侍だけではデジタルビジネスのセキュリティ対策として不十分である理由:イベントレポート(2/2 ページ)
ガートナー ジャパンは2016年10月5日から7日にかけてCIO向けカンファレンス「Gartner Symposium/ITxpo 2016」を開催した。本稿ではその中から、セキュリティ関連のセッションを紹介する。
デジタルビジネス時代のセキュリティ対策に求められる意識の転換とは
2日目のセッション「2017年:日本におけるセキュリティ・アジェンダのトップ5」では、ガートナー リサーチ部門 リサーチ ディレクターの磯田優一氏が、クラウドやIoT、Fintechといったトレンドの中で、内部/外部の脅威にCIOがどう向き合い、セキュリティ対策を実現していくべきかについて、ガートナーの調査結果を基に解説した。
磯田氏によれば、相次ぐ情報漏えい事故などによりセキュリティへの関心が高まる中、企業のセキュリティ投資は増加傾向にあり、数年内には平均して企業のIT総予算の5〜8%を占めることが予想されるという。また人材に関しては、内部での育成に加えて、アウトソーシング、新規での採用(新卒/中途)など、何らかの形で強化を検討している組織が90%を超えているそうだ。
しかし一方で、「コストが掛かり過ぎる」「複雑過ぎる」「どこまでやればゴールなのか分からない」といったセキュリティ対策に関する”素朴な悩み”を抱える企業も依然として少なくない。磯田氏は、「こうした悩みを抱える企業の経営者に対して公式なプレゼンテーションを実施し、意思決定の材料を提供するCIOの役割がますます重要になっている」と述べ、「プレゼンテーションはまずお金の話から始めること。ただし、仕事を評価してもらうためには“コスト”という言葉を使わず、”投資”という表現をするのが望ましい」とアドバイスした。
その上で磯田氏は実際のセキュリティ対策について、同氏が過去のカンファレンスなどでも用いてきた「日本の城」の例えを示しながら解説した。同氏の説明によれば、基本的には脅威の特定から防御、検知、対応、復旧に至るまでの対策を組み合わせる多層防御が前提となるが、近年は特に「天守閣(セキュリティインテリジェンスやSOC)」や「武者走(インシデントレスポンス)」の重要性が高まっており、「Detect & Respond(検知と対応)」領域への投資が必須であるという。
ただし、予算や人材といったリソースの状況、潜在するリスクは企業ごとに異なるため、城の形はさまざまになる。例えば天守閣(SOC)にしても、自組織で専任のチームを抱えるのか、MSSP(Managed Security Service Providers)と共同管理していくのか、完全にMSSPに依存するのかなど、いろいろなパターンが考えられる。磯田氏は、「こうしたセキュリティ対策の実装は、自組織の目的に即した『縄張(設計、定義)』を事前にしっかりと構築しなければ総崩れになってしまう。CIOなどのリーダーは、全体を見渡す広い視野を持つ必要がある」として注意を促した。
さらに磯田氏は、デジタルの世界と物理的な世界の境界が曖昧になるデジタルビジネスにおいては、「従来とは全く異なるセキュリティ対策の考え方が求められる」と述べ、その違いを「侍と忍者」になぞらえて説明した。
磯田氏によれば、従来のセキュリティが「事前にしっかり計画を立てて城を守るもの」であったのに対して、デジタルビジネスにおけるセキュリティは「実験的な試みを繰り返し、想定外のリスクに対処していくもの」であるという。「これまでのセキュリティ対策が不要になるわけではないが、デジタルビジネスの世界はスピードが全く違う。24時間判断を下し続けなければならないような世界だ。もし自分たちの組織でIoTなどを使った先進的なプロジェクトが立ち上がったなら、意識を切り替えて望む必要がある」(磯田氏)。
もはやサイバーだけでは済まないセキュリティ
ガートナー リサーチ部門 リサーチ ディレクターのジェフリー・ウィートマン氏は「2016〜2017年のサイバーセキュリティ・トレンド」と題して、ガートナーが近年実施した調査の結果を基に、デジタルビジネスにおいて求められるセキュリティ対策、リスク管理の在り方について、人や組織、サプライチェーンなど多角的な視点から解説した。
ウィートマン氏はまず、セキュリティの最も重要な役割は「いかにしてビジネスを止めないか」という点にあるとしながら、「デジタルビジネスでは、従来のように特定のセキュリティ機器を取り扱ったり、脅威を管理したりする人員を社内に配置するだけではセキュリティ対策は立ち行かない」と指摘。ビジネスとセキュリティリスクのバランスを取るためには、テクノロジーだけでなくビジネスも解する「多能な人材」を育成/採用し、ビジネス部門にセキュリティスキルを組み込んでいく必要があるとした。
またウィートマン氏は、クラウド化によりシステムの抽象化が進んでいる現状についても触れ、物理的なサプライチェーンだけでなく、視認性の低い「デジタルサプライチェーン」を管理することの重要性を強調した。「自分自身が所有していないものにも脆弱(ぜいじゃく)性や脅威が存在する可能性がある。クラウドサービスなどを利用する際には、ビジネス上のメリットを考慮しながら、どこまでリスクを許容できるのかをポリシーに基づいて判断する必要がある」(ウィートマン氏)。
「IoTの普及により、セキュリティはさらに広範な領域へと広がっていく。また2020年には、エンタープライズのトラフィックの約40%が、社内ネットワークのファイアウォールを経由せず、モバイル―クラウド間を行き来するともいわれている。この複雑なデジタルビジネスの世界を保護するには、サイバーセキュリティも次なる段階に進化しなければならない」(ウィートマン氏)
Copyright © ITmedia, Inc. All Rights Reserved.