ここから本文です

経営層とセキュリティ担当者の「ギャップを埋める」のはビジネス駆動型セキュリティ

@IT 7月22日(金)17時11分配信

 2016年7月20日から22日にかけて、シンガポールでRSA主催のセキュリティ関連イベント「RSA Conference Asia Pacific & Japan 2016」が開催されている。日本をはじめ、ASEAN諸国や中国、韓国、オーストラリアなどを中心に、約5000人のセキュリティ担当者が参加した。

【その他の画像】「RSA Cybersecurity Poverty Index」調査結果

 高度な標的型攻撃やランサムウェア、金銭目的のID窃取など、サイバー犯罪の脅威は国を問わず広がっている。日本においては、サイバーセキュリティ戦略に基づいて内閣サイバーセキュリティセンター(NISC)が政府機関のサイバーセキュリティ対策を推進している他、警察庁も対策を強化。官民が連携して脅威に関する情報共有や協力を行う「日本サイバー犯罪対策センター」(JC3)も活動を推進するなど、この数年でさまざまな取り組みが進められてきた。

 シンガポールでもまた、サイバー犯罪対策は喫緊の課題だという。カンファレンスの冒頭で、シンガポールの内務大臣兼法務大臣であるK・シャンミューガム氏が登壇し、開会の辞を述べた。同氏は、「国境をまたがって展開されるサイバー犯罪と断固戦っていく」と宣言し、「一般国民の教育や啓発」「警察のサイバー犯罪捜査能力の強化」「関連法制の整備」「業界や教育機関、国際機関とのパートナーシップ」という4つの柱からなるアクションプラン「National Cybercrime Action Plan」を発表。カンファレンスの参加者に、サイバー犯罪対策に取り組む共同エコシステムに加わってほしいと呼び掛けた。

●「視点」を変え、取締役会で通じる言葉で説明を

 続いて、米RSAのプレジデント、アミット・ヨラン氏が基調講演を行った。

 同氏は2016年2月に米国で開催されたRSA Conferenceの基調講演で、「予防から、検知/対応へのシフト」を呼び掛けた。しかし今回の講演は少し異なる角度での内容だった。強調したのは、「ビジネス駆動型セキュリティ(Business-Driven Security)」という新しい視点を持つことの重要性だ。

 今やサイバーセキュリティはITシステムだけの話にとどまらず、企業経営そのものにインパクトを及ぼすリスクになる恐れがある。それを踏まえ、セキュリティ担当者も「ビジネス視点」を持ち、経営者に通じる言葉で説明を行う必要があるという。ヨラン氏は、残念ながら現時点では「ビジネスとセキュリティの間には摩擦点が存在する」と述べ、視点を変え、違うやり方を試すべき時期に来ていると呼び掛けた。

 「経営者や取締役会のメンバーは、『Internet Explorerの脆弱(ぜいじゃく)性を悪用するAngularツールキットによって、情報漏えいが発生しました』などといった、そんな細かい情報に興味があるわけではない。彼らが知りたいのは、それが事業にどんなインパクトを与える可能性があるか、だ。そのセキュリティインシデントによって、事業継続性や知的財産、自社の評判にどんなダメージがあるかを知りたいのだ」(ヨラン氏)

 ただ、IT担当者がいきなり経営目線で話をせよといわれても難しい。それには何らかの材料が必要だ。ヨラン氏は、経営者に通じる言葉で話をする材料として、「可視化」が鍵になると説明した。

 「現在自社の環境で何が起こっているかを、担当者の勘に頼るのではなく、可視化することが求められている。システムやネットワーク、ユーザーの振る舞いの中から通常とは異なる挙動(アノーマリ)を見つけ出し、速やかに対策を取れるような、一段新しいレベルの可視性が必要だ」(ヨラン氏)

 ヨラン氏は、新しいツールを前提にした新しい視点の例えとして、ベリーロールが主流だった走り高跳びの世界で背面跳びを考案し、金メダルを獲得したディック・フォスベリー選手の例を挙げた。もともと走り高跳び競技は砂場に着地していたが、選手の安全確保のためにマットレスが用いられるようになった。そしてマットレスという新しい道具を前提にするならば、これまでの飛び方を踏襲する必要はない。過去にとらわれずに新たな視点で考え、それまでにない飛び方を考案したからこそ、フォスベリー選手は勝者になれたという。

