リスクを避けるのは進化を諦めること--RSAのプレジデント

渡邉利和

2018-11-16 11:28

 Dell EMCのRSAセキュリティは11月15日、リスク管理に関する報道機関向けの説明会を開催、RSAのプレジデントを務めるRohit Ghai氏が「デジタル時代のリスク管理」として同社のビジョンを語った。

RSAプレジデントのRohit Ghai氏
RSAプレジデントのRohit Ghai氏

 Ghai氏はまず、企業がデジタル変革に取り組む中、これがさまざまなチャンスをもたらすと同時に、デジタルのリスクも増大させると指摘、以前から存在するビジネスのリスクが微増傾向であるのに対し、デジタルのリスクは急増しており、企業が直面するリスクの中で最大のものとなると語った。

 具体例としては、オーストラリアの資源採掘企業では、かつてリスクとしてトラックドライバーの安全が考えられたが、現在では自動運転トラックがハッキングされないかどうかが最大のリスクとなっているという。

 デジタルのリスク管理が企業課題として急浮上する中、同氏はこれが困難という3つの理由を挙げた。1つは「モダナイゼーション(modernization)」で、今まさに始まった新しい領域であるモノのインターネット(IoT)やエッジコンピューティング、人工知能(AI)、クラウドといった最新の技術/アーキテクチャには、従来では存在しなかった新しい脆弱性が含まれる。2つ目は「悪意(malice)」で、悪人(Bad guy)は善人(Good guy)と同レベルのテクノロジを駆使して洗煉された攻撃をしつこく繰り返し実行する。3番目は「規制(regulation)」であり、その変化も加速しているため、企業側の対応が追いついていない。

 「ITは単にテクノロジを実装するだけではなく、回復力のあるインフラストラクチャを実現し、現在のリスクに対応したテクノロジを提供しなくてはならない」と同氏は語る。

 その上で、ITやセキュリティ監視センター(SOC)といったデジタルのリスクに対応する立場のスタッフは、外部からの攻撃やシステムへの侵入、情報漏えいといったデジタルのリスクが顕在化した際にもビジネスへの影響を軽減できたかどうかを見る必要がある。同時に、経営陣は自社のサイバーセキュリティのレベルが良いのか悪いのか、リスクが増大しているのか軽減できているのかを理解できなくてはならない――という。

 このために同社が推奨する対策は、エンド・ツー・エンドの可視性(Visibility)に加え、今何が起こっているかを理解するためのインサイトをエンド・ツー・エンドで収集したビッグデータに基づき、データサイエンスやAIを活用して抽出することと、オーケストレーションや自動化を活用した効率的なアクション体制の構築の3つのステップだという。

 同氏はまとめとして、「悪人(Bad guys)は善人(Good guys)と同じ洗煉されたテクノロジを活用しているため、悪人に勝てるよう“ゲームバランスを変える”には、何らかの変化を起こす必要がある」と述べ、「ビジネスドリブンセキュリティ(Business driven Security)」を提唱した。

 防御側の優位点は、自社のビジネスについて攻撃者よりも深く理解しているという点にあるとし、「ビジネスのコンテクストに基づいたセキュリティを構築することで効果的な防御が可能になる」と(同氏)いうのが、基本的な考え方になっている。ここでは、攻撃を受けた際のビジネスへの影響に基づいて最も重要なポイントを適切に防御し、ビジネスへの影響を軽減させることになる。

 最後に、「リスクに対しては、“避ける”か“受け入れる”か、どちらかだ」(同氏)とした上で、「リスクを避けようとするのは進化を諦めることと同じであり、良くない選択だと語り、リスクを受け入れた上で管理していくことが重要だ」と指摘した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]