プロアクティブな防御対策の実施は、組織の根底にある組織運営の文化を変えることで可能になります。その一例として、「誤検知率」などセキュリティの効率性に関する指標の追跡をやめることが挙げられるでしょう。こうした指標を無視することで、被害が発生する前にその原因となる問題を検知できる確率が上がります(防御にかかる時間とコストも増えることになります)。
組織運営の文化を変えるためのもう1つの例は、セキュリティを鑑みながら要件定義や設計を進めるために、システム開発のライフサイクルの中でセキュリティに関する事項を扱うタイミングを前倒しすることです。最近のセキュリティ対策は、問題が発生してから対応する機能を整備するものが多すぎます。
――なぜ組織の文化を変えると、プロアクティブに防御できるようになるのでしょうか。
多くの企業の組織文化は、コンピュータセキュリティは問題が起きてから対応する対症療法を重視しています。誤検知率などの指標の追跡に無駄な時間を費やすことは避けられても、外部からの攻撃を未然に防ぐ機会は失うことになるのです。
――組織としてセキュリティに投資する以上、効率性を示す指標が必要ではないですか。誤検知率などの指標を追わないのであれば、何をもって製品を選べばいいのでしょうか。
セキュリティ対策の効率性を示す指標が開発されることはないと考えます。その理由は、何を防げたのかを評価することができないからです。例えて言うならば、ホームセキュリティのマークを玄関先に貼れば、侵入者はその家を避けるかもしれません。しかし、侵入者がその家を避けたという事実は、多くの場合、知ることはできないのです。
――単純に安い製品を選んでしまうと「安物買いの銭失い」になってしまう可能性はありませんか。セキュリティ対策は、事後対応が多いとのことですが、はたして企業や団体が購入するセキュリティ製品で、対症療法ではない製品というものがあるのでしょうか。
セキュリティ製品は「正常に機能する」ことによって外部からの攻撃を防ぎます。つまり攻撃の標的となる脆弱性がないことが、攻撃を防ぐ最良の状態なのです。最善のコンピュータセキュリティは、セキュリティ製品をアドオンで付け足すのではなく、オペレーティングシステムやアプリケーション、ネットワークなど、現在使用しているプロダクトに組み込んでしまうことです。
――システム開発のライフサイクルにセキュリティを組み込むべきといいますが、IT部門の体制を変える必要が出てくるのではないでしょうか。というのは、一般的にIT部門は開発チームと運用チームの中のセキュリティグループとに分けられます。こうした体制を変えるのは至難の業なのではないでしょうか。
IT部門は、セキュリティ対策強化のために体制変更をする必要はありません。Microsoftなどは、既存のすべてのチームの内部に働きかけることによって、セキュリティ意識の高い文化に変革することに成功した企業の良い例でしょう。
