SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

「リスクが何だか把握してますか」――RSA CTOインタビュー

 サイバーセキュリティは「経営課題」だ。経営層が積極的に関与して対策を講じなければ、経営の根幹を揺るがしかねない危機に直面する。2017年に世界150か国以上で蔓延したランサムウェア「WannaCry」の被害を見ても、それは明かだ。ビジネスサイドはサイバーセキュリティをどのように捉えているのか。米RSAでCTO(最高技術責任者)を務めるズルフィカール ラムザン氏に話を聞いた。

「リスク」の意味を定義する

米RSAでCTO(最高技術責任者)を務めるズルフィカール ラムザン氏
米RSAでCTO(最高技術責任者)を務めるズルフィカール ラムザン氏

 近年RSAは、「Business-Driven Security(ビジネス駆動型セキュリティ)」の視点に立脚し、「サイバーリスク」を「ビジネスリスク」として捉えるアプローチが重要であると訴えている。ラムザン氏は企業が抱える課題として「セキュリティ担当部門とビジネス部門の間には『Gap of Grief(憂うべきギャップ)』がある」と指摘する。(関連記事

 かねてからRSAでは「Gap of Grief」が引き起こす問題に言及してきた。ビジネス部門の最優先事項がビジネスの成功であることに変わりはない。一方、セキュリティ部門ではビジネス上の優先順位を後回しにして「最低限でもこの対策だけは講じてほしい」と注文をつける。この乖離がギャップであり、依然として解消されてはいない。ただし、サイバー攻撃やセキュリティ対策が不十分でないことで発生する「リスク」については、以前よりも語られるようになってきているという。

「リスク認識はセキュリティ対策の第一歩」だとラムザン氏は力説する。その際に留意すべきは、「リスクが意味する内容」だ。ラムザン氏によれば、セキュリティ専門が語る「リスク」と、ビジネス部門の考える「リスク」は、その内容が異なるという。

「仕事柄、様々な役職の人と話すが、同じ人との会話の中でも、『リスク』という言葉の示す意味が異なる場合がある。例えば、『我が社にとって最大のリスクはランサムウェアだ』という経営者は多い。しかし、ランサムウェアはサイバー攻撃手法であり、本当のリスクは、ランサムウェアによって攻撃された結果、顧客を失うことだ。(話をしている)本人も、その違いに気付いていない」(ラムザン氏)

 サイバーセキュリティをリスクの観点から正しく認識するためには、「リスク」という言葉の定義を理解し、その意味を把握したうえで、「リスクを正しく測定できる」環境を構築することが重要である。そのためには、自社のビジネスはどのようなリスクの可能性があるのかを棚卸しし、「どの対策にどれだけのコストをかけるのか」「どのようなプロセスで対策を講じるのか」「対策に至るまでの社内準備とその期間はどのくらいか」を考慮に入れ「リスク測定」をすることが有用だ。

 ラムザン氏は「企業によってリスクの内容やレベルは違って当たり前」だとし、その対策として、各企業のビジネス・コンテキストを理解するソリューションの導入が必須だと説く。

「例えば、RSAではガバナンスやサイバーリスク、コンプライアンスといった企業の事業リスクを統合管理するスイート『RSA Archer』を提供している。Archerでは、特定の環境に対する脅威の内容を理解し、その脅威がどのような資産に影響を与えるかを可視化する。さらに、可視化したデータを分析することで、そこから何が発生しているのかも把握できる」(ラムザン氏)

 こうしたソリューションの導入は「セキュリティ分析官の負担削減」に役立つ。特に日本では2020年の東京オリンピック・パラリンピックには約20万人のセキュリティ人材が不足すると指摘されている。ラムザン氏は、「セキュリティ分析官は、業務時間の大半をルーチンワークに取られている。自動化できるプロセスは(ツールが担うことで)排除し、ビジネスの継続に重要なデータ分析に集中できる環境を構築すべきだ」との見解を示した。

次のページ
仮想通貨の“物理セキュリティ”を考えたことがあるか

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

鈴木恭子(スズキキョウコ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10817 2018/06/05 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング