経営層とセキュリティ担当者の「ギャップを埋める」のはビジネス駆動型セキュリティ:RSA Conference Asia Pacific & Japan 2016レポート(1/2 ページ)
RSAがシンガポールでセキュリティ担当者向けのイベントを開催。RSA プレジデントのアミット・ヨラン氏が、「ビジネス駆動型セキュリティ(Business-Driven Security)」という新しい視点を持つことの重要性を説いた。
2016年7月20日から22日にかけて、シンガポールでRSA主催のセキュリティ関連イベント「RSA Conference Asia Pacific & Japan 2016」が開催されている。日本をはじめ、ASEAN諸国や中国、韓国、オーストラリアなどを中心に、約5000人のセキュリティ担当者が参加した。
高度な標的型攻撃やランサムウェア、金銭目的のID窃取など、サイバー犯罪の脅威は国を問わず広がっている。日本においては、サイバーセキュリティ戦略に基づいて内閣サイバーセキュリティセンター(NISC)が政府機関のサイバーセキュリティ対策を推進している他、警察庁も対策を強化。官民が連携して脅威に関する情報共有や協力を行う「日本サイバー犯罪対策センター」(JC3)も活動を推進するなど、この数年でさまざまな取り組みが進められてきた。
シンガポールでもまた、サイバー犯罪対策は喫緊の課題だという。カンファレンスの冒頭で、シンガポールの内務大臣兼法務大臣であるK・シャンミューガム氏が登壇し、開会の辞を述べた。同氏は、「国境をまたがって展開されるサイバー犯罪と断固戦っていく」と宣言し、「一般国民の教育や啓発」「警察のサイバー犯罪捜査能力の強化」「関連法制の整備」「業界や教育機関、国際機関とのパートナーシップ」という4つの柱からなるアクションプラン「National Cybercrime Action Plan」を発表。カンファレンスの参加者に、サイバー犯罪対策に取り組む共同エコシステムに加わってほしいと呼び掛けた。
「視点」を変え、取締役会で通じる言葉で説明を
続いて、米RSAのプレジデント、アミット・ヨラン氏が基調講演を行った。
同氏は2016年2月に米国で開催されたRSA Conferenceの基調講演で、「予防から、検知/対応へのシフト」を呼び掛けた。しかし今回の講演は少し異なる角度での内容だった。強調したのは、「ビジネス駆動型セキュリティ(Business-Driven Security)」という新しい視点を持つことの重要性だ。
今やサイバーセキュリティはITシステムだけの話にとどまらず、企業経営そのものにインパクトを及ぼすリスクになる恐れがある。それを踏まえ、セキュリティ担当者も「ビジネス視点」を持ち、経営者に通じる言葉で説明を行う必要があるという。ヨラン氏は、残念ながら現時点では「ビジネスとセキュリティの間には摩擦点が存在する」と述べ、視点を変え、違うやり方を試すべき時期に来ていると呼び掛けた。
「経営者や取締役会のメンバーは、『Internet Explorerの脆弱(ぜいじゃく)性を悪用するAngularツールキットによって、情報漏えいが発生しました』などといった、そんな細かい情報に興味があるわけではない。彼らが知りたいのは、それが事業にどんなインパクトを与える可能性があるか、だ。そのセキュリティインシデントによって、事業継続性や知的財産、自社の評判にどんなダメージがあるかを知りたいのだ」(ヨラン氏)
ただ、IT担当者がいきなり経営目線で話をせよといわれても難しい。それには何らかの材料が必要だ。ヨラン氏は、経営者に通じる言葉で話をする材料として、「可視化」が鍵になると説明した。
「現在自社の環境で何が起こっているかを、担当者の勘に頼るのではなく、可視化することが求められている。システムやネットワーク、ユーザーの振る舞いの中から通常とは異なる挙動(アノーマリ)を見つけ出し、速やかに対策を取れるような、一段新しいレベルの可視性が必要だ」(ヨラン氏)
ヨラン氏は、新しいツールを前提にした新しい視点の例えとして、ベリーロールが主流だった走り高跳びの世界で背面跳びを考案し、金メダルを獲得したディック・フォスベリー選手の例を挙げた。もともと走り高跳び競技は砂場に着地していたが、選手の安全確保のためにマットレスが用いられるようになった。そしてマットレスという新しい道具を前提にするならば、これまでの飛び方を踏襲する必要はない。過去にとらわれずに新たな視点で考え、それまでにない飛び方を考案したからこそ、フォスベリー選手は勝者になれたという。
フォスベリー選手にとってのマットレスのように、より優れた視点を持つには、よりよいテクノロジーツールが欠かせない。ただ、ツールだけがあっても意味はなく、それを使いこなせる創造性を備えた「人」が必要であり、万能薬はないことにも注意が必要だという。セキュリティ業界では何度か、それまでの限界を打破するために新たなテクノロジーが生み出されてきた。今また、ビッグデータや機械学習、ビヘイビア分析といった技術が期待を寄せられているが、これらを使いこなし、目的を達成するのはあくまで自分自身というわけだ。
昨今、米国の大手IT企業や調査会社では、ITと事業の関係性を捉え直し、事業を推進する原動力としてのITにフォーカスを当て始めた。サイバーセキュリティもその文脈の中で、事業の継続や成長に欠かせないファクターと捉えられている。国内においても、経済産業省が「サイバーセキュリティ経営ガイドライン」を公表し、セキュリティを単なるITの問題ではなく、経営課題と位置付けて取り組むよう推奨している。ヨラン氏の講演もまた、セキュリティを経営の問題と捉え、取締役会とITの現場とをつなぐことの重要性を訴えたものといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- iPhone問題で再び繰り返される「自由」と「安全」の対立
キーエスクロー制度や暗号技術の輸出規制といった形で繰り返されてきた「自由」と「安全」をめぐる対立が、iPhoneを巡るアップルとFBIの対立によって再び浮上している。25周年を迎える「RSA Confrence 2016」の基調講演でもこの問題が言及された。 - RSA Conference 2016に見る「可視化」「検出」「対応」を支援する製品たち
RSA Conference 2016の会場では、侵害は起こり得るものだという前提に立ち、システム内部に入り込んだ脅威をいち早く見つけ出し、速やかに対処することで、被害を最小限に抑えることを目指した製品が多数紹介された。 - DevOpsとSecは同じ夢を見るか?
米国で開催されたRSA Conference 2016では、開発・運用とセキュリティ担当者の距離を縮め、「セキュアでビジネスニーズに合ったサービスを素早く提供する」という共通の目的を達成するためのキーワード「DevSecOps」に関連するセッションが多数行われた。