サイバーセキュリティ対策では、「何が重要なのか」「何が危険なのか」「何が現実解なのか」の3点を、表面的ではなく深く考えるべきだ。これが2018年6月に米国で開催されたGartner Security and Risk Management Summitでの、Gartnerによるアドバイスだ。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
今日のセキュリティおよびリスク管理のリーダーは、称賛されてしかるべきだ。企業や組織はこうしたリーダーの下で、猛威を振るう脅威や攻撃を発見、検知し、インシデントへの対応やインシデントからの回復を適切に行えるようになった。変化のペース、進められているデジタルプロジェクトの規模、そして脅威のまん延を考えると、これは注目すべき成果だ。
「過去20年以上にわたってこうした目覚ましい取り組みが行われてこなければ、われわれは今、非常に深刻な状況に陥っているかもしれない。こうした取り組みは、皆さんの功績によるところが大きい」。Gartnerのリサーチバイスプレジデントを務めるカテル・ティールマン氏は、2018年6月に米国で開催されたGartner Security and Risk Management Summitの基調講演で、会場に詰め掛けたセキュリティおよびリスク管理のリーダーにそう語った。
「幸か不幸か、皆さんに当たるスポットライトが、近い将来消えることはないだろう。このことも指摘しなければならない」とティールマン氏は付け加えた。
世界経済フォーラムの「グローバルリスク報告書2018」では、サイバーリスクは環境悪化や経済不安、地政学的緊張と並ぶシステミックリスクとされている。また、米国の国家安全保障における最大の脅威でもある。しかも、プライバシーやサイバーセキュリティは、これまで以上に人目を引き、世論にさらされるようになっている。
こうしたことから、セキュリティおよびリスク管理のリーダーが多くの成功を収めてきたにもかかわらず、重圧に苦しんでいるのは無理もない。
Gartnerの処方箋は、足場を固めて行動を継続することだ。「足場を固めるのに役立つように、3つのシンプルな質問を切り口にわれわれのアドバイスを提供したい」と、Gartnerのリサーチバイスプレジデントを務めるクレイグ・ローソン氏は語った。
「これらの答えを見つけて組み合わせれば、雑音に打ち勝てる」とローソン氏は述べた。そしてセキュリティおよびリスク管理のリーダーは足場を固め、人、プロセス、技術を結集して新旧のセキュリティ課題に対応できるという。
取り組みや投資に優先順位を付けるには、まず、何が誰にとって重要かを理解する必要がある。多くの場合、ステークホルダーにとって何が重要かについて、合意が形成されていない。
例えば、ある中堅銀行の情報セキュリティ責任者のサムは、デジタルトランスフォーメーション責任者のスーザンのやり方に強く反発している。サムがやり玉に挙げるのは、低下している市場シェアを上昇に転じさせるためにスーザンが打ち出している方策だ。スーザンのチームは、GoogleサインインとFacebookコネクトが可能な新しいアプリケーションとログインフローを構築した。
サムは、こうしたログオン方法により、自行が詐欺に遭いやすくなると考えている。だがサムは、「何が重要なのか」という質問を基に、「何が危険なのか」と「何が現実解なのか」を併せて考えることで、初めて広い視野を持てる。すなわち彼は、10年前から使われている自行の既存のログインプロセスが、自分が考えていたほど安全ではないことを理解する。新旧どちらの登録、ログイン方法でも、詐欺のリスクは実際に存在する。このように、全てのステークホルダーが足場を固めるための3つの質問を踏まえれば、全員が納得するソリューションを導き出せる。
2017年には1万5000件以上の脆弱(ぜいじゃく)性が公表された。これらのうち、極めて重大と評価され脅威が切迫しているものはごく一部だ。だが、時にはメディアに盛んに取り上げられ、脆弱性がにわかに重大な脅威として浮上する場合もある。そこで考えなければならないのが「何が危険なのか」だ。
「Spectre」や「Meltdown」の脆弱性を例に取ろう。これらの脆弱性は、ほとんどあらゆるものに影響があった。LinuxシステムやWindowsシステム、Appleデバイス、Androidデバイス、さらには一部の家電やガジェットといった具合だ。これらの脆弱性の悪用を防ぐため、脆弱性を修正するパッチが続々と公開された。
「だが、残念なことに“角を矯めて牛を殺す”状況も散見された」とローソン氏は語った。公開されたパッチの中には、安定性の問題を引き起こすものや、悪用可能な別の脆弱性をもたらすものもあった。これらのパッチのせいで、さらに新たな緊急パッチの適用が必要になった。
「われわれは脆弱性の危険を警戒するあまり、過剰反応になってしまった。われわれは『何が現実解なのか』も考えるべきだった」とローソン氏は説明した。
つまり、セキュリティチームは想定された危険に対処することしか眼中になかった。「何が重要なのか」「何が現実解なのか」を判断する必要性を忘れて、セキュリティチームは条件的に反射してしまった。
だが、「何が危険なのか」を検討し、特定された危機に対処する場合、回復に関する目標を損なわないように注意する必要がある。回復を考慮したシステムや環境の設計は、複数のレベルで行わなければならない。そして回復や信頼性を考慮した設計を行えるのは、何を保護するかを理解している場合に限られる。言い換えれば、「何が重要なのか」の問いに答えられ、さらに「何が現実解なのか」の問いに答えられなければならない。
組織は、環境やリスクを適切に管理していれば「何が現実解なのか」を的確に判断できる。
「管理は調整可能でなければならない。つまり、複数のベンダーや技術に適用できなければならず、リスク状況やコンプライアンス状況の進展に応じて変更できなければならない」と、Gartnerのリサーチバイスプレジデントを務めるラモン・クリッケン氏は説明した。
基幹技術を変えられない場合は、レガシーシステムやアプリケーションに適用できる管理を、あるいはこれらに合わせて変更できる管理を探らなければならない。「ただし、誰でもこうした管理やアプローチを行えるわけではない。一般的な通念に挑戦することもあるからだ」(クリッケン氏)
また、セキュリティおよびリスク管理のリーダーは、同業他社のリーダーとの業界内コミュニケーションを確立し、それに貢献することや新しいセキュリティ技術の概念実証を行うことで、変革の推進も目指さなければならない。また、組織のメンバーが力を発揮できる環境を整えれば、成功の可能性が大幅に高くなる。
「次に課題に直面したら、それが大きなプロジェクトの課題でも、監査所見で指摘された課題でも、3つの質問を当てはめてみることをお勧めする。個人のシナリオ、組織のシナリオ、グローバルシナリオのいずれにおいても、3つの質問は同じように威力を発揮してくれるだろう」(ティールマン氏)
出典:Gartner Keynote: Scale IT Security to Build Trust and Resilience(Smarter with Gartner)
Brand Content Manager
Copyright © ITmedia, Inc. All Rights Reserved.