Dell EMCのバイスプレジデント兼RSA グローバルパブリックセクター担当ジェネラルマネージャのMike Brown氏は8月1日、都内での記者懇談会で組織の垣根を超えたセキュリティ情報共有体制の必要性を提起した。この流れが、セキュリティベンダーの従来のビジネスモデルを変えるとの見解も示した。
Dell EMCのバイスプレジデント兼RSA グローバルパブリックセクター担当ジェネラルマネージャのMike Brown氏。30年以上にわたって国防分野でサイバーセキュリティに携わってきた経歴を持つ
こう語る背景としてBrown氏は、組織におけるセキュリティ対策への取り組みが、脅威防御からリスク対応型にシフトしつつあると説明する。従来は、IT部門やセキュリティ部門の現場が脅威の侵入を阻止することに注力していたが、現在は脅威の高度化によってそれが困難になっているためだという。脅威による情報漏えいなどの被害が、組織の存亡にかかわることが当たり前となり、組織のトップがセキュリティをリスクとしてとらえ、リスクに基づく対応が求められるとした。
「ここ2、3年で組織に必要なセキュリティ戦略は、ビジネス主導型に変化しつつある。従来が問題回避型とすれば、今後はリスクベースのアプローチが主流になっていく」(Brown氏)
リスクベースのアプローチとは、組織にとってどのようなセキュリティのリスクが存在するのかを把握し、リスクに応じて緩和策や顕在化した場合に影響を最小化できる対応策を講じておくものだという。こうした取り組みは、セキュリティ対策の現場ではなく、組織のトップが主導すべきだとしている。
ここ2~3年でセキュリティ対策は、脅威の防御から組織に応じたリスクベースのアプローチに変化しているという
米海軍や国防総省、国家安全保障省(DHS)などで30年以上のキャリアを持つというBrown氏は、米国では、Donald Trump大統領が5月に署名した大統領令によって、連邦政府全体でのセキュリティ対策がリスクベースのアプローチに変更されると説明。省庁ごとに具体的なリスク因子や懸念される影響、対応策について組織トップが責任を負う形で取りまとめ、その計画を8~9月にTrump大統領へ提出することになっているという。
「米国国立標準技術研究所のサイバーセキュリティフレームワークは、近年におけるセキュリティのベストプラクティスとして活用されているが、これもリスクベースのアプローチを取り入れたものに改訂される。組織ではリスクの定量化や対応の成熟度などを把握しやすくなる」(Brown氏)
Brown氏によれば、リスクベースのアプローチによるセキュリティ対策では「可視性」が重要になる。極端に言えば、身代金要求画面を表示するランサムウェアのような脅威を除けば、サイバー攻撃などの脅威のほとんどは人間の目に見えず、対策が機能しているのかも分かりにくい。このため、情報の共有や活用を通じて脅威の発生やリスクの表面化といった状況の変化、あるいは組織ごとに異なるセキュリティ対策状況を把握できるようにすることが、「可視性」につながるということのようだ。