 フォスベリー選手にとってのマットレスのように、より優れた視点を持つには、よりよいテクノロジーツールが欠かせない。ただ、ツールだけがあっても意味はなく、それを使いこなせる創造性を備えた「人」が必要であり、万能薬はないことにも注意が必要だという。セキュリティ業界では何度か、それまでの限界を打破するために新たなテクノロジーが生み出されてきた。今また、ビッグデータや機械学習、ビヘイビア分析といった技術が期待を寄せられているが、これらを使いこなし、目的を達成するのはあくまで自分自身というわけだ。

 昨今、米国の大手IT企業や調査会社では、ITと事業の関係性を捉え直し、事業を推進する原動力としてのITにフォーカスを当て始めた。サイバーセキュリティもその文脈の中で、事業の継続や成長に欠かせないファクターと捉えられている。国内においても、経済産業省が「サイバーセキュリティ経営ガイドライン」を公表し、セキュリティを単なるITの問題ではなく、経営課題と位置付けて取り組むよう推奨している。ヨラン氏の講演もまた、セキュリティを経営の問題と捉え、取締役会とITの現場とをつなぐことの重要性を訴えたものといえるだろう。

●経営層とセキュリティ担当者の間に横たわる「嘆かわしきギャップ」とは

 RSAはカンファレンスに合わせ、アジア太平洋地域ならびに日本で実施したセキュリティ対策の後れに関する調査結果を発表している。200社から回答を得たこの調査によると、過去1年の間に、事業にマイナスの影響を与えるようなセキュリティインシデントを経験した企業は70%に上った。また、巧妙な攻撃を検知する能力がないか、あまりないと考える企業は計56%、検出や調査のスピードに不満を抱いている企業は90%に上るという。

 このように、セキュリティ製品に多くの投資を投じてきたにもかかわらず、防御に失敗し、インシデントを経験することになった一因は、「セキュリティの機能面のみにフォーカスして対策に取り組んできたことにある」と、RSA グローバルパブリックセクター担当バイスプレジデント兼ジェネラルマネージャーのマイク・ブラウン氏は述べている。

 ブラウン氏によると、残念ながら多くの企業や組織には、経営層とセキュリティ担当者の間に「嘆かわしきギャップ」が存在するという。両者間のコミュニケーションが不足し、事業戦略やリスクの優先順位に関する共通理解が欠けたままでは、セキュリティへの投資額が膨らむばかりでリターンが得られず、互いに不満が膨らむだけだ。

 この反省を踏まえ、「サイバーセキュリティをビジネスリスクの一部と捉えて戦略を立て、リスクベースのアプローチを取ることが重要だ」とブラウン氏は語った。具体的には、組織内にあるリスクを特定し、優先順位を付け、経営層とコミュニケーションを取り、事業戦略の中で調整しながら対策を進めていく必要があるという。

 この取り組みを支援する要素は2つある。1つは、組織の現状を可視化し、外部からの攻撃に起因するアノーマリな動きや内部犯行の兆候といったリスクを把握できるようにするツールだ。RSAはそれを可能にする製品やサービスを提供し、「必要な材料をテーブルに並べ、ゴールを目指せるように支援する」(ブラウン氏)という。

 もう1つは、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークだ。もともとは重要インフラ産業向けのフレームワークだが、これを採用することで、リスクベースのアプローチがどの程度成熟しているかを評価し、目標とのギャップはどのくらいなのかを把握できるとブラウン氏は説明した。米国ではこのフレームワークが、リスク軽減策の1つである「サイバーセキュリティ保険」加入時の評価指標として使われており、成熟度の高い企業は保険料が低くて済むといったインセンティブも設けられているという。

 米国では、小売業のターゲットやソニーピクチャーズで発生したサイバー攻撃事件のインパクトもあって、経営層とセキュリティ担当者が適切にコミュニケーションを取り、リスクベースのアプローチを採用する機運が高まっているという。「懐疑的な企業経営層にまず必要性を認識してもらい、受け入れてもらい、採用してもらう。そして、各国の法規制などと調整を取り、その取り組みを加速していくことだ」(ブラウン氏)。日本でも、相次ぐ標的型攻撃の被害を背景に、関心は高まっていくことだろう。

[高橋睦美,@IT]

最終更新:7月22日(金)17時11分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]