政府の政策担当者は、将来の理想のサイバーセキュリティ体制として、政府が企業に警告を発し、関係コミュニティはリアルタイムで情報を共有し、エコシステムが脅威に対してある程度一致した行動を取ることができる状況を思い描いている。
提供:Getty Images
しかし、Ciscoのアドバイザリー最高情報セキュリティ責任者(CISO)を務めるHelen Patton氏は、この理想のイメージには、セキュリティ対応能力が低く、対策に苦慮している多くの企業の存在が欠けていると指摘している。
Patton氏は米ZDNetに対し、「世の中には、そのような環境に参加できるだけのリソースを持たない企業がたくさんある。これらの企業は、古い機器しか持っておらず、自動化など行わないし、それを実現するためのリソースも持っていないため、こうした環境に参加することは決してない」と述べている。
「この問題に投資できるだけの資金力を持った金融機関や大企業は、その体制に参加できるかもしれないが、最近では、企業がセキュリティ能力の面で上流層と下流層の2つの層に分かれるようになってきている。上流層の企業は、機械学習や人工知能(AI)を活用し、リアルタイムで情報を共有する能力を持っている」と同氏は言う。
「しかしそれ以外の企業は皆、コンピューターに詳しい若者が何とかしてくれないかと考えるだけで、理想の体制に関与できるような能力は持っていない。今後はセキュリティコミュニティが二分化されることになる」
全体の底上げを行うための方法の1つは、協同組合のようなものを作ることだ。Patton氏は、リソースを共有し、コンソーシアムを作って共同購入を行うコミュニティを作った上で、政府が自由にツールを使って、リソースが乏しい企業の自助努力を支援するような体制を考えている。
Patton氏は、過去に10年間JPMorgan Chaseに勤めていたことがあるが、金融業界にいたときでさえ、セキュリティに関するリソースが不足していると感じたことがあるという。
「どんなに規模が大きい組織であっても、必要なものがすべてそろっていると感じられることはない。しかし私の考えでは、企業の経営陣は、ある分野には資金を投入しながら、セキュリティには資金を投入しないというリスク判断を行うことはギャンブルであり、業務運営の上で深刻な問題につながる可能性があることを理解する必要がある」と同氏は言う。
Patton氏は、企業の経営陣がリスクとサイバーセキュリティを適切に把握できるようにするためには、政府が取締役会に対してテクノロジーとリスクを担当する役員を置くよう義務づけ、政府からの通知はセキュリティ専門家ではなく、経営幹部に対して行うようにすべきだと考えている。
「Amazon Web Services(AWS)に障害が発生し、ソーシャルメディアの半分が停止するような事態が起こったとき、最高経営責任者(CEO)や取締役会はそれが何を意味するかを本当に理解できるだろうか。おそらく無理だろう」とPatton氏は言う。