ITアナリストが知る日本企業の「ITの盲点」

第9回:カオス状態のセキュリティ、未来志向のマインドはあり?

取材・構成=翁長潤

2019-07-02 06:00

 本連載は、元ソニーの最高情報責任者(CIO)で現在はガートナー ジャパンのエグゼクティブ プログラム グループ バイス プレジデント エグゼクティブパートナーを務める長谷島眞時氏が、ガートナーに在籍するアナリストとの対談を通じて日本企業のITの現状と将来への展望を解き明かしていく。

 今回は、セキュリティがテーマだ。デジタル化が進む世の中において、サイバー空間のリスクはかつてないほど拡大しており、全ての企業にとって無視できないものになっている。もはや企業は、場当たり的な対応を取れる状態ではなくなりつつある。どうやって企業のセキュリティとリスクに関する成熟度を高め、最適なセキュリティ戦略の立案や実施が可能になるのか。ガートナーでセキュリティを担当する礒田優一氏に、そのヒントを尋ねた。

いろんな人に勇気を与えられるような仕事ができる

長谷島:まず初めにガートナーのアナリストになろうとしたきっかけを教えていただけますか。

礒田:元々は現場のエンジニアでした。2000年初頭にMicrosoft製品の脆弱性を悪用して拡散するワームが流行し、私はフィルタリングで防御していました。その時に「セキュリティの仕事がリアルに必要になる」と感じ、セキュリティに関する業務を担当してきました。

 アナリストを目指したのは、奈良先端科学技術大学院大学の故・山口英先生の講演に感銘を受け、いろんな人に勇気を与えられるような仕事がしたいと考えたからです。現在はガートナーで日本のセキュリティ領域のアジェンダマネージャーという役割なのですが、グローバルでは約100人のアナリストがいます。

ガートナー ジャパン リサーチ&アドバイザリ部門 ITインフラストラクチャー&セキュリティー シニア ディレクター アナリストの礒田優一氏。セキュリティ領域を中心とした調査/分析を担当。入社以前は、大手企業、独立系のシステム・インテグレーターで重要プロジェクトを担当。その後、監査法人系のメンバーファームにて上場企業を中心に延べ数十社の情報システムおよびセキュリティ監査/アドバイザリ業務に従事。その間、情報セキュリティ研修講師、IT 統制、情報セキュリティ管理に関する書籍の執筆を担当
ガートナー ジャパン リサーチ&アドバイザリ部門 ITインフラストラクチャー&セキュリティー シニア ディレクター アナリストの礒田優一氏。セキュリティ領域を中心とした調査/分析を担当。入社以前は、大手企業、独立系のシステム・インテグレーターで重要プロジェクトを担当。その後、監査法人系のメンバーファームにて上場企業を中心に延べ数十社の情報システムおよびセキュリティ監査/アドバイザリ業務に従事。その間、情報セキュリティ研修講師、IT 統制、情報セキュリティ管理に関する書籍の執筆を担当

長谷島:1つのリサーチ領域で100人ものアナリストが担当しているというケースは、セキュリティ以外にはないですよね?

礒田:増え方としては急激でした。現在はグローバルで1日に200件以上の問い合わせがお客さまからあります。

「アダプティブ・セキュリティ」とは?

長谷島:最近ではセキュリティの問題が取り沙汰される機会が増え、セキュリティという言葉で捉えられる領域が拡大しているように思います。今のセキュリティとはどういう領域を指し、どう分類できるものでしょうか。

礒田:「セキュリティとは何ですか?」という質問へのシンプルな回答は、「脅威からの保護」というのが一般的だと思います。具体的にガートナーでは、「アダプティブ・セキュリティ」を提唱しており、よく「城」の構成要素に例えて説明しています。

 まずは「Predict」です。これは城の土台を作るところに当たり、縄張りを作り、設計や組織、役割を決めましょうというものです。次に「Prevent」で、これは石垣に例えられます。攻撃が来たらそれをはじき返すファイアウォールあるいはアンチウイルスを組み合わせて石垣を作ります。攻撃が石垣をすり抜けて入ってくる場合、次に「Detect」することになります。

 これは天守閣のようなもので、「SOC(Security Operation Center)」に相当し、すり抜けた攻撃を検知します。そこから実際に対応するのが「Respond」です。城でいうと「武者走り」ですね。あらかじめ通路を作っておいて、何かあればすぐに対応できる、いわゆるCSIRT(Computer Security Incident Response Team)などが該当します。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]