• 営業部門へのお問い合わせ
  • 購入方法と配送/販売パートナーリスト
Yubico Header Text LogoYubico Header Text Logo
Yubicoの理由expand_more
Yubicoの理由
  • 企業向けのページ
  • 個人向けのページ
  • コンプライアンスのために
  • Yubicoについて
  • 投資家 (EN)
cern sign on building
CERNが管理者アカウントとサーバーへのアクセスを保護するためにYubiKeyを導入
事例を読む
  • japanese
Google headquarters
アカウントの乗っ取りを防止し、ITコストを削減するGoogle社
事例を読む
  • japanese
Hand holding YubiKey behind Apple iPhone
モバイル向けYubiKeyIT
ソリューションの概要を読む
  • japanese
製品expand_more
  • YubiKey
  • 製品比較 (EN)
Laptop with a YubiKey inserted
YubiKey 5シリーズ: マルチプロトコルの Security Key
製品概要を読む
  • japanese
2022年のサプライチェーンセキュリティ
ブログを読む
  • japanese
購入方法expand_more
  • オンラインストア
Person using YubiEnterprise Console on a laptop
FIDO2とWebAuthnでパスワードレスを実現
Read the White Paper
  • japanese
YubiKey on a keychain plugged into a laptop
共有ワークステーションでレガシー認証が機能していない本当の理由
Read the Blog
  • japanese
企業全体のIDフィッシングを阻止する方法:強力な認証を展開するためのガイド
Read the E-book
  • japanese
リソースexpand_more
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
Government building
米国の州が有権者登録データベースをハッカーから守るためにYubiKeyを使用
Read the Case Study
  • japanese
Person looking at a computer with a government building showing
米国 国防総省 ケース スタディ
Read the Case Study
  • japanese
YubiKeys in lots of form factors
世界最小のハードウェア・セキュリティモジュール(HSM)で暗号鍵を保護
Read the Product Brief
  • japanese
お問い合わせストア
  • Home » Yubico Blog | JA » CISOは誰を信頼すればよいのでしょうか? 情報の共有は不可欠であると同時に、専門家としてのリスクもあります

    CISOは誰を信頼すればよいのでしょうか? 情報の共有は不可欠であると同時に、専門家としてのリスクもあります

    Chad Thunberg

    Chad Thunberg

    February 23, 2022
    1 minute read
    Share on FacebookShare on TwitterShare on LinkedInShare via Email

    バイデン大統領が最近発表したサイバーセキュリティに関する大統領令では、公共部門が民間企業と協力してより安全な環境を構築することを求め、ベストプラクティスとして情報共有の重要性を強調しています。 情報共有には多くの注意が必要なため、多くの人は「情報共有」をリスクや責任と同義語で捉えているかもしれません。 誤った方法で情報を共有すると、エクスポージャーといった脆弱性のリスクを高めることになりかねません。

    Yubicoでは、情報共有は慎重に行う必要があると考えています。 当社は日常的に機密性の高い情報を扱っており、企業のセキュリティやリスク管理に対する責任を担っています。 また、企業構造は、株主に対する受託者責任を負っており、いかなる情報共有もその責任が侵害されるリスクを考慮しなければなりません。 

    官民一体となってこのテーマに取り組むには、さらに多くの議論が必要です。 代わりにここでは、情報共有に関連するリスクについて私がどのように考え、個人としてこれらの懸念を緩和するためにどのようにアプローチしてきたかを共有したいと思います。 

    コントロールの喪失

    情報が共有されると、その情報を保護する責任が拡大・分散されます。 ツイートで誤って共有してしまったパスワードのように、いったん情報が公開されると、もはや自分ではコントロールできません。 最悪の場合でも、情報にアクセスできる各個人が、その情報を内密にすることを信じられる必要があります。 

    シアトルには有名なバーがあり、多くのセキュリティ専門家が毎週のように集まり、リラックスして話を交わしています。 シアトルは、新製品のソフトウェアやハードウェアの脆弱性を発見することに特化したセキュリティ専門家のメッカです。 これはまさに情報流出のための組み合わせです。 飲み放題のアルコールと、機密性の高い情報を頭に入れている人たち!

    必ず、飲み過ぎる人がいます。 アルコールというものは、ただでさえ話してはいけない話をしてしまいがちな人たちの口をさらに軽くしてしまいます。 なぜそのような話をしてしまうのでしょうか? 多くの場合、それは賞賛されたい、組織や集団で成功していると見られたいという気持ち、あるいは個人的な自信喪失や不安などの理由からです。 その結果、リモートコード実行のバグの処理を誤り、たとえそれ以上の影響がなかったとしても、契約を解除されてしまっていたかもしれません。

    このような光景を見たことがあるなら、それはあなたにとって教訓となるでしょう。 誰かが口を滑らせてしまった内容を、それによって利益を得る可能性のある他の人と共有することを望まないなら、注意深く行動するようにしましょう。 

    では、共有することには大きなリスクがあることは誰もが知っていますが、共有しない場合のリスクは何でしょうか? 

