乙部氏 情シス部門が注力するべきことは何かという論点ですけども、特にセキュリティを企業全体の問題として考えたときに、情報システム部門でできることというのはあくまで一部だと思っています。一般的に「3つのP(Process、People、Products)で対策しましょう」と言われます。人については、先ほどから育成や教育といった話も出ていますが、この3つのPをするにあたって、情報システム部門ができることは非常に限られていると思います。
パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部 幸一朗氏同社日本法人設立から参画。ネットワークエンジニアとしての経験を活かし次世代ファイアウォールの国内第一人者として活躍
いかにこの3つのPを会社の中で伸ばしてセキュリティを高めていくかがポイントになるかと思っていまして、そこで一番難しいのが人だと思います。日本は特に海外と比較して、セキュリティに関する情報量も考え方もスキルも、まだまだ足りないと感じています。3つのPがそろっていないので名ばかりのCISO(最高情報セキュリティ責任者)やSOC(セキュリティ監視センター)が増えて、全体のセキュリティの防御力が高まっていかない。
そこで企業が全体的にセキュリティの啓発や教育、スキルを上げることを考えたとき、やり方が2つあると思います。ひとつは外注する、もうひとつは内部で育てるというアプローチですね。ただ、内部で育てる場合、企業の観点で見たときに難しいのは、育てるのが難しいということと、育てた人が他の会社に取られてしまうことです。
これが根本的な問題で、企業としては人に対する投資をしないと育てられない、育てても逃げていってしまうということが日本で起こっていて、難しい状況にあると考えています。さらに大きな視点で言えば、国レベルで考えるべき問題でもあります。国民全体のセキュリティレベルを上げていくような取り組みも始まっています。また、国として海外との情報を共有する仕組みでも、11月に日本で初めて内閣府主宰のサイバーセキュリティサミットが沖縄でありましたが、もっと活発になっていくと思います。
今後については、個人的にはやはりIoTが気になっています。モノがつながるところにセキュリティという視点を忘れてはいけないからです。マイナンバーやコネクテッドカー、スマートメーター、いろいろありますよね。たとえば、今はSaaSが日本でも広がり始めていて、ここに来てようやくSaaSのセキュリティが注目されています。
なぜかというと、SaaSでコラボレーションをはじめると、そこにマルウェアを置けば広げられるわけです。情報を持ち出すときも、SaaS上にたとえば感染した端末にデータを置いて公開してしまえば、簡単に持ち出せてしまいます。多くの人に使われ始めると、そこに対する攻撃が出てきて、そこに対するセキュリティが必要になる。これは今後もいろいろなところで出てくると思います。
