ガートナーセキュリティ&リスク・マネジメントサミット2016 個人的なまとめ
「きちんと分けられたネットワークを持っていた会社は、数百テストしてたった1社だけだった。Red Teamのテストに合格できる会社もほとんどない。どう対処するかの計画を持って欲しい。コンピュータがランサムウェアにやられたらどうするのか、決めておいて欲しい」
2016-07-13 13:12:56「バランスの取れた投資決定につながる「データ・セキュリティの収益化」 ガートナー リサーチ 主席アナリスト ブライアン・ローワンス」
2016-07-13 13:35:22「収益化というのはデータに触れるビジネス全てに関わってくる。理会して頂きたい点。色々なデータが有る。クラウド、アプリケーション、財務情報、売上データ。データ・タイプも色々。価値も色々。個々のデータセットの扱いを変える必要がある。業界が変われば捉え方も変わる」
2016-07-13 13:37:52「セキュリティは通常IT予算の一部。これは業務と予算を奪い合っているが、これは望ましい形ではない。リスクを評価して、どのくらい投資するかという視点が必要。インフォノミクスという造語がある。2012年に作ったもの。データを資産をみなす経済理論であり、会計理念である」
2016-07-13 13:39:10「企業にとっての課題。データは資産であると共に、負債でもある。各データセットに対してコンプライアンスやリスクを検討する必要がある。個人情報に対する責任は数十年単位。データを資産とだけ評価するのは誤り」
2016-07-13 13:41:37「Googleを見た時、彼らはデータの保護のために資産の大部分を割いているが、彼らは普通の財務諸表で評価されており、そこにはこうした情報は現れてこない」 はーなるほどねー。確かに重要な視点だな。
2016-07-13 13:42:39「優先順位をつけるために、データ・セキュリティ・ガバナンスを活用する。そして、必要な予算を割り当てるために、CDO、CISOが役員陣に提案するための情報が必要」
2016-07-13 13:44:45「皆さんは詳細な情報を提供する義務がある。どういうリスクがあるのか。そういう進言をする仕事をされている人も多いでしょう。合理的であり、妥当だと思いますが、CDOとCISOは異なる目的を持っており、彼らを歩み寄らせる必要がある」 CDOとCISOがそもそもいないんですが…
2016-07-13 13:46:38「CDOはデータ・ガバナンス。データを活用してビジネス価値を創出するビジネス側の人間。CISOはデータ・セキュリティ・ガバナンス。負債の評価をする。これらは独立して仕事をしていたが、ここにコラボレーションが必要になる」
2016-07-13 13:48:16「通常の貸借対照表。資本=資産-負債。データに当てはめると、データ分析、事業所得、競争優位性からセキュリティやリスク、脅威、コンプライアンスを引いたものが利益になる。概念でしかなく、バランスシートには出てこないが、有効な評価方法だ」
2016-07-13 13:50:31「データは有形資産か無形資産か。国際評価基準審議会からすると、無形資産として計上してもよいことになっている。しかし、会計基準としては無形資産として認められていない」
2016-07-13 13:51:52「ハッキング・リスクによるデータ盗難が増えている。どのようなデータが今後対象とされているかというのも注目する必要がある。ヘルスケアの情報が狙われる。それは値段が高いから。データ盗難のリスクがどれくらいあるのかは日本では評価しづらい。情報が出ない。報告が義務付けられていないから」
2016-07-13 13:55:00「負債としての評価はどうなるのか。グローバルの事例だが、1レコードあたりのコストが違いすぎてあまり参考にならない。Ponemonは200ドル。Verizonは0.1ドル。流出前のコストと、流出後のコストやペナルティ、損失。流出後では、サイバー保険の保険料が増大するor断られる」
2016-07-13 13:57:54「こうした評価について、優れたモデルが必要になる。発生する可能性のある無形負債の優先順位付けと評価をする。罰金は非常に少なくても、お客様を大量に失った事例。株価が半分になった。料金も大幅に値下げをせざるを得なかった。そこまで評価に含める必要がある」
2016-07-13 13:59:25「このようにデータを資産・負債と見る財務分析はセキュリティ市場に変革をもたらし、良いことが起きるはずだ。製品の購買行動にも影響してくる」
2016-07-13 14:01:44「データセットの多様化による、複合的な不在は増大する。一旦負債が下がってくるということも注意を払うべき」 ちょっと論理の流れが早すぎてついていけない
2016-07-13 14:02:38「人々がサイバーセキュリティの脅威を実生活に持ち込む 日本プルーフポイント株式会社 プロダクトマーケティング ディレクター ジェニファー・チェング」
2016-07-13 14:24:47「Proofpoint社の説明。フォーチュンTop100の50%以上で使って頂いている。最近の攻撃。ファイル共有の"ルアー(疑似餌)"。Google DocとSharepoint。最もクリックされた偽装ブランドの比率。地域別のメール攻撃状況。日本も最近増えてきた」
2016-07-13 14:27:47「攻撃者もうまく騙そうとしている。よく使われたルアーは請求書。次が領収書、証明書、財務諸表。日々のビジネスのやり取りで、こうしたファイルがどれくらいやり取りされているか想像して欲しい。クリックしないで済むかどうか」
2016-07-13 14:29:30「添付とURL付きのメールの数。添付のほうが多く見えるが、両方共に対応しなければならない。URLが少ないからといって甘く見てはいけない。攻撃は6時から始まり、9時にピーク。企業ネットワーク外でクリックされており、21.5%が社外。つまりモバイルデバイスも保護が必要ということ」
2016-07-13 14:32:44「2016年のメール保護について。多くの攻撃はマルウェアではない。目立たないルアーを検知しないと鳴らない。攻撃は突然始まるもの、数万件の送信は数分で終わる。攻撃はインフラの脆弱性ではなく、ソーシャルエンジニアリングを利用している」 色んなセッションで言ってることが違う感ある
2016-07-13 14:37:05高度な標的型攻撃は脆弱性を突いてくるという話なので、ここでいう「サイバー攻撃」はバラマキ型攻撃のみを指しているということやね。なので言い方がズルい。
2016-07-13 14:37:58