組織がセキュリティ対策に取り組む目的は何だろうか。多くの答えは、サイバー攻撃などの脅威を「防ぐため」というものだろう。リスク管理やサイバーセキュリティの分野で30年近い経験を持つ米Gartner ディスティングイッシュト バイスプレジデント アナリストのPaul Proctor氏は、「『防ぐ』ことをセキュリティの目的にするのは間違い」と指摘する。
Gartner ディスティングイッシュト バイスプレジデント アナリストのPaul Proctor氏
Proctor氏は、リスク管理分野を中心とするリサーチや企業への助言、ドキュメントレビューなどを手掛ける。かつては創業者兼最高技術責任者として、複数のテクノロジ企業の立ち上げやセキュリティ技術開発にも携わるなど、経営とテクノロジ、リスク、コンプライアンスにまたがるキャリアを築いてきた。
「組織にとって個々のリスクを洗い出すことは重要な取り組みだが、約30年の経験で感じるのは、リスクとは常に変化するものであり、組織は本来、その変化に応じて適切な意思決定をしなければならない。リスクに対する認識を誤り、リスクの解消を目的に投資や評価をしてはいけない」(Proctor氏)
組織の重要な資産を侵害するセキュリティの脅威は重大なリスクであり、当然ながらさまざまな対策手段を適切に講じて“低減”していかなければならない。しかし、組織の経営陣を含めて多くの人がセキュリティに期待してしまうのは、脅威を防いで被害に遭わないという“理想”だ。この認識のもとで経営者は、セキュリティ投資に対して「リスクゼロの達成」を効果として期待する。
だが現実には、毎日のように世界中でセキュリティの侵害が発生し、大小さまざまな被害が起きている。組織の経営者としては、「対策に投資しているにもかかわらず、なぜ被害に遭うのだ」と感じるだろう。セキュリティ担当者も経営陣の要請に日々応じるべく努力しているが、その取り組みが高く評価されるようなことはあまりない。経営者のセキュリティ投資に対する期待と現実の結果のギャップがこのような状況をもたらしている。
「私が組織の経営陣に助言する際は、まず『完璧なセキュリティ防御など存在しない』と話している。これを聞いても納得しない人がいるし、納得したような表情を見せる人もいるが、リスクの意味を正しく理解し、以前の認識を変えてもらうようにしている」(Proctor氏)
例えば、Proctor氏が最近面会したという英国の金融機関の最高経営者(CEO)は、同氏に対して「セキュリティにかなりの投資を行い、脅威から守れている」と述べたそうだ。業務でタブレット端末も利用しており、Proctor氏がCEOに「その端末を見せてください」と求めたところ、気軽に応じたという。この瞬間、Proctor氏はCEOに「これではセキュリティを守れていませんね」と伝え、CEOもセキュリティの認識を誤解していたことに気が付いたという。
つまりセキュリティのリスクとは、広義には脅威を含むが、本質的には脅威が組織とそのステークスホルダーにもたらすシステムや情報などの侵害を通じた被害となる。そして、セキュリティ投資と対策の目的は、「被害を完全には防げない」という現実を踏まえてリスクゼロの理想を追求するのではなく、リスクを低減させることにある。投資や対策の評価もこの認識をもとにしなければならない。
例えば、経営陣に対するセキュリティレポートの中には「今月は何件のサイバー攻撃を検知し、何件の攻撃を防いだ」といったKPI(重要達成度指標)を設けているケースが散見される。Proctor氏は、こうした定義のKPIは正しいものではないと話す。
「脆弱性がシステム侵害による被害をもたらすリスクだとすれば、脆弱性の発覚からパッチ適用までに要した期間がKPIになるだろう。KPIに照らして現状の脆弱性対策への投資が適切なのか、より期間を短縮するために投資をさらに強化すべきか、評価と意思決定を行っていく」(Proctor氏)
組織におけるリスクへの対応や管理は、ある時点における目標やKPIに照らして現状(成熟度)を評価し、次に取るべき行動を判断していくのが基本になるものの、上述のようにリスクは変容するものであり、その変化をとらえて常に目標やKPIを再定義しながら評価と意思決定を繰り返していく。Proctor氏は、仮に3カ年のセキュリティ投資計画を立案するにしても、実施の初年で全体評価を行い、リスクの変化を踏まえて必要なら、そこを起点に新たな3カ年計画を立案、実行することも必要だと説く。
「少なくとも業界標準あるいは他社と同等だとされるようなKPIを維持する。10年前に米国で2つの医療機関に対するサイバー攻撃があり、一方の機関は業界標準の対策を講じていたことを説明できたが、もう一方はできなかった。その結果、当局による監視が前者は3年間、後者は20年間と判断された。後者の機関がこれから被る信用低下といった影響があまりに甚大なのは想像に難くない」(Proctor氏)
セキュリティを専門にする人々にとって、セキュリティ対策が絶対的な効果をもたらすものではないということは基本中の基本といえる常識だ。しかし専門外の人々には、その常識が理屈として理解できるものではあっても、心の片隅では「100%安全」「完全防御」という対策への投資効果を期待してしまう。このギャップを埋める道のりは決して平坦ではないが、少なくともギャップの存在を認識しないままリスクの顕在化によって深刻な被害が発生してしまうような状況を低減させなければならないだろう。
