パロアルトネットワークス、セキュリティの新フレームワークを日本で開発

國谷武史 (編集部)

2019-11-28 16:58

 パロアルトネットワークスは11月28日、経営層と事業の現場をつなぎ、全社規模でセキュリティ対策を推進させていく新しいマネジメントフレームワーク「セキュリティマネジメントオフィス(SMO)」を日本で開発したと発表した。法律事務所などと連携した導入支援の「SMOイネーブルメントサービス」を12月から提供する。

 SMOは、同社が組織内でのさまざまなプロジェクトを横断的に支援する仕組みの「プロジェクト(もしくはプログラム)マネジメントオフィス(PMO)」に着想を得て、これを企業のセキュリティ対策に適用できるよう独自開発したという。

パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏
パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏

 チーフサイバーセキュリティストラテジストの染谷征良氏は、SMOを開発した背景に、企業がITを利用して既存事業の構造などを変えたり、新規に事業を創出したりする「デジタルビジネス」の拡大を挙げる。デジタルビジネスの推進にITは不可欠だが、同時にサイバー攻撃などのリスクも伴う。リスクに対応するためのセキュリティ対策には、現状でさまざまな課題があり、同社はSMOを用いて課題解決を図りながら、企業全体でセキュリティ対策を機能させていくことを目指していると説明した。

 染谷氏によれば、現在のセキュリティ対策が抱える課題の本質は、「後付けでの導入モデル」と「サイロ化および複雑化」「リソース不足による運用の不備」だという。具体的には、インシデントと被害を経験して後からセキュリティ対策が講じられる。それが繰り返されて個々の対策が増え複雑化し、バラバラに運用される。しかし、対策全体を適切に運用できる人材などのリソースが足りておらず、結果的に対策に“漏れ”出て、そこが別のリスクになっていくという具合だ。

 セキュリティ対策を預かる現場は、こうした課題を解決したいが、日々の業務に忙殺されて取り組めないでいる。そこに“デジタルビジネス”という動向が加わり、リスクが顕在化する危険性が高まってきた。ビジネスとしてのセキュリティリスクを低減するには、「経営層による主導」と「現場での実務」の両面を機能させる必要がある。同社では日本市場の動向を踏まえて、その推進役としてSMOを日本で独自に開発したという。

同社が年商500億円以上・従業員500人以上の企業にアンケートした調査(回答484件)では、セキュリティ対策が“後付け”されている実態が分かったという(出典:パロアルトネットワークス)
同社が年商500億円以上・従業員500人以上の企業にアンケートした調査(回答484件)では、セキュリティ対策が“後付け”されている実態が分かったという(出典:パロアルトネットワークス)

 「企業にとってITは、従来のビジネスを最適化するものから推進するものに位置付けが変わっている。またリスクには、情報漏えいなど直接的なもの、株価や信用の低下といった間接的なものがある。ビジネス視点では間接的なリスクを含めて管理しなければならないが、間接的なリスクを懸念する企業の意識は低い。セキュリティ対策もビジネスを企画する段階から検討しているケースは少ない。SMOはビジネスを守るセキュリティ対策を最初から組み込み、経営と現場をつないで継続的に機能させる戦略と戦略実行の仕組みになる」(染谷氏)

 SMO領域を担当するビジネスバリューコンサルタントの伊藤清氏は、「人的・組織的な体制とテクノロジーによって、企業経営に求められるセキュリティのコントロールが確保されている状態にするもの」と説明する。

「セキュリティマネジメントオフィス(SMO)」の内容(出典:パロアルトネットワークス)
「セキュリティマネジメントオフィス(SMO)」の内容(出典:パロアルトネットワークス)

 SMOでは、経営層や事業責任者らを「意思決定」レイヤー、事業や管理の現場、セキュリティ担当などを「業務」レイヤーの2層に定め、SMOとセキュリティ対策システムが2つの層をつなぐ。「意思決定」レイヤーには、法務やコンプライアンスなどの“能力”も提供し、ここでは同社がさまざまな法律事務所と連携して顧客企業での構築と運用をサポートする。「業務」レイヤーでは、ビジネスにまつわるシステムでのセキュリティ要件の実装やテスト、セキュリティツールによる運用と効率化をサポートしていく。SMOは2つの層それぞれでのサポートと、全社規模の意思決定に必要な2つの層を跨ぐサポートを提供するとしている。

 伊藤氏が挙げるシナリオ例では、まず新規事業を検討する段階で、その事業が関係する領域の法令や規制など観点からリスクを分析し、「意思決定」レイヤーでポリシーなどを策定する。SMOはポリシーなどに照らして「業務」レイヤーで求められるセキュリティやシステム、運用などの要件を洗い出し、全体をまとめる。事業体制やシステムなどを構築する段階では、先にまとめた全体戦略に照らして「意思決定」レイヤーでチェックや管理を行いつつ、「業務」レイヤーで機能の実装やテストなどを行っていく。事業展開後は、セキュリティ対策の運用と万一のインシデント対応などをSMOがサポートする

SMO導入支援の内容。技術領域はパロアルトネットワークス、人的・組織的な領域は同社や法律事務所などのパートナーが担当する(出典:パロアルトネットワークス)
SMO導入支援の内容。技術領域はパロアルトネットワークス、人的・組織的な領域は同社や法律事務所などのパートナーが担当する(出典:パロアルトネットワークス)

 テクノロジーの観点では、導入済みのセキュリティ機能を生かしつつ新たに整備する機能との組み合わせに同社のノウハウがあり、人的・組織的な観点ではパートナーになる法律事務所などのノウハウを活用していくという。伊藤氏は、「まだ具体例を公開できる段階にないが幾つかの顧客と取り組み始めた。SMOのコンセプトは業種を問わず多くの顧客が賛同してくれている」と話す。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]