今までの業務のやり方から変換を
國谷では、これから企業がセキュリティの“動体視力”をよくしていくためにできることは何でしょうか?
岡田空前のCSIRTブームですが、現状を観察するに、それだけでは解決にならないと思います。現在のCSIRTは、インシデントの火の手を消すだけで精一杯なのは、可燃物、つまり問題のあるシステムやビジネスプロセスを放ったらかしにしたままだからです。これでは極論、社員全員が消防隊員になれということになります。誰が普段の仕事をするのかという話になります。
石森よく消防署の役割は「火の手を消す」と認識されがちなのですが、実は防火対策を点検したり、見回りをしたり、訓練することが日常業務ですよね。そして、本当の有事の際にも出動するという二面性があります。しかし、多くの人にはサイレンを鳴らして消防車を走らせるイメージしかなくて、CSIRTも同じように思われがちです。
花村問題が起きた時の対応に終始するよりも、事前にどうすれば火の手が上がらないようになるかが肝心でしょう。システムも、業務の設計チームが関わって構造や方法を変えていかなければ、問題を根本的に解決できないと思います。
例えば、標的型攻撃メールを受信し、添付ファイルを開いたことが原因となって情報漏えいにつながったとします。怪しいメールの添付ファイルを開かないように社員にトレーニングするという対策もありますが根本的な解決にはなりません。設計図などの重要情報は専用ツールを使うとか、サンドボックスで受信前に添付ファイルを検査するなど違ったアプローチとるのもあるだと思います。重要なのは従業員の負荷を増やさずにビジネスに集中できるような環境を整えることです。これが本当のセキュリティの投資ですね。そして、それをしやすくするのが。クラウドだったり、マイクロソフトの製品だったりするわけです(笑)。
石森例えば、「お客様とやりとりしたい」という目的を達成するのに、昔はメールが最適な手段でしたが、今では別の手段でも実現でき、しかも、より安全なわけです。昔のやり方を絶対に変えず、どうにかして安全にしたいとなると、それは無駄なセキュリティ投資になってしまいかねません。
花村業務上、何が必要で、そのために何が最も安全かを考えるべきでしょう。もし安全ではない部分があるなら、そこにあるリスクをどうコントロールするか、考えることが肝心だと思います。例えば、クラウドサービスで情報をやり取りするなら、プレビュー機能で内容を確認できますし、仮に、どこかで情報が漏れても、認証情報を頼りに追跡していけます。
國谷クラウドサービスの利用に対して、いまだに懸念を示す企業もあるようです。
石森私たちには全く不安はないですね。
岡田率直に言えば、スマートフォンを使っている人に、「クラウドを使うのは危ない」と言われたくないですね。絶対安全だ、と言ってもらいたいわけじゃないんです。
というのは、先日、セキュア開発のGuru、Gary McGrawさんが来日していたんですが、そこで彼がAndroidを持っているのを見て、思わず「え、それセキュアなの?」と聞いたんですね。そうしたら、「そんなわけないじゃん」と(笑)。つまり、彼はリスク承知で、でも活用しているわけです。リスクと利便性をトレードオフだとして捉えているわけです。その端末で「やること」「やらないこと」もきちんと選択すれば良い。私は、とてもすがすがしいと感じました。
石森クラウドが危ないと言い出したら、そもそもインターネットを使う時点でもうダメですよね(笑)。私は、郵便を差し出すときにいつも不安になります。もし配達員が途中で何かしないかと――。それでも皆さんは、普通に使いますよね。
岡田リスクを受容することは、とても重要です。決していいかげんなアーキテクチャでいいという話ではなく、現実的なコストによって、現実的な保護、現実的な制空権を確保するという考え方が必要です。IT投資とともに業務改革を推進できるためのセキュリティとして、これからも推進していきたいものです。
