「リスク」の意味を定義する
近年RSAは、「Business-Driven Security(ビジネス駆動型セキュリティ)」の視点に立脚し、「サイバーリスク」を「ビジネスリスク」として捉えるアプローチが重要であると訴えている。ラムザン氏は企業が抱える課題として「セキュリティ担当部門とビジネス部門の間には『Gap of Grief(憂うべきギャップ)』がある」と指摘する。(関連記事)
かねてからRSAでは「Gap of Grief」が引き起こす問題に言及してきた。ビジネス部門の最優先事項がビジネスの成功であることに変わりはない。一方、セキュリティ部門ではビジネス上の優先順位を後回しにして「最低限でもこの対策だけは講じてほしい」と注文をつける。この乖離がギャップであり、依然として解消されてはいない。ただし、サイバー攻撃やセキュリティ対策が不十分でないことで発生する「リスク」については、以前よりも語られるようになってきているという。
「リスク認識はセキュリティ対策の第一歩」だとラムザン氏は力説する。その際に留意すべきは、「リスクが意味する内容」だ。ラムザン氏によれば、セキュリティ専門が語る「リスク」と、ビジネス部門の考える「リスク」は、その内容が異なるという。
「仕事柄、様々な役職の人と話すが、同じ人との会話の中でも、『リスク』という言葉の示す意味が異なる場合がある。例えば、『我が社にとって最大のリスクはランサムウェアだ』という経営者は多い。しかし、ランサムウェアはサイバー攻撃手法であり、本当のリスクは、ランサムウェアによって攻撃された結果、顧客を失うことだ。(話をしている)本人も、その違いに気付いていない」(ラムザン氏)
サイバーセキュリティをリスクの観点から正しく認識するためには、「リスク」という言葉の定義を理解し、その意味を把握したうえで、「リスクを正しく測定できる」環境を構築することが重要である。そのためには、自社のビジネスはどのようなリスクの可能性があるのかを棚卸しし、「どの対策にどれだけのコストをかけるのか」「どのようなプロセスで対策を講じるのか」「対策に至るまでの社内準備とその期間はどのくらいか」を考慮に入れ「リスク測定」をすることが有用だ。
ラムザン氏は「企業によってリスクの内容やレベルは違って当たり前」だとし、その対策として、各企業のビジネス・コンテキストを理解するソリューションの導入が必須だと説く。
「例えば、RSAではガバナンスやサイバーリスク、コンプライアンスといった企業の事業リスクを統合管理するスイート『RSA Archer』を提供している。Archerでは、特定の環境に対する脅威の内容を理解し、その脅威がどのような資産に影響を与えるかを可視化する。さらに、可視化したデータを分析することで、そこから何が発生しているのかも把握できる」(ラムザン氏)
こうしたソリューションの導入は「セキュリティ分析官の負担削減」に役立つ。特に日本では2020年の東京オリンピック・パラリンピックには約20万人のセキュリティ人材が不足すると指摘されている。ラムザン氏は、「セキュリティ分析官は、業務時間の大半をルーチンワークに取られている。自動化できるプロセスは(ツールが担うことで)排除し、ビジネスの継続に重要なデータ分析に集中できる環境を構築すべきだ」との見解を示した。
