セキュリティはミッションドリブンな世界―RSAのエグゼクティブ2名が語ったセキュリティのいま
2017年8月2日(水)五味 明子(ITジャーナリスト/IT Leaders編集委員)
Dell EMCのセキュリティ事業部門であるRSAは7月26日 - 28日の3日間、シンガポールにおいて年次カンファレンス「RSA Conference 2017 Asia & Pacific」を開催した。ランサムウェアの脅威、公共機関や大企業といった社会インフラを担う組織へのハッキングなど、高まる一方のセキュリティリスクに対し、我々はどう向き合っていくべきなのか。RSAのエグゼクティブ2名 - ロヒット・ガイ(Rohit Ghai、プレジデント)氏とズーリー・ラムザン(Zully Ramzan、CTO)氏に、現在のセキュリティリスクとその対処についてお話を伺った。
セキュリティリスクをビジネスリスクと捉えよ―ロヒット・ガイ氏
―RSAはここ1、2年、IT部門とビジネス部門における「悲しみのギャップ(Gap of Grief)」、お互いがお互いの言語と文化を理解できないがためにセキュリティリスクが増大しているという主張をしています。このギャップを埋めるために、つまりセキュリティリスクを小さくするために、企業は具体的にどういった手段を取るといいのでしょうか。
ロヒット・ガイ氏ガイ氏: 大きく3つの方法があります。ひとつめは経営層にCISO(Chief Information Security Officer)を置くことです。多くの企業ではCIOがCISOを兼任しているかもしれませんが、できればセキュリティにおけるランドスケープ(トレンド)の変化にフォーカスする役職を設けたほうが望ましいといえます。現在、脅威の世界はすさまじい勢いで進化を続けており、サイバーセキュリティを専門に見ている人間でなければキャッチアップは難しいでしょう。
―CISOではなく、セキュリティの専門家をCIOの配下に置くのでは不十分でしょうか。
ガイ氏: 重要なのはセキュリティに対して責任と権限をもつ人物が"経営層にいる"という点です。CISOを置くということは、その会社がセキュリティを経営課題として認識しているという事実を内外に示すことになります。セキュリティリスクをビジネスリスクとして理解していれば、CISOを経営層に加えることはごく自然なことに気づくはずです。
2つめはIT部門とビジネス部門が共通の言語で会話するためにKPIをベースにするという点です。ビジネス部門やITに詳しくない経営層が知りたいのは、攻撃の技術的詳細ではありません。もちろん、テクニカルな情報は重要ですが、インシデントを経営上のリスクと捉えるなら、インシデントが与える経営へのインパクトについて、双方が同じコンテキストを踏まえてディスカッションする必要があります。そのために有効なのがKPIです。目標を設定し、メトリクスを明確にし、何が達成できているのか/いないのか、インシデントが発生した場合もKPIをベースにして双方がコミュニケーションすることで、解決のペースが速くなります。
会員登録(無料)が必要です
- ミッションクリティカルに挑む─CERNの大型ハドロン衝突型加速器にもたらした"AI予測の力"(2020/03/02)
- シスコをセキュリティカンパニーに変革したCISOが説く「企業戦略としてのセキュリティ」(2020/02/06)
- マルチクラウド時代の魅力あるアプリケーション企業へ─F5によるNGINX買収の背景(2019/03/13)
- 「パッションこそがデジタル変革の源泉」―デンソー成迫剛志氏が語るシリコンバレー流の組織づくり(2018/10/29)
- 巨大SIerとオープンソース―富士通がクラウド基盤をRed Hatで刷新した理由(2018/08/30)
