セキュリティ統制は本当に必要?
今回の基調講演「セキュリティ統制を廃止してリスクを低減する」は、ガートナーが「Marverick(マーべリック)」というラベルを付けたものだ。
ガートナーはこの基調講演に対し「Marverickは、型破りで挑戦的・革新的な思考や手法を提供するセッションであり、必ずしもガートナーの公式見解とは一致していない可能性があります」と注意書きを加えている。これは画期的、かつ破壊的な発想であるとし、あくまで現時点ではこの手法がすべての企業において成功するとはまったく考えていないが、いまからこのような「可能性」を考えるべきだ――そのような難しい立ち位置のセッションを、ガートナーリサーチ バイスプレジテント兼上級アナリストのトム・ショルツ氏が行った。
ショルツ氏はまず「統制のない世界を思い浮かべてみてください」と述べた。情報セキュリティの世界においては、その対策はほぼ「統制」であるともいえるだろう。この統制とは、悪巧みを防ぐために内部、外部を防御で固め、不審な行動をチェックできるよう、監査、記録する。これが現在のセキュリティの仕組みだろう。
しかしこれらの「統制」は、システムに携わるほとんどの“善良な従業員”にとっては足かせにすぎず、極々少数であろう悪い人たちをあぶり出すためのものだ。では、なぜ98%以上の正しい人たちを犯罪者のような扱いをするのだろうか――ショルツ氏は、自分たちのインテリジェンスを使い、原理原則を用いておのおの個人がグループに対して責任を負うモデルに移行することで、統制を廃することができるのでは、と述べる。
これは夢物語に近い話と思う方がほとんどであろう。しかし、ショルツ氏は続ける。統制がない、あるいは軽減した世界を実現できたとしたら、下記のようなメリットが出てくるだろうとする。
- より少ない官僚的な縛り
- コスト削減
- スタッフ士気の向上
- 新しいテクノロジー、および人的リソースを活用できる
-
セキュリティの向上
―より少ない“アンダーグラウンドの活動”
―監視と事後行動プロセスにフォーカス
「人を子どものように扱えば、人は子どものように振る舞う」。ショルツ氏はオーストラリアの歴史学者、ピーター・コクランの言葉を引用した。統制のない世界ではメンバーを信頼し、予防ではなく検出、事後行動に注力することで、バランスの取れたセキュリティが実現できるのかもしれない、というのがこのセッションの論点だ。
