染谷氏 情報システム部門が取り組むべきことは、短中期的、長期的で明確にしていかないといけないと思います。そして、今すぐ取り組むべきことを考えるときには、まずは現状把握。今の自分たちがどれぐらいのレベルにあるのか、できていること、できていないこと、課題などをチェックしていく必要があると思います。それがないと、強化すべきことも見えてきません。
トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏 海外、日本のITセキュリティ業界で、競合分析、製品・技術戦略からインシデント対応など幅広い領域で15年以上の経験を有する。セキュリティ問題、セキュリティ技術の啓発に当たる
官公庁や自治体、民間企業のセキュリティ対策レベルが100点満点で何点くらいかという調査をトレンドマイクロで実施したのですが、平均は60点くらいなんですね。まだまだ現状把握すらできていないところが多いのです。まずは現状把握が急務で、自分たちの課題がどこにあるのか、できてないことは何かを今すぐ明確にしていく必要があります。
それが明確になれば優先度がつけられる。やはりセキュリティに完璧はないですから、「押さえなければいけないことは確実に押さえる。捨てるべきものは捨てる」という考え方が必要になります。セキュリティ対策にはお金も時間も人もかかるわけですので、それらをかけてでもやるべきことを決めます。また、お金をかけずにできることも実は結構ありますから、それらを明確にした上で取り組む必要があるわけです。
そして、それを実現できるかどうかで鍵になってくるのは、組織としての情報漏えいなどのサイバーセキュリティに関するリスクを、経営層がどれだけ認識できているかなんですね。意志決定者層が認識できていなければ、どんなに情報システム部門の人達が「こういった対策が必要です」と頑張って進言したところで理解されない、予算も降りないわけです。
だから、情シス部門が長期的にかつ継続的に取り組まなければいけないことは、極端な話、経営層にウザいと思われてもいいから、サイバー攻撃や情報漏えいのリスク、脅威に関して、継続的にその必要性を訴え続けていくことです。そういった活動を通じて、経営層の意識を変えていけるかどうか。
ベネッセや年金機構など大きなニュースがあると、経営層もセキュリティを意識します。ただ、しばらくするとその意識は下がってしまうので、その「高い温度感」を継続して経営層、組織全体で高めていくことを目指す。実際に、経営層に嫌われてもいいからとにかく毎日セキュリティ情報をフィードし続けて、1年かけて経営層の理解が得られて、時間もお金も落としてくれるようになったという成功例もあります。
外村氏 先日、東大医科研ががん研究にIBMの「Watson」を活用するというニュースがありました。人工知能で医療の問題も解いていくという話ですね。セキュリティも、人工知能やビッグデータで解くという時代になると思っています。シマンテック自身も、今はソフトウェア会社と位置づけられていますが、3年後にはAPIでセキュリティビッグデータを売っているかも知れません。
結局、セキュリティ会社の一番のコアというのは、そういう質のいいデータを大量に持っていること、それを解析できる能力があること、そして最終的にはそれを提供するという形になっていくと思います。ソフトウェアでもアプリケーションでもなくなっていく。