ここから本文です

企業がセキュリティ対策を2017年に“転換”すべき理由

ITmedia エンタープライズ 10/12(水) 8:47配信

 バランスを欠く後付けのセキュリティ対策をいつまで続けるのか――。米Gartner リサーチ部門でリサーチディレクターを務めるジェフェリー・ウィートマン氏は、企業のセキュリティ対策の現状についてこう指摘する。ガートナー ジャパン主催の「Gartner Symposium/ITxpo 2016」では、ウィートマン氏が2017年に向けたセキュリティ対策の転換を企業に呼び掛けた。

【その他の画像】

 このカンファレンスでは「企業ビジネスのデジタル化」が大きなテーマに掲げられ、ウィートマン氏は同テーマの実現において企業に求められるセキュリティへの取り組み方を紹介した。ウィートマン氏は、「コンプライアンスやガバナンスなどのリスクと、信頼性や可用性、スピードといったレジリエンスのバランスを徹底して追求しなければならない」と述べた。

 同氏によると、従来はこのバランスが十分に考慮されず、企業がビジネスを推進していく過程の後付けでセキュリティ対策が講じられてきた。その結果、不十分なセキュリティ対策によってリスクが顕在化したり、逆にリスクを抑え込むセキュリティ対策がビジネスの足かせになったりしているという。

 さらに、最近は「サイバーセキュリティ」という言葉が企業の経営層から事業部門やIT部門の現場に至るまで使われ始めたものの、この言葉に対する理解や認識はそれぞれの立場で異なり、企業全体としての取り組みに昇華できていない。

 ビジネスのデジタル化を推進するには共通の定義と認識が必要といい、ウィートマン氏は「デジタル・セキュリティ」という言葉を使い、経営層から現場層までをつなぐ重点領域が、「情報セキュリティ」「ITセキュリティ」「物理セキュリティ」「OT(運用技術)セキュリティ」「IoTセキュリティ」のどこにあるのかといった議論を深めるべきと語った。

 例えば、クラウドサービスにITシステムを構築して新規ビジネスを推進する場合、従来のオンプレミスでITシステムを構築する場合とは違った「デジタルサプライチェーン」のリスクを考慮したセキュリティを取り入れるべきという。

 従来なら企業自身でITシステムにまつわるセキュリティ問題などのリスクに対処するが、クラウドサービスによるITシステムなら、システムリソースを提供するサービス事業者側に依拠せざるを得ず、企業自身がバランスを取りながらコントロールしていかないといけない。そこでGartnerは、「アダプティブ・セキュリティ・アーキテクチャ」を開発したという。

 このアーキテクチャは、セキュリティ対策の考え方を従来の事後対応型から恒常的な取り組みに転換し、防御偏重から検知・対応・予測にシフトすることで、セキュリティコストの適正化を図る。コンテキストアウェア型(脅威など各種問題などの兆候を捉える)のセキュリティプラットフォームを取り入れ、検知・対応・予測のための活動を包括的かつ継続的に実行できるような仕組みを取り入れるべきとした。

 また、データ中心のセキュリティ対策とガバナンスも求められるという。例えば、クラウドサービスやモバイルデバイスで社外からビジネスデータを扱うシーンが広がると、従来のようにオンプレミスのITシステムでデータを保護したり、管理したりすることがますます難しくなる。ウィートマン氏によれば、2020年には企業データの約40%がファイアウォールを通過しなくなると予想され、データを守るにはユーザーIDなどの保護へより注力することが必要だという。

 ウィートマン氏は、企業がクラウドやIoTのような手段をビジネスに取り入れるデジタル化がさらに加速していくと述べ、事後対応型の古いセキュリティモデルではなく、予測対応によってリスクを最小化させる新たなモデルの検討に着手すべきだとアドバイスしている。

最終更新:10/12(水) 8:47

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

失うことで不完全さの中に美を見出した芸術家
画家のアリッサ・モンクスは、未知のもの、予想しえないもの、そして酷いものにでさえ、美とインスピレーションを見出します。彼女は詩的で個人的な語りで、自身が芸術家として、そして人間として成長する中で、人生、絵の具、キャンバスがどう関わりあってきたかを描きます。 [new]