[イベントレポート]

ビジネスドリブンセキュリティが“悲しみのギャップ”を埋める - 「RSA Conference 2017 APJ」レポート

2017年7月28日(金)五味 明子(ITジャーナリスト)

いざ、セキュリティインシデントが起こった時、経営者は顧客や世間への影響を真っ先に考えるが、IT部門は攻撃手法の解明や善後策ばかりに明け暮れる─。噛み合わない歯車を何とかし、ビジネスミッションの位置づけでサイバー攻撃に対峙していくためには何が必要なのか。「RSA Conference 2017 APJ」のキーノートで語られたエッセンスをお伝えする。

 ランサムウェア「WannaCry」による被害が世界的に拡大した事件をきっかけに、セキュリティリスクを単なるIT部門の課題ではなく、ビジネス全体に関わるリスクとして捉える企業が国内でも増えつつある。セキュリティへの取り組みはコストとしてではなく、ビジネスにおける重要なミッションの一つとして認識する──。セキュリティベンダーの草分け的存在であるRSAはこの「ビジネスドリブンセキュリティ(Business-driven Security)」というコンセプトをここ1、2年、強く訴求してきた。

 セキュリティリスクの定義が変わりつつある今、ビジネスドリブンセキュリティは企業にどんなインパクトを与えるのか。本稿では2017年7月26日-28日の3日間にわたり、シンガポールで開催された「RSA Conference 2017 Asia Pacific & Japan」のオープニングキーノートの内容から、ビジネスとセキュリティの新しい関係性について考えたい。

APJから6500人が参加したRSA Conference 2017 Asia Pacific & Japan(シンガポールのマリーナ・ベイ・サンズにて)
拡大画像表示

スレットマネジメントからリスクマネジメントへ

 「脅威を取り巻く世界(threat landscape)は前例のない状況となっている。攻撃者はより洗練された手段を駆使し、自分の存在を巧妙に隠し、サイバー犯罪を次々と成功させている。彼らが犯罪者として捕まる可能性はごくわずかだ。そして、今ではランサムウェアを作成するオープンソースのツールキット、ビットコインの搾取ツールなど、CCaaS(Cyber-Crime as a Service)型の犯罪ツールが容易に手に入る」──。オープニングキーノートに登壇したRSAのプレジデントであるロヒット・ガイ(Rohit Guy)氏は冒頭、脅威の世界が様変わりしている現状をあらためて強調した。誰もがサイバー犯罪の加害者になることができ、そして誰もがサイバー犯罪の被害者になりうる時代を迎えているのだ。

RSAのプレジデントであるロヒット・ガイ氏

 「2016年は(全世界で)1億6400万件もの個人情報が不正にアクセスされた。その件数は15カ月ごとに2倍になっている。フィッシング攻撃は30秒に1回の頻度で発生しており、クラウドベースのサイバー攻撃による被害額は500億~1000億ドルにも上るだろう。サイバー攻撃による被害は大型の自然災害や伝染病に似た様相を呈している」(ガイ氏)。

 では様変わりした脅威の時代に生きる企業は、どのようなアプローチでもってセキュリティに臨むべきなのか。ガイ氏は「サイバーセキュリティの位置付けをスレットマネジメント(脅威のマネジメント)からリスクマネジメントにシフトする必要がある」と語っている。直面する一つひとつのサイバー攻撃にその場しのぎで対応するのではなく、ビジネスを継続する以上、サイバー攻撃は企業が必ず向き合うことになるビジネスリスクであると認識し、その前提にもとづいた対策を採る必要があるという主張だ。

 キーノート中、ガイ氏は現代のセキュリティリスクは、過去の常識の延長線上で対抗できるレベルをはるかに超えている例えとして、エイブラハム・リンカーンの「我々が直面している事態が新しいものであるなら、我々は新しい考え方と新しい振る舞いをしなくてはならない(As our case is new, so we must think anew and act anew.)」という言葉を引用し、時代に適したアプローチの重要性を強調している。そしてRSAが提唱する新しいセキュリティアプローチが「ビジネスドリブンセキュリティ」となる。

ビジネス部門とIT部門が距離を縮めるための施策

 ビジネスドリブンセキュリティのことをガイ氏は「ビジネス部門とIT部門の間に存在する“悲しみのギャップ(Gap of Grief)”を埋める方法」と表現する。両者の対立はどこの国でも、また、どの企業でも見られる光景であり、解決の緒はなかなか見つからない。さらにセキュリティに限っていえばその傾向はさらに顕著で、経営層やビジネス部門とIT部門の間では「互いに共通の言語をもたない」(ガイ氏)ことが悲しみのギャップをより深める結果になっているという。

 例えば企業がサイバー攻撃を受けた場合、経営層が知りたいことは、それがクロスサイトスクリプティングなのか、それともSQLインジェクションなのかではない。彼らが知りたいことはその攻撃による世間や顧客、フィナンシャルに与える影響であり、攻撃の技術的詳細には興味がない。だがIT部門はまず攻撃内容の技術的詳細を把握しようとする。ここに存在するギャップは放置したままでは決して埋まることはない。

 悲しみのギャップを埋めるためには、ビジネス部門とIT部門がその距離を縮め、お互いに理解できる言語が必要となる。ガイ氏はギャップを埋めるための重要な施策として、以下の3つを推奨する。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

関連記事

ビジネスドリブンセキュリティが“悲しみのギャップ”を埋める - 「RSA Conference 2017 APJ」レポートいざ、セキュリティインシデントが起こった時、経営者は顧客や世間への影響を真っ先に考えるが、IT部門は攻撃手法の解明や善後策ばかりに明け暮れる─。噛み合わない歯車を何とかし、ビジネスミッションの位置づけでサイバー攻撃に対峙していくためには何が必要なのか。「RSA Conference 2017 APJ」のキーノートで語られたエッセンスをお伝えする。

PAGE TOP