サイバー攻撃を懸念する声の多かったオリパラが無事に閉幕した理由:セキュリティ・アディッショナルタイム(46)
「CISOは事業部門と共通の目標を持つこと」は教科書的な言葉で聞く方も「また抽象的な話か……」と飽き飽きするだろう。だが、東京オリンピック・パラリンピック2020では「事業部門と共通の目標を持つ」ことに成功し、さらにその目標を無事に達成した。その要因は何だったのだろうか。
令和という時代に足を踏み入れてすぐ到来したコロナ禍このかた、先の見えない1年半が過ぎた。その間、「VPNを増やさなきゃ」「クラウドサービスを入れなきゃ」と、とにかく目先の問題解決に追われてきたIT管理者やセキュリティ担当者もいるのではないだろうか。
だが、ようやくアフターコロナが見えてきた今、あらためて「緩んできたときにまたスキが出るのではないか」「サービスも変化するのではないか」と、少し先を見据えて考え始める余裕が生じてきた。ただ一方で、企業におけるセキュリティ被害は表沙汰になったものだけでも相次いでおり、「明日はわが身」の状態が続いている。その上、新たに「ゼロトラスト」というキーワードが飛び交い、新たなサービスが続々と登場している。
「セキュリティを守る側のサービスもカオス、業務を動かす側のサービスもカオスな状況となっている中、どうやってデータを守り、企業の存続を図り、ゼロトラストなんてものが実現できるのか」――アスタリスク・リサーチ 代表取締役 エグゼクティブ アドバイザの岡田良太郎氏は、「ITmedia Security Week 2021秋」の「CISOが、適切にセキュリティ機能とレベルを決めるには - 現状維持か変革かを分けるポイント」と題する講演において、このように問い掛けた。
だが、残念ながらそんな都合の良い技術は存在しない。
次々に新たなクラウドサービスが登場する中、「これは使ってはいけません、利用に当たっては申請してください」といったルールだけで従業員を縛るのは非現実的だ。その現実を踏まえた上で「どのように全体の統制を取り、さまざまな情報漏えい/流出リスクと戦っていくか」という課題にCISO(最高情報セキュリティ責任者)は直面している。つまり、「変革するかしないかではなく、どのように変革するかが肝になります」と岡田氏は指摘した。
「CISOは事業部門と共通の目標を持つこと」は教科書的な言葉だが……
岡田氏は、『CISOハンドブック』の上梓を機に、「CISOはいったい何と戦っているのか」についてしばしば考えるようになったという。
1つ目は、言わずと知れた外部からの脅威だ。たびたび報道されている通り、データやシステムを人質に取って数千万円、数億円といった多額の金額を要求してくるランサムウェアへの感染事例が相次いで発生している他、サプライチェーン経由の脅威も増大している。
2つ目は、「社会の要請」だ。メッセージアプリの「LINE」が、利用者の情報をどの国で管理しているかが大きな問題となった件は記憶に新しい。これをきっかけに「プライバシーの問題、利用者のデータがどの国で扱われているかが大事な問題だということに、あらためてスポットライトが当てられることになりました」(岡田氏)。いわゆる脆弱(ぜいじゃく)性やサイバー攻撃とは異なる問題だが、これもまた企業の事業継続や管理、ガバナンスに関わる重要なポイントだ。「自社のこの情報はどこに置いてあり、誰が管理しているのか、どの国で扱われているのか」を洗い出すことの重要性が再認識された。
3つ目は「社内」、つまり事業部門をはじめとする「身内」とのせめぎ合いだ。例えば「セキュリティ対策がどれだけプロフィッタブルな話なんですか、セキュリティをやっていてもうかるんですか」といった言葉を投げつけられたCISOもいることだろう。
この身内とのせめぎ合いを乗り越えるヒントとして岡田氏は、『Harvard Business Review』に掲載された「安心して助けを求められる組織を作る6箇条」を挙げた。中でも「どのようにして事業部門と共通の目標を持つか」が大きなポイントだ。
一般に、「事業部門と共通のゴールを立て、リスクに落とし込む」といった場合、まず「事業の構成を言葉にして、共通の目標を持つ」「それを支える関連システムとデータを明らかにする」といった、いかにも教科書的な言葉が並べられがちだ。聞く方も「また抽象的な話か……」と飽き飽きするだろう。
だが、日本の誰もが知るある組織が「事業部門と共通の目標を持つ」ことに成功し、さらにその目標を無事に達成している。
「それは東京オリンピック・パラリンピック2020(以下、オリパラ)です」(岡田氏)
オリパラが無事に閉幕した3つの理由
コロナ禍の影響で1年延期となったオリパラだが、講演前日にパラリンピックの閉会式が行われ、無事に終了した。サイバーセキュリティの面でも「具体的なことはおいおい発表されると思いますが、細かな事象はいろいろあったものの、少なくとも事業目標を損なうような出来事は起きませんでした。素晴らしい成果です」と岡田氏は述べた。
事前には「オリンピックに対するサイバー攻撃」を懸念する声が多々あったにもかかわらず、一体、何が成功要因だったのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
経営陣が欲しい「セキュリティ」、その3つの誤解と真実
デジタルトランスフォーメーション(DX)、システム刷新、そしてセキュリティ――昨今のIT投資における企業・団体の悩みは大きくなる一方だ。OWASP Japanリーダーで、アスタリスク・リサーチのCEOを務める岡田良太郎氏が、経営陣の誤解を解き、IT担当者にエールを送る。
DX時代の今、経営層やエンジニアに問い直す、「セキュリティ対策」と「セキュリティバイデザイン」の意義とは
近年の複雑化、多様化するサイバー攻撃を迎え撃つセキュリティ対策は、迅速なサイクルを回す開発が求められるデジタルトランスフォーメーション(DX)の阻害要因になるのではという意見もある。その中、DXとセキュリティの両立に有効なのが「セキュリティバイデザイン」だ。では、企業がセキュリティバイデザインに取り組む上で、どのような課題があるのか。
何が違う? 何が必要? マイクロサービス/サーバレス時代のセキュリティ
従来のモノリシックなアーキテクチャに代わって着目されている「マイクロサービス」や「サーバレス」。これらの新しいアーキテクチャについて、セキュリティの観点からどのようなことに留意すべきなのだろうか。