10月7日水曜日から3日間にわたって開催される Security Days Fall 2020 は、東京駅至近のJPタワーホール&カンファレンスの4階で開催され、一部の講演はオンラインによるライブ配信が行われる。 最終日10月9日金曜日の基調講演として、マネーツリー株式会社からCISOの梅谷 晃宏(うめがい あきひろ)氏が登壇し「クラウドセキュリティの新しい方向性と CISO」と題されたセッションが行われる。その見どころやメッセージについて梅谷氏に話を聞いた。――まず最初に、マネーツリー株式会社の事業概要と特長を教えて下さい。 金融データプラットフォーム「Moneytree LINK」と、個人資産管理サービス「Moneytree」という2つの軸で事業を行っています。金融データプラットフォームサービスは、クラウドとしてはPaaS形式のサービスで、アグリゲーションと安全なデータ転送保持のプラットフォームとして金融機関を始めとした企業のお客様に提供しているものになります。個人資産管理サービスは、上記の金融データプラットフォームをベースに、複数の銀行口座等の金融情報をアグリゲーションできるサービス(アプリ)を自社開発したものです。 そのためセキュリティの観点では、それぞれの金融機関ごとに金融庁やFISC(財団法人金融情報システムセンター)等による要件を個別に満たしていくことが特徴といえます。Moneytree LINK自身も、PaaSとしてサービスを提供する際に個別の金融機関ごとにそうした対応をしているということです。――金融庁の方針や、個別の金融機関のセキュリティを深く理解してないと事業が成り立たないということですね。 そうです。特に金融庁やFISC(財団法人金融情報システムセンター)による、金融機関が守るべき基準に幅広く、リスクに応じて適切に対応しなければいけません。 もう一つの特徴は、マネーツリーは日本だけで展開する会社という認識が多いかもしれないですが、オーストラリアのマーケットでも2017年から事業展開していることです。近年は機微情報を扱う国ごとの規制がありますから、マネーツリーのサービスは、日本だけでなくオーストラリア当局の要件も鑑みながら対応しています。――梅谷さんの基調講演のタイトルは「クラウドが開くCISOの仕事の未来とセキュリティスキル」です。御自身もマネーツリー株式会社のCISOですね。どんな提言をする予定ですか。 「CISOってそもそも何だ?」という疑問があるとおもいますが、一般的になんとなくCISOはセキュリティでキャリアをスタートした人の上がりのポジションというイメージがあると思います。セキュリティのエンジニアの一番偉いポジションとかゴールといったことですよね。しかし実はそこには壁がある、ということを話そうかなと思っています。要はセキュリティしか知らないとCISOはきついんです。なによりやっても面白くないな、、となると思いますね。 私はIBMで10年ほどエンジニアとしてキャリアを積みました。最初は分散データベースのエンジニアをやったり全般的なインフラ構築をやったりといった感じです。その後、Linuxビジネスの立ち上げに携わることになりましたが、当初はLinuxはインターネットで使われることがほとんどで、セキュリティも自ずと対応するようになっていったと思います。その後は現場でセキュリティの仕事に従事したくなり、フィデリティ証券に転職してオンライン投資信託のAPAC地域全体のインフラとセキュリティを中心に構築と運用を6年間、現場でやりました。 その後、AWSでセキュリティSAやコンプライアンス対応、最後はCISO室の日本代表を務めました。最初はクラウドは危ないといった文脈で、コンプライアンス要件の解釈やチェックリスト対応ばかりでいやになりましたが 笑 、いま考えると逆に良かったなと思います。CISOは法令の要件も理解しないといけないですし、IT統制や各種コンプライアンスフレームワークの知識は必須です。それをテクニカルな内容と結びつけて内部は経営層、外部は当局やお客様を含む、かなり幅広いステークホルダーとコミュニケーションもしなければなりません。CISOになりたい人がいたら、セキュリティのテクニカルな内容だけでなく、意図してそうした幅広い実務を経験していくことが必要だと最近特に思っています。講演ではこのあたりも話そうと思っています。――CISOと、講演のもうひとつのテーマであるクラウドセキュリティはどう結びついてきますか。 クラウド環境を使っている方からいろいろな相談をいただくのですが、セキュリティだと「CSIRTを作ろうとしているがどうしたらいいのか?」などの相談をいただくことが多いです。よくある会話はこんな感じです。 「CSIRTを作るのは大変良いのですが、その前にCSIRTで守るためのサーバや、重要なデータが入ってるストレージや、アクセス管理等、の整理、リスクの把握はもうできているんですか?」 「え?、、、いや、その、ちょっとそういうのはないんですけれど、、」 「CSIRT で何を守るか分からないのに、CSIRT をいきなり作るんですか?」 そのときにハッとされる方が多いです。 そこがクラウドの話につながるのですが、例えば、サーバーやストレージが何台あるかとか、ストレージのバケットのアクセスポリシーが何か等、API経由で全てリストアップしてシステムの全体像を把握できますし、そういう視点さえあれば、実務作業は社内のエンジニアに頼むこともできると思います。いままではそういうこともなかなか難しかったので、インシデントが起こったらどうするか?ということにフォーカスせざるを得なかったのかもしれませんが、リソースを事前のリスク管理にシフトしてセキュリティの効率化を目指せるのも利点ですよ、ということを説明すると納得されるCEOやCIOの方が多いですね。 クラウドが普及してクラウドサービスが充実してきたことで、全体統制が本当はやりやすい環境にあるのですが、そういった視点を持たないセキュリティの専門家も多いと感じます。クラウドがよりセキュアだということが言いたいのではなくて、その性質を適切に把握したらクラウドの世界でCISOは、本当は仕事をやりやすい、全体を把握しやすい、リスク管理をしやすいということです。これがもう一つのメッセージです。――どんな人に講演を聞いて欲しいですか。 経営層やマネージャーレベルの方が中心に聞いていただきたいです。たとえばセキュリティの技術者が足りないという話が昨今よくありますが、これは今年のInterop Tokyo 2020の講演でも話をしましたが、AIや自動推論モジュールを使ったセキュリティサービスが進展しつつある現在、その認識が今後も続くのかどうかというのは再考の価値がありそうです。 クラウドでインフラエンジニアの活動エリアが大きく変化したように、セキュリティやリスク管理のエリアにも大きな変化が起きつつあるように思えます。実質的なリスク管理や、具体的なセキュリティへの投資効果を求める人にとっては分かりやすい環境になってきていると感じますね。――ありがとうございました。●クラウドセキュリティの新しい方向性と CISO10月9日(金)9:30-10:10 AMマネーツリー(株)CISO(最高情報セキュリティー責任者)/ 内閣官房 情報通信技術(IT)総合戦略室 政府CIO補佐官 梅谷 晃宏氏
Microsoft Windows の Windows Update Orchestrator Service におけるCOM API への権限制御不備により管理者権限への昇格が可能となる脆弱性(Scan Tech Report)2020.9.10 Thu 8:10
