検索
ニュース

経営層とセキュリティ担当者の「ギャップを埋める」のはビジネス駆動型セキュリティRSA Conference Asia Pacific & Japan 2016レポート(2/2 ページ)

RSAがシンガポールでセキュリティ担当者向けのイベントを開催。RSA プレジデントのアミット・ヨラン氏が、「ビジネス駆動型セキュリティ(Business-Driven Security)」という新しい視点を持つことの重要性を説いた。

Share
Tweet
LINE
Hatena
前のページへ |       

経営層とセキュリティ担当者の間に横たわる「嘆かわしきギャップ」とは

 RSAはカンファレンスに合わせ、アジア太平洋地域ならびに日本で実施したセキュリティ対策の後れに関する調査結果を発表している。200社から回答を得たこの調査によると、過去1年の間に、事業にマイナスの影響を与えるようなセキュリティインシデントを経験した企業は70%に上った。また、巧妙な攻撃を検知する能力がないか、あまりないと考える企業は計56%、検出や調査のスピードに不満を抱いている企業は90%に上るという。

photo 「RSA Cybersecurity Poverty Index」と題する調査では、アジア太平洋地域も世界の他の地域と同様、さまざまなセキュリティインシデントに直面する一方で、十分なインシデント対応や特定能力が欠けていることが明らかになった
photo 経営層とセキュリティ担当者のギャップを、適切なコミュニケーションで埋めることが重要だと述べたRSA グローバルパブリックセクター担当バイスプレジデント兼ジェネラルマネージャーのマイク・ブラウン氏

 このように、セキュリティ製品に多くの投資を投じてきたにもかかわらず、防御に失敗し、インシデントを経験することになった一因は、「セキュリティの機能面のみにフォーカスして対策に取り組んできたことにある」と、RSA グローバルパブリックセクター担当バイスプレジデント兼ジェネラルマネージャーのマイク・ブラウン氏は述べている。

 ブラウン氏によると、残念ながら多くの企業や組織には、経営層とセキュリティ担当者の間に「嘆かわしきギャップ」が存在するという。両者間のコミュニケーションが不足し、事業戦略やリスクの優先順位に関する共通理解が欠けたままでは、セキュリティへの投資額が膨らむばかりでリターンが得られず、互いに不満が膨らむだけだ。

 この反省を踏まえ、「サイバーセキュリティをビジネスリスクの一部と捉えて戦略を立て、リスクベースのアプローチを取ることが重要だ」とブラウン氏は語った。具体的には、組織内にあるリスクを特定し、優先順位を付け、経営層とコミュニケーションを取り、事業戦略の中で調整しながら対策を進めていく必要があるという。

 この取り組みを支援する要素は2つある。1つは、組織の現状を可視化し、外部からの攻撃に起因するアノーマリな動きや内部犯行の兆候といったリスクを把握できるようにするツールだ。RSAはそれを可能にする製品やサービスを提供し、「必要な材料をテーブルに並べ、ゴールを目指せるように支援する」(ブラウン氏)という。

 もう1つは、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークだ。もともとは重要インフラ産業向けのフレームワークだが、これを採用することで、リスクベースのアプローチがどの程度成熟しているかを評価し、目標とのギャップはどのくらいなのかを把握できるとブラウン氏は説明した。米国ではこのフレームワークが、リスク軽減策の1つである「サイバーセキュリティ保険」加入時の評価指標として使われており、成熟度の高い企業は保険料が低くて済むといったインセンティブも設けられているという。

 米国では、小売業のターゲットやソニーピクチャーズで発生したサイバー攻撃事件のインパクトもあって、経営層とセキュリティ担当者が適切にコミュニケーションを取り、リスクベースのアプローチを採用する機運が高まっているという。「懐疑的な企業経営層にまず必要性を認識してもらい、受け入れてもらい、採用してもらう。そして、各国の法規制などと調整を取り、その取り組みを加速していくことだ」(ブラウン氏)。日本でも、相次ぐ標的型攻撃の被害を背景に、関心は高まっていくことだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  2. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  9. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  10. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
ページトップに戻る