    マイナス面は、堀を作ると組織が島のように孤立した存在になってしまうことです。 仲間と連絡を取り合い助言を求めたり、互いに情報交換したりすることを躊躇し、後で自分がキャッチアップしておくべき重要な情報を見落としてしまうことは、外の世界と共有しすぎることと同じくらいの損害を被る可能性があります。 

    誰を信頼しますか?

    セキュリティ侵害が発生した場合、跳ね橋を上げて島への通行を制限するように外の世界を遮断したくなりがちです。 しかし、仲間に連絡をして、問題を発見しているかどうか、問題を抱えているかどうか、あるいは問題に対応しているかどうかを確認することは有益なことです。 こうして追加情報を早い段階で入手することは、侵害に対する組織の対応に大きく役立ち、損害を与える可能性のある誤った対応を修正できます。

    これは軽視すべきではない予測されたリスクです。 双方向の情報共有で信頼できるのは誰ですか? 私が何十年もの間、有益だと考えているベストプラクティスをいくつかご紹介します。 

    • まずは、インナーサークルの信頼できる人たちとの関係を、あらかじめ構築しておくことから始めましょう。彼らとは、長年の付き合いがあり過去の情報共有の場面での行動をあなたが観察してきた人たちのことです。 私は、キャリアをスタートさせたときから知っているセキュリティリーダーと定期的に会っています。 長い歴史と経験を共有することで、快適で比較的安全な双方向の会話が可能になります。
    • 特定の業界向けに設立された情報共有分析センター(ISAC)など、セキュリティ情報の共有を促進する共同事業体または協会にも精通しておきましょう。 また、Infraguardは、特に地方自治体や連邦政府に関わりのある個人や企業にとって優れたリソースです。
    • インナーサークルで1対1またはグループでの会話を始めるのに役立つ安全なメッセージングシステムを見つけましょう。 私は、より機密性の高い会話には、SignalとKeybase(現在はZoomに買収されています)を使用しています。 連絡を取り合うには、Slackやお気に入りのビデオ会議ソリューションを使います。
    • 失敗や後悔している情報開示から学びましょう。 私はこれまでのキャリアの中で、情報開示に関するミスをしたことがあります。 ある事例としては、印象的な面接候補者についてのミスがあります。 リスクは報われず、このミスは危うく私のキャリアを破壊するような情報公開につながるところでした。 
    • 共有して問題が起こる前に、社内で幹部の賛同を得ましょう。 機密情報を持つ会社の担当者として、自分が何をしているのかを適切な幹部に知らせ、自由に業務を行うための承認を得ることは当然のことです。 共有できるものとできないものについて、法律上または規制上のガイドラインを法務チームが提供できるように、法務チームに情報を提供しても問題はありません。 そうすることで、将来的に何かミスがあったときに、責任を押し付けられるのではなく、会社のリーダーからサポートしてもらえる可能性が高くなります。 このような社内の人間関係やコミュニケーションラインを早期に確立しておくことが大切です。

    恐怖に日々を支配させないようにしましょう

    この業界では年を取ることもリスクのひとつです。 年を重ねるごとに、貴重な「学んだ教訓」によって、自然と慎重になっていくものです。 CISOは、技術を理解し、信頼できる友人のネットワークを形成する必要がありますが、それには何年もかかります。 このプロセスは、情報の流通を助けるいくつかの団体を加えることで強化することができます。しかし最終的には、詳細を話し合える友人がどうしても必要です。

    アジャイルなCISOは、過度に用心深くなることをどうにかして乗り越え、情報共有について戦略的に行動しなければなりません。 会話の自由は、次の危機や大きな失敗を防ぐ賢明な先制行動を左右します。 

    YubicoのCISOであるChad Thunbergは、CISOが日々の職業生活の中で直面する課題について頻繁に執筆しています。 前回のコラムは、最近のセキュリティスキル不足にCISOがどのように対応できるかについて書かれています。 

    ————-

    この記事は、当初はSecurity Magazineに掲載されたものです。

    Share this article:

