ここから本文です

セキュリティ業界は、医療業界のアプローチ「プレシジョンメディシン」に学べ

8/1(火) 8:10配信

@IT

 2017年7月26日から28日まで、シンガポールで「RSA Conference 2017 Asia Pacific & Japan」が開催された。シンガポールでの開催は今回で5回目となり、約6500人以上の登録者があったという。

2017 Global Security Indexで示されたアジア各国のセキュリティ成熟度

 RSA Conference 2017 Asia Pacific & Japanでは、RSAのプレジデントを務めるロヒト・ガイ氏が初日の基調講演に登壇。医療業界では、特定の症状を抑えることを目的とした「万人向けの汎用薬」から、患者個人の体質や遺伝情報、ライフスタイルに合わせた「プレシジョンメディシン(精密医療)」へアプローチを変えることで、新たに多くの人を救い始めている実態に触れ、以下のように述べた。

 「この医療業界の潮流と同様に、セキュリティ業界も、脅威に入り込まれないことを目的にした“汎用のセキュリティ対策”から、個々の企業のビジネスコンテキストに沿ってリスクを管理する“ビジネスドリブンセキュリティ”に考え方を変えていく必要がある」(ガイ氏)

 あらためて強調するまでもなく、サイバー犯罪や脅威は増加の一途をたどっている。今やIT(Information Technology:情報技術)だけではなく、OT(Operation Technology:運用技術)やICS(Industrial Control System:産業制御システム)、あるいはコネクテッドカーや家電など、あらゆるモノ(Things)がネットワークにつながり、ソフトウェアで制御されるようになっている。当然、それらの全てにセキュリティリスクがあり、脅威が及ぶ可能性がある。

 例えば、コネクテッドカーや自動運転などの技術進化が著しい自動車。ガイ氏によると、メルセデス・ベンツの最上位車種であるSクラスを制御するコンピュータは、Mac OS X Tiger(10.4)よりも多い、1億行ものコードで書かれたプログラムが走っているという。「そこには、さまざまな脆弱(ぜいじゃく)性が潜んでいる可能性が非常に高い。もちろん自動車だけでなく、攻撃対象は指数関数的に増大している」と警鐘を鳴らす。

 それと同時に、これらのモノは、欧州連合(EU)による「GDPR(General Data Protection Regulation:EU一般データ保護規則)」や「中国サイバーセキュリティ法」といった、新しい法規制への対応も求められることにもなる。

●プレシジョンメディシンに倣い、個々の状況に応じたセキュリティを

 セキュリティ業界は、前述した医療業界の取り組みから何を学べば良いのか。

 医療技術の発展と、治療に関する考え方の変化に伴い、医療のアプローチが大きく変わりつつあることは前述した。ここでガイ氏は、ある家族の事例を紹介した。

 ガイ氏によると、その家族の双子は、子どものころから化学物質欠乏症に起因する発作に悩まされていた。そしてあるとき、それが原因で集中治療室に運ばれるまでの事態に陥った。家族は子どもがこうした危機に遭遇したことを機に、一家全員で遺伝子配列を検査した。その結果、ある遺伝的変異が双子に受け継がれていたことが分かった。この検査で得られた「新しい知見」を元に、「万人向けの対症治療」ではなく、この症状に適した「プレシジョンメディシン」治療に切り替えることによって、双子は快方に向かったという。

 この「精密さ(プレシジション:Precision)」こそが、これからのセキュリティに求められるものだ。

 プレシジョンメディシンは、個々の遺伝子情報やバイオマーカー、環境や生活習慣、家族の病歴といったさまざまな情報を元に、患者個人に最適化し、パーソナライズされた精密な治療法を提供する考え方である。

 これと同様に、セキュリティでもビジネスコンテキストを理解し、自社にとって重要な資産やビジネスインパクトを特定し、優先順位を付けた上で、自社に適する対策を的確に取り入れる。これが、RSAが提唱するビジネスドリブンセキュリティの背後にある考え方だという。

 「ビジネスドリブンセキュリティは、サイバーセキュリティの世界にプレシジョンメディシンと同様の効果をもたらす。プロアクティブなリスクマネジメントを実現し、インシデントの検知やレスポンスのスピードを向上させ、リスクの度合いに応じた多層的な防御を可能にする」(ガイ氏)

 攻撃者側は常に手法を進化させ、ときには共同作業もしながら攻撃してくる。守る側も防御を固め、情報共有の取り組みなどの対策を進めてはいるが、どうしても後手に回ってしまう。そんな中で、唯一守る側が優位に立てるのは「自社のビジネスコンテキストに対する理解」である。

 ガイ氏は、アナリティクスや機械学習といった技術が、医療における放射線医学のような役割を果たせると説明。そうした技術やツールの手助けを得ながら、長年蓄積してきた自社のビジネスに関する知見を活用することで「精密なセキュリティ」を実現できると提言した。

●つまり、「脅威」ではなく「リスク」にフォーカスする

 セキュリティ担当者が用いる「言葉」や「説明の仕方」にもまだ課題がある。医者が患者へ症状や治療方針などを説明する場合、専門用語をずらずら並べながら説明するのでは、患者はその内容が分からないために、治療方法への理解も、そして信頼も得られない。

 同じような「ギャップ」が、セキュリティ担当者と経営層の間にも存在する。セキュリティ担当者は専門用語でまくしたてるのではなく、「自社の資産や顧客情報、評判にどのような影響があるか」を分かりやすい言葉で伝えなければ、経営層には届かない。改善度合いが分かる明確な評価指標を立てた上で、適切にツールや技術を使いこなして対策していくということになる。

 最後にガイ氏は、先進的医療の目的は「病気や症状をどのように直すか」から、「たとえ病気になっても、どのようにフィジカルやメンタルを満足できる状態に保つか」へと変化していることも紹介。セキュリティ業界もそれと同じで、「“侵入されないようにするための脅威マネジメント”から、“リスクを可視化し、管理し、より安心できる状態を保つためのリスクマネジメント”へとフォーカスを変化させるべきだ」とガイ氏は強調した。これからのセキュリティ対策は、こういった「リスクにフォーカスしたアプローチ」が肝要になってくる。

●「2017 Global Security Index」、日本は11位

 基調講演では、アジア太平洋地域の各国が「Thailand 4.0」や「Singapore Smart Nation」といった形でデジタル技術を活用した戦略を進めており、ASEAN地域全体のサイバーセキュリティ強化に向けた「Asean Cyber Capacity Programme(ACCP)」といった取り組みが始まっていることへの言及もあった。

 こうした取り組みの成果か、ITU(国際電気通信連合)が発表した「2017 Global Security Index」でシンガポールが1位に。また、マレーシアやオーストラリアもトップ10に入った。日本は11位だった。

最終更新:8/1(火) 8:10
@IT