2013年7月1日、2日に東京コンファレンスセンター(品川)にて、ガートナー主催のセミナー「ガートナー セキュリティ & リスク・マネジメント サミット:今あらためて考える、未知の脅威を以下に想定し対策を練るか」が開催された。データを踏まえ最新のセキュリティ事情を、グローバルな視点で紹介するガートナーらしいセッションの中に、「Marverick(マーべリック)」と題した少々毛色の違う基調講演が行われた。今回最も型破りで、最も挑戦的、そして一番筆者の心に残ったセッションの様子をレポートしよう。
セキュリティ統制は本当に必要?
今回の基調講演「セキュリティ統制を廃止してリスクを低減する」は、ガートナーが「Marverick(マーべリック)」というラベルを付けたものだ。
ガートナーはこの基調講演に対し「Marverickは、型破りで挑戦的・革新的な思考や手法を提供するセッションであり、必ずしもガートナーの公式見解とは一致していない可能性があります」と注意書きを加えている。これは画期的、かつ破壊的な発想であるとし、あくまで現時点ではこの手法がすべての企業において成功するとはまったく考えていないが、いまからこのような「可能性」を考えるべきだ――そのような難しい立ち位置のセッションを、ガートナーリサーチ バイスプレジテント兼上級アナリストのトム・ショルツ氏が行った。
ショルツ氏はまず「統制のない世界を思い浮かべてみてください」と述べた。情報セキュリティの世界においては、その対策はほぼ「統制」であるともいえるだろう。この統制とは、悪巧みを防ぐために内部、外部を防御で固め、不審な行動をチェックできるよう、監査、記録する。これが現在のセキュリティの仕組みだろう。
しかしこれらの「統制」は、システムに携わるほとんどの“善良な従業員”にとっては足かせにすぎず、極々少数であろう悪い人たちをあぶり出すためのものだ。では、なぜ98%以上の正しい人たちを犯罪者のような扱いをするのだろうか――ショルツ氏は、自分たちのインテリジェンスを使い、原理原則を用いておのおの個人がグループに対して責任を負うモデルに移行することで、統制を廃することができるのでは、と述べる。
これは夢物語に近い話と思う方がほとんどであろう。しかし、ショルツ氏は続ける。統制がない、あるいは軽減した世界を実現できたとしたら、下記のようなメリットが出てくるだろうとする。
- より少ない官僚的な縛り
- コスト削減
- スタッフ士気の向上
- 新しいテクノロジー、および人的リソースを活用できる
-
セキュリティの向上
―より少ない“アンダーグラウンドの活動”
―監視と事後行動プロセスにフォーカス
「人を子どものように扱えば、人は子どものように振る舞う」。ショルツ氏はオーストラリアの歴史学者、ピーター・コクランの言葉を引用した。統制のない世界ではメンバーを信頼し、予防ではなく検出、事後行動に注力することで、バランスの取れたセキュリティが実現できるのかもしれない、というのがこのセッションの論点だ。
この記事は参考になりましたか?
- この記事の著者
-
宮田健(ミヤタタケシ)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