    Share on FacebookShare on TwitterShare on LinkedInShare via Email

    Recommended Posts

    • Salesforceの使用にはMFAが必要です:必要な理由とできること

      巧妙なサイバー攻撃が中小企業や大企業を対象に執拗に攻撃し続ける中で、企業は顧客、従業員、パートナーのセキュリティをより安全に守るために、サイバーセキュリティインフラの改善を優先させる必要があります。 ユーザー名とパスワードは、進化し続けるサイバー攻撃に対して、もはや十分なセキュリティを提供するものではありません。   昨年末、Salesforceは2022年2月1日以降、同社の製品、ソリューション、プラットフォームにアクセスする際に多要素認証(MFA)を有効にすることを顧客に義務付けると発表し、これに対する強い決意を表明しました。 この要件は、GoogleやTwitterといった他の大手テクノロジ企業や、最近では米国政府が発令した 「大統領令14028」 (2024年までに、ワンタイムパスコードを利用するSMSトークンやプッシュ通知認証アプリは米国政府の要件に準拠しなくなる) による同様の取り組みを補完するものです。 Yubicoは、SalesforceのMFAとフィッシングに強いFIDOベースのセキュリティキー認証のサポートを強化する最新の活動を称賛しています。 MFAを導入することで、Salesforceのような企業は、より良いユーザーエクスペリエンスを提供しながら、顧客やプラットフォームのセキュリティを大幅に強化しています。 Salesforceが求めることは、世界中で強力かつ最新のハードウェア認証の導入を大幅に加速させ、何十万もの顧客や企業を、事業を麻痺させる可能性のあるサイバー脅威からより安全に守ることです。 Salesforceのアイデンティティ・プロダクト・マネジメント担当上級副社長であるイアン・グレイザー(Ian Glazer)氏は次のように述べています。「セールスフォースでは、信頼を第一の価値としており、顧客データを守ることは最も重要なことです。 強力なMFAの導入を推進するためには、ユーザーアカウントとデータを保護するためにユーザーと組織が実行できる唯一の最善策である、ハードウェアキーなどの幅広いMFAオプションが必要です。 お客様とのパートナーシップによりMFAを普及させることで、フィッシングやクレデンシャルスタッフィングといった一般的な脅威の成功を困難なものにします。」 MFAを実装する準備ができている場合、どれを選択すればよいでしょうか? SMS、ワンタイムパスコード、モバイル認証アプリなどの従来の(または古くからの)MFA方式のほとんどは、サイバー攻撃の防止に役立てることはできますが、すべてのMFAオプションが同じ仕組みで作られているわけではないことに注意してください。 例えば、SMSベースの認証は、企業のセキュリティを確保するには十分な効果がないことが何度も証明されています。 また、SalesforceではメールやSMSベースのワンタイムパスワードは許可されておらず、強力なMFA手法の使用が義務付けられていることも重要な点です。 最新のFIDOベース(U2F/FIDO 2/WebAuthn)認証に移行することで、組織とそのユーザーはフィッシングに強いMFAを実現できます。 YubiKeyのような物理的なセキュリティキーは、組織に求められるサイバーセキュリティの最も厳しい認証要件を満たしながら、非常に使いやすく、YubiKeyに触れるだけで本人認証と安全なアクセスを提供することができます。  これらのハードウェアベースのセキュリティキーは非常に安全性が高く、SalesforceのMFA要件を完全に満たしています。 あらゆるデバイスやオペレーティングシステムに対応し、(ネットワークサービスやバッテリを必要とせずに)数百ものオンラインサービスやアプリケーションへの安全なログインを可能にすることで、アカウント乗っ取りのリスクをほぼすべて排除することができます。  お客様のビジネスに適したYubiKeyの選択 複雑なハイブリッドIT環境を持つ企業であれ、クラウドネイティブな中小企業であれ、Yubicoにはお客様のインフラと従業員を守るための適切なキーがあります。 YubiKey 5シリーズは、マルチプロトコルのセキュリティキーをあらゆるフォームファクタで提供しています。また、YubiKey 5 FIPSシリーズは、すべてのコンプライアンスと規制要件を満たすように設計されています。  大規模な組織へのサポートをお考えであれば、YubiEnterpriseSubscriptionが柔軟な購入オプションを提供し、今日のリモートワークやハイブリッドワークの環境をお考えであれば、YubiEnterpriseDeliveryが場所を問わずYubiKeyを従業員までお届けします。 組織に最適なYubiKeyをお探しの方は、https://www.yubico.com/quiz/へアクセスしてください。  私たちは、一般の消費者から中小企業、大企業に至るまで、すべての人にとってインターネットをより安全な場所にするために、クラス最高のソリューションを提供することを継続して取り組んでまいります。  ——– YubiKeyでSalesforceのアカウントを保護するMFAを追加する方法については、こちらを参照してください。 

      Read more
      • japanese
      • Salesforce
      • YubiKey
    • itsa-2023 Thank you

      Vielen Dank, dass Sie sich für unseren it-sa Discount angemeldet haben! Ein Mitglied unseres Teams wird sich in Kürze mit Ihnen in Verbindung setzen.

      Read more
    • How retail and hospitality can protect themselves from increased cyber attacks

      Every industry in the world is vulnerable to phishing and other cyber attacks, but retail and hospitality rank as some of the most high-value targets for hackers looking for personal identifiable information (PII) and payment card information (PCI). These two industries are often ranked among the top three most vulnerable industries, right behind financial institutions. […]

      Read more
      • case study
      • Hyatt
      • retail and hospitality
    • How to get started with the YubiKey to secure energy and natural resources Thank You

      We hope you enjoy reading the Yubico Best Practices Guide, How to get started with the YubiKey to secure energy and natural resources.

      Read more
      • best practices guide
      • energy and natural resources
      • YubiKey
Yubico Footer Text Logo
  • RSS
  • Twitter
  • LinkedIn
  • Instagram
  • YouTube
  • GitHub
  • 製品クイズ
  • セットアップ
  • オンラインストア
  • YubiKey
  • ホワイトペーパー
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
  • 購入方法
Yubico © 2023 All Rights Reserved.
  • Sitemap
  • Cookieについて
  • 法的情報
  • プライバシー通知
  • 利用規約