本連載は、元ソニーの最高情報責任者(CIO)で現在はガートナー ジャパンのエグゼクティブ プログラム グループ バイス プレジデント エグゼクティブパートナーを務める長谷島眞時氏が、ガートナーに在籍するアナリストとの対談を通じて日本企業のITの現状と将来への展望を解き明かしていく。
今回は、セキュリティがテーマだ。デジタル化が進む世の中において、サイバー空間のリスクはかつてないほど拡大しており、全ての企業にとって無視できないものになっている。もはや企業は、場当たり的な対応を取れる状態ではなくなりつつある。どうやって企業のセキュリティとリスクに関する成熟度を高め、最適なセキュリティ戦略の立案や実施が可能になるのか。ガートナーでセキュリティを担当する礒田優一氏に、そのヒントを尋ねた。
いろんな人に勇気を与えられるような仕事ができる
長谷島:まず初めにガートナーのアナリストになろうとしたきっかけを教えていただけますか。
礒田:元々は現場のエンジニアでした。2000年初頭にMicrosoft製品の脆弱性を悪用して拡散するワームが流行し、私はフィルタリングで防御していました。その時に「セキュリティの仕事がリアルに必要になる」と感じ、セキュリティに関する業務を担当してきました。
アナリストを目指したのは、奈良先端科学技術大学院大学の故・山口英先生の講演に感銘を受け、いろんな人に勇気を与えられるような仕事がしたいと考えたからです。現在はガートナーで日本のセキュリティ領域のアジェンダマネージャーという役割なのですが、グローバルでは約100人のアナリストがいます。
ガートナー ジャパン リサーチ&アドバイザリ部門 ITインフラストラクチャー&セキュリティー シニア ディレクター アナリストの礒田優一氏。セキュリティ領域を中心とした調査/分析を担当。入社以前は、大手企業、独立系のシステム・インテグレーターで重要プロジェクトを担当。その後、監査法人系のメンバーファームにて上場企業を中心に延べ数十社の情報システムおよびセキュリティ監査/アドバイザリ業務に従事。その間、情報セキュリティ研修講師、IT 統制、情報セキュリティ管理に関する書籍の執筆を担当
長谷島:1つのリサーチ領域で100人ものアナリストが担当しているというケースは、セキュリティ以外にはないですよね?
礒田:増え方としては急激でした。現在はグローバルで1日に200件以上の問い合わせがお客さまからあります。
「アダプティブ・セキュリティ」とは?
長谷島:最近ではセキュリティの問題が取り沙汰される機会が増え、セキュリティという言葉で捉えられる領域が拡大しているように思います。今のセキュリティとはどういう領域を指し、どう分類できるものでしょうか。
礒田:「セキュリティとは何ですか?」という質問へのシンプルな回答は、「脅威からの保護」というのが一般的だと思います。具体的にガートナーでは、「アダプティブ・セキュリティ」を提唱しており、よく「城」の構成要素に例えて説明しています。
まずは「Predict」です。これは城の土台を作るところに当たり、縄張りを作り、設計や組織、役割を決めましょうというものです。次に「Prevent」で、これは石垣に例えられます。攻撃が来たらそれをはじき返すファイアウォールあるいはアンチウイルスを組み合わせて石垣を作ります。攻撃が石垣をすり抜けて入ってくる場合、次に「Detect」することになります。
これは天守閣のようなもので、「SOC(Security Operation Center)」に相当し、すり抜けた攻撃を検知します。そこから実際に対応するのが「Respond」です。城でいうと「武者走り」ですね。あらかじめ通路を作っておいて、何かあればすぐに対応できる、いわゆるCSIRT(Computer Security Incident Response Team)などが該当します。