セキュリティはミッションドリブンな世界―RSAのエグゼクティブ2名が語ったセキュリティのいま
2017年8月2日(水)五味 明子(ITジャーナリスト/IT Leaders編集委員)
Dell EMCのセキュリティ事業部門であるRSAは7月26日 - 28日の3日間、シンガポールにおいて年次カンファレンス「RSA Conference 2017 Asia & Pacific」を開催した。ランサムウェアの脅威、公共機関や大企業といった社会インフラを担う組織へのハッキングなど、高まる一方のセキュリティリスクに対し、我々はどう向き合っていくべきなのか。RSAのエグゼクティブ2名 - ロヒット・ガイ(Rohit Ghai、プレジデント)氏とズーリー・ラムザン(Zully Ramzan、CTO)氏に、現在のセキュリティリスクとその対処についてお話を伺った。
セキュリティリスクをビジネスリスクと捉えよ―ロヒット・ガイ氏
―RSAはここ1、2年、IT部門とビジネス部門における「悲しみのギャップ(Gap of Grief)」、お互いがお互いの言語と文化を理解できないがためにセキュリティリスクが増大しているという主張をしています。このギャップを埋めるために、つまりセキュリティリスクを小さくするために、企業は具体的にどういった手段を取るといいのでしょうか。

ガイ氏: 大きく3つの方法があります。ひとつめは経営層にCISO(Chief Information Security Officer)を置くことです。多くの企業ではCIOがCISOを兼任しているかもしれませんが、できればセキュリティにおけるランドスケープ(トレンド)の変化にフォーカスする役職を設けたほうが望ましいといえます。現在、脅威の世界はすさまじい勢いで進化を続けており、サイバーセキュリティを専門に見ている人間でなければキャッチアップは難しいでしょう。
―CISOではなく、セキュリティの専門家をCIOの配下に置くのでは不十分でしょうか。
ガイ氏: 重要なのはセキュリティに対して責任と権限をもつ人物が"経営層にいる"という点です。CISOを置くということは、その会社がセキュリティを経営課題として認識しているという事実を内外に示すことになります。セキュリティリスクをビジネスリスクとして理解していれば、CISOを経営層に加えることはごく自然なことに気づくはずです。
2つめはIT部門とビジネス部門が共通の言語で会話するためにKPIをベースにするという点です。ビジネス部門やITに詳しくない経営層が知りたいのは、攻撃の技術的詳細ではありません。もちろん、テクニカルな情報は重要ですが、インシデントを経営上のリスクと捉えるなら、インシデントが与える経営へのインパクトについて、双方が同じコンテキストを踏まえてディスカッションする必要があります。そのために有効なのがKPIです。目標を設定し、メトリクスを明確にし、何が達成できているのか/いないのか、インシデントが発生した場合もKPIをベースにして双方がコミュニケーションすることで、解決のペースが速くなります。
会員登録(無料)が必要です
- "現場のAI"をカイゼンせよ! SAPとダイキンが試行錯誤する基幹データ×現場データのタイトな連携(2018/03/21)
- “支援と精査”が導くイノベーション - スタートアップとエンタープライズの新しい関係性(2018/02/21)
- ニッポンのSIerは2018年にどう向き合う? 富士通とCTCがぞれぞれに挑む新たなパートナーシップ(2018/01/24)
- エンタープライズへ拡がるソーシャルコーディングの潮流:GitHubエグゼクティブからのメッセージ(2017/10/19)
- "アイ"は現場を変える!? ファームアイとアイフォーカス・ネットワークが最先端技術で挑むニッポンの課題(2017/10/05)