EMCジャパンのRSA事業本部は2018年11月15日、都内で説明会を開き、米RSA Security社長のRohit Ghai(ロヒット・ガイ)氏からデジタル時代のリスク管理のあり方について説明した。デジタルによってセキュリティリスクが拡大することから、マシンラーニング(機械学習)による対応の自動化など、デジタル時代に合わせた対策が必要になるとした。
写真1:米RSA Security社長のRohit Ghai(ロヒット・ガイ)氏拡大画像表示
「デジタルは、企業に機会をもたらすが、同時にリスクももたらす。デジタル変革が進めば進むほど、リスクも増える」。米RSA Security社長のRohit Ghai(ロヒット・ガイ)氏(写真1)は、デジタル時代に合わせたリスク管理が必要になると指摘する。
例えば、トラックを使った運送業界では、デジタル変革が進むことで、ドライバーの安全を確保することに加えて、トラックへのサイバー攻撃に対処する必要が生じている。自動運転システムやIoTセンサーを活用したシステムを攻撃から守る必要がある。
一方で、デジタル時代のリスク管理は難しいとGhai氏は言う。理由は大きく3つある。1つは、新たな技術によって、新たな脆弱性が生じることである。1つは、悪意を持った技術者が増えたことである。1つは、規制や法律に企業が追い付いていないことである。
こうした状況を打破し、リスクに対処するためには、V(可視化)、I(洞察)、A(対処)の3つのステップが必要になるとGhai氏は言う。まずはエンドツーエンドで可視化し、次に何が重要なデータなのかを見極め、最後にマシンラーニング(機械学習)などを活用してレスポンス(対処)を自動化する。
デジタル時代のリスク管理には、成熟度があるとGhai氏は指摘する。成熟度が低い段階では、IT部門、セキュリティチーム、リスク管理/法令順守担当室、取締役会/理事会、の4つの組織ごとにリスク管理がサイロ化している。次の段階では、これらの組織をまたがってリスクを管理する。広範な可視性などを実現する。最終的には、サイロ間で共有と協力を進める。
なお、RSA Securityは、SOC(セキュリティオペレーションセンター)の運用支援やネットワークパケット分析による標的型攻撃の検知など、サイバー攻撃対策のためのソフトウェア製品群で構成する「NetWitness Platform」、リスク情報を一元的に管理して可視化するGRC(ガバナンス・リスク・コンプライアンス)管理ソフト「Archer Suite」など、各種の製品群を提供している。
