Gartner Symposium

「防ぐ」偏重のセキュリティがもたらす弊害--投資と評価のあり方

國谷武史 (編集部) 2018年11月20日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 組織がセキュリティ対策に取り組む目的は何だろうか。多くの答えは、サイバー攻撃などの脅威を「防ぐため」というものだろう。リスク管理やサイバーセキュリティの分野で30年近い経験を持つ米Gartner ディスティングイッシュト バイスプレジデント アナリストのPaul Proctor氏は、「『防ぐ』ことをセキュリティの目的にするのは間違い」と指摘する。

Gartner ディスティングイッシュト バイスプレジデント アナリストのPaul Proctor氏
Gartner ディスティングイッシュト バイスプレジデント アナリストのPaul Proctor氏

 Proctor氏は、リスク管理分野を中心とするリサーチや企業への助言、ドキュメントレビューなどを手掛ける。かつては創業者兼最高技術責任者として、複数のテクノロジ企業の立ち上げやセキュリティ技術開発にも携わるなど、経営とテクノロジ、リスク、コンプライアンスにまたがるキャリアを築いてきた。

 「組織にとって個々のリスクを洗い出すことは重要な取り組みだが、約30年の経験で感じるのは、リスクとは常に変化するものであり、組織は本来、その変化に応じて適切な意思決定をしなければならない。リスクに対する認識を誤り、リスクの解消を目的に投資や評価をしてはいけない」(Proctor氏)

 組織の重要な資産を侵害するセキュリティの脅威は重大なリスクであり、当然ながらさまざまな対策手段を適切に講じて“低減”していかなければならない。しかし、組織の経営陣を含めて多くの人がセキュリティに期待してしまうのは、脅威を防いで被害に遭わないという“理想”だ。この認識のもとで経営者は、セキュリティ投資に対して「リスクゼロの達成」を効果として期待する。

 だが現実には、毎日のように世界中でセキュリティの侵害が発生し、大小さまざまな被害が起きている。組織の経営者としては、「対策に投資しているにもかかわらず、なぜ被害に遭うのだ」と感じるだろう。セキュリティ担当者も経営陣の要請に日々応じるべく努力しているが、その取り組みが高く評価されるようなことはあまりない。経営者のセキュリティ投資に対する期待と現実の結果のギャップがこのような状況をもたらしている。

 「私が組織の経営陣に助言する際は、まず『完璧なセキュリティ防御など存在しない』と話している。これを聞いても納得しない人がいるし、納得したような表情を見せる人もいるが、リスクの意味を正しく理解し、以前の認識を変えてもらうようにしている」(Proctor氏)

 例えば、Proctor氏が最近面会したという英国の金融機関の最高経営者(CEO)は、同氏に対して「セキュリティにかなりの投資を行い、脅威から守れている」と述べたそうだ。業務でタブレット端末も利用しており、Proctor氏がCEOに「その端末を見せてください」と求めたところ、気軽に応じたという。この瞬間、Proctor氏はCEOに「これではセキュリティを守れていませんね」と伝え、CEOもセキュリティの認識を誤解していたことに気が付いたという。

 つまりセキュリティのリスクとは、広義には脅威を含むが、本質的には脅威が組織とそのステークスホルダーにもたらすシステムや情報などの侵害を通じた被害となる。そして、セキュリティ投資と対策の目的は、「被害を完全には防げない」という現実を踏まえてリスクゼロの理想を追求するのではなく、リスクを低減させることにある。投資や対策の評価もこの認識をもとにしなければならない。

 例えば、経営陣に対するセキュリティレポートの中には「今月は何件のサイバー攻撃を検知し、何件の攻撃を防いだ」といったKPI(重要達成度指標)を設けているケースが散見される。Proctor氏は、こうした定義のKPIは正しいものではないと話す。

 「脆弱性がシステム侵害による被害をもたらすリスクだとすれば、脆弱性の発覚からパッチ適用までに要した期間がKPIになるだろう。KPIに照らして現状の脆弱性対策への投資が適切なのか、より期間を短縮するために投資をさらに強化すべきか、評価と意思決定を行っていく」(Proctor氏)

 組織におけるリスクへの対応や管理は、ある時点における目標やKPIに照らして現状(成熟度)を評価し、次に取るべき行動を判断していくのが基本になるものの、上述のようにリスクは変容するものであり、その変化をとらえて常に目標やKPIを再定義しながら評価と意思決定を繰り返していく。Proctor氏は、仮に3カ年のセキュリティ投資計画を立案するにしても、実施の初年で全体評価を行い、リスクの変化を踏まえて必要なら、そこを起点に新たな3カ年計画を立案、実行することも必要だと説く。

 「少なくとも業界標準あるいは他社と同等だとされるようなKPIを維持する。10年前に米国で2つの医療機関に対するサイバー攻撃があり、一方の機関は業界標準の対策を講じていたことを説明できたが、もう一方はできなかった。その結果、当局による監視が前者は3年間、後者は20年間と判断された。後者の機関がこれから被る信用低下といった影響があまりに甚大なのは想像に難くない」(Proctor氏)

 セキュリティを専門にする人々にとって、セキュリティ対策が絶対的な効果をもたらすものではないということは基本中の基本といえる常識だ。しかし専門外の人々には、その常識が理屈として理解できるものではあっても、心の片隅では「100%安全」「完全防御」という対策への投資効果を期待してしまう。このギャップを埋める道のりは決して平坦ではないが、少なくともギャップの存在を認識しないままリスクの顕在化によって深刻な被害が発生してしまうような状況を低減させなければならないだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]