RSAはカンファレンスに合わせ、アジア太平洋地域ならびに日本で実施したセキュリティ対策の後れに関する調査結果を発表している。200社から回答を得たこの調査によると、過去1年の間に、事業にマイナスの影響を与えるようなセキュリティインシデントを経験した企業は70%に上った。また、巧妙な攻撃を検知する能力がないか、あまりないと考える企業は計56%、検出や調査のスピードに不満を抱いている企業は90%に上るという。
このように、セキュリティ製品に多くの投資を投じてきたにもかかわらず、防御に失敗し、インシデントを経験することになった一因は、「セキュリティの機能面のみにフォーカスして対策に取り組んできたことにある」と、RSA グローバルパブリックセクター担当バイスプレジデント兼ジェネラルマネージャーのマイク・ブラウン氏は述べている。
ブラウン氏によると、残念ながら多くの企業や組織には、経営層とセキュリティ担当者の間に「嘆かわしきギャップ」が存在するという。両者間のコミュニケーションが不足し、事業戦略やリスクの優先順位に関する共通理解が欠けたままでは、セキュリティへの投資額が膨らむばかりでリターンが得られず、互いに不満が膨らむだけだ。
この反省を踏まえ、「サイバーセキュリティをビジネスリスクの一部と捉えて戦略を立て、リスクベースのアプローチを取ることが重要だ」とブラウン氏は語った。具体的には、組織内にあるリスクを特定し、優先順位を付け、経営層とコミュニケーションを取り、事業戦略の中で調整しながら対策を進めていく必要があるという。
この取り組みを支援する要素は2つある。1つは、組織の現状を可視化し、外部からの攻撃に起因するアノーマリな動きや内部犯行の兆候といったリスクを把握できるようにするツールだ。RSAはそれを可能にする製品やサービスを提供し、「必要な材料をテーブルに並べ、ゴールを目指せるように支援する」(ブラウン氏)という。
もう1つは、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークだ。もともとは重要インフラ産業向けのフレームワークだが、これを採用することで、リスクベースのアプローチがどの程度成熟しているかを評価し、目標とのギャップはどのくらいなのかを把握できるとブラウン氏は説明した。米国ではこのフレームワークが、リスク軽減策の1つである「サイバーセキュリティ保険」加入時の評価指標として使われており、成熟度の高い企業は保険料が低くて済むといったインセンティブも設けられているという。
米国では、小売業のターゲットやソニーピクチャーズで発生したサイバー攻撃事件のインパクトもあって、経営層とセキュリティ担当者が適切にコミュニケーションを取り、リスクベースのアプローチを採用する機運が高まっているという。「懐疑的な企業経営層にまず必要性を認識してもらい、受け入れてもらい、採用してもらう。そして、各国の法規制などと調整を取り、その取り組みを加速していくことだ」(ブラウン氏)。日本でも、相次ぐ標的型攻撃の被害を背景に、関心は高まっていくことだろう。
Copyright © ITmedia, Inc. All Rights Reserved.