検索
ニュース

経営層とセキュリティ担当者の「ギャップを埋める」のはビジネス駆動型セキュリティRSA Conference Asia Pacific & Japan 2016レポート(1/2 ページ)

RSAがシンガポールでセキュリティ担当者向けのイベントを開催。RSA プレジデントのアミット・ヨラン氏が、「ビジネス駆動型セキュリティ(Business-Driven Security)」という新しい視点を持つことの重要性を説いた。

Share
Tweet
LINE
Hatena

 2016年7月20日から22日にかけて、シンガポールでRSA主催のセキュリティ関連イベント「RSA Conference Asia Pacific & Japan 2016」が開催されている。日本をはじめ、ASEAN諸国や中国、韓国、オーストラリアなどを中心に、約5000人のセキュリティ担当者が参加した。

 高度な標的型攻撃やランサムウェア、金銭目的のID窃取など、サイバー犯罪の脅威は国を問わず広がっている。日本においては、サイバーセキュリティ戦略に基づいて内閣サイバーセキュリティセンター(NISC)が政府機関のサイバーセキュリティ対策を推進している他、警察庁も対策を強化。官民が連携して脅威に関する情報共有や協力を行う「日本サイバー犯罪対策センター」(JC3)も活動を推進するなど、この数年でさまざまな取り組みが進められてきた。

photo サイバー犯罪対策のために、「国」としてのアクションプランを発表したシンガポールの内務大臣兼法務大臣、K・シャンミューガム氏

 シンガポールでもまた、サイバー犯罪対策は喫緊の課題だという。カンファレンスの冒頭で、シンガポールの内務大臣兼法務大臣であるK・シャンミューガム氏が登壇し、開会の辞を述べた。同氏は、「国境をまたがって展開されるサイバー犯罪と断固戦っていく」と宣言し、「一般国民の教育や啓発」「警察のサイバー犯罪捜査能力の強化」「関連法制の整備」「業界や教育機関、国際機関とのパートナーシップ」という4つの柱からなるアクションプラン「National Cybercrime Action Plan」を発表。カンファレンスの参加者に、サイバー犯罪対策に取り組む共同エコシステムに加わってほしいと呼び掛けた。

「視点」を変え、取締役会で通じる言葉で説明を

 続いて、米RSAのプレジデント、アミット・ヨラン氏が基調講演を行った。

photo 「“ビジネス駆動型セキュリティ(Business-Driven Security)“という視点の転換が求められている」と述べた米RSA プレジデントのアミット・ヨラン氏

 同氏は2016年2月に米国で開催されたRSA Conferenceの基調講演で、「予防から、検知/対応へのシフト」を呼び掛けた。しかし今回の講演は少し異なる角度での内容だった。強調したのは、「ビジネス駆動型セキュリティ(Business-Driven Security)」という新しい視点を持つことの重要性だ。

 今やサイバーセキュリティはITシステムだけの話にとどまらず、企業経営そのものにインパクトを及ぼすリスクになる恐れがある。それを踏まえ、セキュリティ担当者も「ビジネス視点」を持ち、経営者に通じる言葉で説明を行う必要があるという。ヨラン氏は、残念ながら現時点では「ビジネスとセキュリティの間には摩擦点が存在する」と述べ、視点を変え、違うやり方を試すべき時期に来ていると呼び掛けた。

 「経営者や取締役会のメンバーは、『Internet Explorerの脆弱(ぜいじゃく)性を悪用するAngularツールキットによって、情報漏えいが発生しました』などといった、そんな細かい情報に興味があるわけではない。彼らが知りたいのは、それが事業にどんなインパクトを与える可能性があるか、だ。そのセキュリティインシデントによって、事業継続性や知的財産、自社の評判にどんなダメージがあるかを知りたいのだ」(ヨラン氏)

 ただ、IT担当者がいきなり経営目線で話をせよといわれても難しい。それには何らかの材料が必要だ。ヨラン氏は、経営者に通じる言葉で話をする材料として、「可視化」が鍵になると説明した。

 「現在自社の環境で何が起こっているかを、担当者の勘に頼るのではなく、可視化することが求められている。システムやネットワーク、ユーザーの振る舞いの中から通常とは異なる挙動(アノーマリ)を見つけ出し、速やかに対策を取れるような、一段新しいレベルの可視性が必要だ」(ヨラン氏)

 ヨラン氏は、新しいツールを前提にした新しい視点の例えとして、ベリーロールが主流だった走り高跳びの世界で背面跳びを考案し、金メダルを獲得したディック・フォスベリー選手の例を挙げた。もともと走り高跳び競技は砂場に着地していたが、選手の安全確保のためにマットレスが用いられるようになった。そしてマットレスという新しい道具を前提にするならば、これまでの飛び方を踏襲する必要はない。過去にとらわれずに新たな視点で考え、それまでにない飛び方を考案したからこそ、フォスベリー選手は勝者になれたという。

 フォスベリー選手にとってのマットレスのように、より優れた視点を持つには、よりよいテクノロジーツールが欠かせない。ただ、ツールだけがあっても意味はなく、それを使いこなせる創造性を備えた「人」が必要であり、万能薬はないことにも注意が必要だという。セキュリティ業界では何度か、それまでの限界を打破するために新たなテクノロジーが生み出されてきた。今また、ビッグデータや機械学習、ビヘイビア分析といった技術が期待を寄せられているが、これらを使いこなし、目的を達成するのはあくまで自分自身というわけだ。

 昨今、米国の大手IT企業や調査会社では、ITと事業の関係性を捉え直し、事業を推進する原動力としてのITにフォーカスを当て始めた。サイバーセキュリティもその文脈の中で、事業の継続や成長に欠かせないファクターと捉えられている。国内においても、経済産業省が「サイバーセキュリティ経営ガイドライン」を公表し、セキュリティを単なるITの問題ではなく、経営課題と位置付けて取り組むよう推奨している。ヨラン氏の講演もまた、セキュリティを経営の問題と捉え、取締役会とITの現場とをつなぐことの重要性を訴えたものといえるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  2. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  9. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  10. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
ページトップに戻る