[五味明子のLock on!& Rock on!]

セキュリティはミッションドリブンな世界―RSAのエグゼクティブ2名が語ったセキュリティのいま

2017/07/26-07/28

2017年8月2日(水)五味 明子(ITジャーナリスト)

Dell EMCのセキュリティ事業部門であるRSAは7月26日 - 28日の3日間、シンガポールにおいて年次カンファレンス「RSA Conference 2017 Asia & Pacific」を開催した。ランサムウェアの脅威、公共機関や大企業といった社会インフラを担う組織へのハッキングなど、高まる一方のセキュリティリスクに対し、我々はどう向き合っていくべきなのか。RSAのエグゼクティブ2名 - ロヒット・ガイ(Rohit Ghai、プレジデント)氏とズーリー・ラムザン(Zully Ramzan、CTO)氏に、現在のセキュリティリスクとその対処についてお話を伺った。

セキュリティリスクをビジネスリスクと捉えよ―ロヒット・ガイ氏

 ―RSAはここ1、2年、IT部門とビジネス部門における「悲しみのギャップ(Gap of Grief)」、お互いがお互いの言語と文化を理解できないがためにセキュリティリスクが増大しているという主張をしています。このギャップを埋めるために、つまりセキュリティリスクを小さくするために、企業は具体的にどういった手段を取るといいのでしょうか。

ロヒット・ガイ氏

 ガイ氏: 大きく3つの方法があります。ひとつめは経営層にCISO(Chief Information Security Officer)を置くことです。多くの企業ではCIOがCISOを兼任しているかもしれませんが、できればセキュリティにおけるランドスケープ(トレンド)の変化にフォーカスする役職を設けたほうが望ましいといえます。現在、脅威の世界はすさまじい勢いで進化を続けており、サイバーセキュリティを専門に見ている人間でなければキャッチアップは難しいでしょう。

 ―CISOではなく、セキュリティの専門家をCIOの配下に置くのでは不十分でしょうか。

 ガイ氏: 重要なのはセキュリティに対して責任と権限をもつ人物が"経営層にいる"という点です。CISOを置くということは、その会社がセキュリティを経営課題として認識しているという事実を内外に示すことになります。セキュリティリスクをビジネスリスクとして理解していれば、CISOを経営層に加えることはごく自然なことに気づくはずです。

 2つめはIT部門とビジネス部門が共通の言語で会話するためにKPIをベースにするという点です。ビジネス部門やITに詳しくない経営層が知りたいのは、攻撃の技術的詳細ではありません。もちろん、テクニカルな情報は重要ですが、インシデントを経営上のリスクと捉えるなら、インシデントが与える経営へのインパクトについて、双方が同じコンテキストを踏まえてディスカッションする必要があります。そのために有効なのがKPIです。目標を設定し、メトリクスを明確にし、何が達成できているのか/いないのか、インシデントが発生した場合もKPIをベースにして双方がコミュニケーションすることで、解決のペースが速くなります。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

バックナンバー
五味明子のLock on!& Rock on!一覧へ
関連記事

セキュリティはミッションドリブンな世界―RSAのエグゼクティブ2名が語ったセキュリティのいまDell EMCのセキュリティ事業部門であるRSAは7月26日 - 28日の3日間、シンガポールにおいて年次カンファレンス「RSA Conference 2017 Asia & Pacific」を開催した。ランサムウェアの脅威、公共機関や大企業といった社会インフラを担う組織へのハッキングなど、高まる一方のセキュリティリスクに対し、我々はどう向き合っていくべきなのか。RSAのエグゼクティブ2名 - ロヒット・ガイ(Rohit Ghai、プレジデント)氏とズーリー・ラムザン(Zully Ramzan、CTO)氏に、現在のセキュリティリスクとその対処についてお話を伺った。

PAGE TOP