Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「リスクが何だか把握してますか」――RSA CTOインタビュー

2018/06/05 06:00

 サイバーセキュリティは「経営課題」だ。経営層が積極的に関与して対策を講じなければ、経営の根幹を揺るがしかねない危機に直面する。2017年に世界150か国以上で蔓延したランサムウェア「WannaCry」の被害を見ても、それは明かだ。ビジネスサイドはサイバーセキュリティをどのように捉えているのか。米RSAでCTO(最高技術責任者)を務めるズルフィカール ラムザン氏に話を聞いた。

「リスク」の意味を定義する

米RSAでCTO(最高技術責任者)を務めるズルフィカール ラムザン氏
米RSAでCTO(最高技術責任者)を務めるズルフィカール ラムザン氏

 近年RSAは、「Business-Driven Security(ビジネス駆動型セキュリティ)」の視点に立脚し、「サイバーリスク」を「ビジネスリスク」として捉えるアプローチが重要であると訴えている。ラムザン氏は企業が抱える課題として「セキュリティ担当部門とビジネス部門の間には『Gap of Grief(憂うべきギャップ)』がある」と指摘する。(関連記事

 かねてからRSAでは「Gap of Grief」が引き起こす問題に言及してきた。ビジネス部門の最優先事項がビジネスの成功であることに変わりはない。一方、セキュリティ部門ではビジネス上の優先順位を後回しにして「最低限でもこの対策だけは講じてほしい」と注文をつける。この乖離がギャップであり、依然として解消されてはいない。ただし、サイバー攻撃やセキュリティ対策が不十分でないことで発生する「リスク」については、以前よりも語られるようになってきているという。

「リスク認識はセキュリティ対策の第一歩」だとラムザン氏は力説する。その際に留意すべきは、「リスクが意味する内容」だ。ラムザン氏によれば、セキュリティ専門が語る「リスク」と、ビジネス部門の考える「リスク」は、その内容が異なるという。

「仕事柄、様々な役職の人と話すが、同じ人との会話の中でも、『リスク』という言葉の示す意味が異なる場合がある。例えば、『我が社にとって最大のリスクはランサムウェアだ』という経営者は多い。しかし、ランサムウェアはサイバー攻撃手法であり、本当のリスクは、ランサムウェアによって攻撃された結果、顧客を失うことだ。(話をしている)本人も、その違いに気付いていない」(ラムザン氏)

 サイバーセキュリティをリスクの観点から正しく認識するためには、「リスク」という言葉の定義を理解し、その意味を把握したうえで、「リスクを正しく測定できる」環境を構築することが重要である。そのためには、自社のビジネスはどのようなリスクの可能性があるのかを棚卸しし、「どの対策にどれだけのコストをかけるのか」「どのようなプロセスで対策を講じるのか」「対策に至るまでの社内準備とその期間はどのくらいか」を考慮に入れ「リスク測定」をすることが有用だ。

 ラムザン氏は「企業によってリスクの内容やレベルは違って当たり前」だとし、その対策として、各企業のビジネス・コンテキストを理解するソリューションの導入が必須だと説く。

「例えば、RSAではガバナンスやサイバーリスク、コンプライアンスといった企業の事業リスクを統合管理するスイート『RSA Archer』を提供している。Archerでは、特定の環境に対する脅威の内容を理解し、その脅威がどのような資産に影響を与えるかを可視化する。さらに、可視化したデータを分析することで、そこから何が発生しているのかも把握できる」(ラムザン氏)

 こうしたソリューションの導入は「セキュリティ分析官の負担削減」に役立つ。特に日本では2020年の東京オリンピック・パラリンピックには約20万人のセキュリティ人材が不足すると指摘されている。ラムザン氏は、「セキュリティ分析官は、業務時間の大半をルーチンワークに取られている。自動化できるプロセスは(ツールが担うことで)排除し、ビジネスの継続に重要なデータ分析に集中できる環境を構築すべきだ」との見解を示した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5