆる重要な事柄がデジタルプラットフォーム上で展開されており、プライバシーに関してより一層私たちは考慮せねばならなくなってしまった。プライバシーを考慮せず、利益追求を目的とするだけのイノベーションは、色あせたものになるだろう。
-
プライバシーを基本的人権として扱われるようにするために、①政策立案者と消費者の教育、②コードとベストプラクティスへの貢献(規範の設定)、③包摂的な体制のもとでの推進(幅広いステークホルダーを巻き込んだ対策の実施)、④製品の悪用について最悪の場合を想定した防止策の実施、が重要である。
ハイライト⑥ Digital Transformation, Deception and Detox: Security Leaders Anonymous
Loews HotelsのDirector of IT Governance & SecurityであるElliott Franklin氏は、昨今のDigital Transformation(以下、DX)の流れの中で、CISOをはじめとするセキュリティ従事者の心身の負担軽減のために下記が重要であると訴えている。
- ①心身のケア
セキュリティ従事者の多くは24時間365日で自社システムを監視していることが多く、適切な生活リズムで日々を過ごせていない傾向にある。社内にカウンセラーを設置している企業は多いが、セキュリティ従事者がカウンセリングセッションを持つことを恥ずべきこととせず、専門家による適切な支援を得られる環境を作るべきである。また、SNSなどによって最新情報を収集する一方、SNSから意識的に離れる時間を確保し、適度な運動を行って規則正しい生活リズムで日々を過ごすよう心がけるべきである。
- ②コミュニティへの貢献
幸いにもサイバーセキュリティ業界には公式・非公式問わず、団体やグループが多く存在しイベントも日常的に行われている。そのようなイベント等に参加し、日々の業務で発見した課題解決方法は、他のイベント参加者からすれば貴重なナレッジとして重宝される。日々の業務に忙殺され、膨大な課題の前に自らの価値を忘れてしまう前に、積極的にイベントに参加し、自身のナレッジを発信していくべきである。
おわりに
例年と比べ、今年のRSAカンファレンスでは、テーマであるHuman Elementに沿って、サイバーセキュリティに関わる"人"に焦点を当てたセミナーが非常に多くありました。
実際にセキュリティ・コンサルタントとしてさまざまな企業のご支援をする中で、セキュリティインシデントが発生した際に目にするのは、ヒューマンエラーやサイバーセキュリティに関する教育不足など、”人”が原因であることが非常に多いのが現状です。
サイバーセキュリティ対策となると、ソリューションの導入や監視体制の構築など、技術的な対策が挙げられ、数多くの便利なソリューションが利用できるようになりました。ところが、そうしたソリューションを利用しても、完全にサイバー攻撃から守り切ることは不可能です。なぜなら、いくら万全にサイバーセキュリティ対策を実施していたとしても、人の行動(作業ミス、不正等)によって、サイバーセキュリティの脆弱性は露呈してしまうからです。
したがって、サイバーセキュリティ対策を向上するためには、企業のITセキュリティ部門だけでなく、IT部門や営業部門、外部のソリューションベンダや委託先業者など、多くの関係者に対する啓蒙活動と、サイバーセキュリティ対策実施時の協力が欠かせません。
これからのサイバーセキュリティ対策に関して考える際、経営戦略の一環として企業全体で対策に取り組むのはもちろんのこと、さまざまな関係者を巻き込みながら、社会が一体となりセキュリティ対策に取り組むべきではないでしょうか。