セキュリティにもストラテジストが必要
藤田 クラウドだとデータを消すにしても、仕様や状況によりすぐには消せない場合があります。こうした技術的なリスクはIT部門から経営層に伝わってないこともあり、いざ何か起きてから経営層が驚いて慌てるという場面も目にしました。
二木 私はIT部門に所属していたことがあるのでよく分かります。細かい仕様やクラウドの仕組みは複雑ですから、説明が難しいです。1日たっぷり説明する時間があればいいですが、経営層と話せる時間は限られています。究極的には人間関係(コミュニケーション)だと思います。日頃から経営層と信頼関係を築き、必要な情報を共有できるような関係を築いていれば、いざというときに慌てることは減るのではないでしょうか。
藤田 確かに経営層とは数分しか話せないですからね。「うまくいっています」という報告または予算の申請になりがちです。近年では各部門がシステム部門を通さず、独自にクラウドサービスを使うケースも出てきています。
二木 シャドウITですね。AWS(Amazon Web Service)などを使えば安価にカードで契約できてしまいます。それで企業ITのガバナンスが懸念されたりしますが、システム部門や経営層は各部門を責める前に「なぜシャドウITに手を出したのか。現状のシステムに何が足りなかったのか」を聞き取りすべきです。
藤田 今ではIT部門が提供するシステムよりコンシューマ向けサービスの方が高度ということもあります。少し前まで「会社で使うPCがXP。個人は最新のAndroid」ということもありました。余談ですが、スマートフォンだとアプリの自動更新があります。あれでアップデートの便利さを覚えてくれたユーザーもいました(笑)。情報システムでアップデートはかなり警戒されますから。
二木 昔と流れが変わりましたね。昔は情報システム(会社)が最先端のIT技術を使っていたのに、今ではコンシューマが最先端ですから。
先ほど「境界」の話がありました。今では単一のビジネスで成り立つ会社はなく、閉じたシステムというのは考えられません。そうしたなか、データのやりとりを極限まで効率化しようとするとクラウドになります。
発想を変える必要があります。これまでは境界の内側を城壁で守ってきたのですが、今では城壁にはいろんな扉がつくようになってきたわけです。そうなるとどう守れるのか。扉ごとに門番を置くのか、入ってくるのをどう扱うか、あるいは隣町までトンネルを掘るのか。複数の街ごとくくってしまうか。いろんな方法があります。境界の考え方も柔軟に変えていかないといけないと思います。
藤田 アプローチを変えていく必要がありますね。前向きにクラウドを考えているところには情報システム部門とは別に「クラウドIT部門を新設してはどうですか?」と言ったことがあります。情報システムのしがらみから離れ、新しい概念で進めていく必要があるためです。情報システム部門への報告義務はあるにしてもね。
二木 すぐにガバナンスが問題視されてしまいそうですけどね(笑)。しかしクラウドをパイロット版として使うとか、社内システムの一部としてオーソライズする仕組みがあればいいと思います。
藤田 クラウド導入で多く寄せられる質問というのはどのようなものがありますか?
二木 いまだに「クラウドでも大丈夫?」という心配でしょうか。どこかのお墨付きがほしいようですね。
藤田 クラウド技術が分かる人材がいないのも問題でしょうか?
二木 それもあります。クラウド導入で使えるチェックリストを求める声もあります。CCM(Cloud Control Matrix)、PCI DSS(PCIデータセキュリティ基準)、クラウドセキュリティガイドラインなど参考になるのもありますが、そうした既製品のチェックリストによる確認だけで安心してはいけません。なぜならチェックリストというのは本来自分たちのニーズに合わせて自分たちが作るものだからです。既製品はテンプレートとしては使えますが、ビジネスに合わない部分は手直ししていく必要があります。
藤田 セキュリティにもストラテジストが必要だと思います。中長期の先も考え、全体設計を考えられるような人材です。経営層にも説明できないといけません。セキュリティ要因というと、現場でインシデントに対応する人とCIOのようなトップはいるけど中間層がいません。
二木 確かに。中間層もいませんが、横串も足りないと思います。多様な分野を把握できる人ですね。IT全般に言えることですが。例えばSDN(Software-Defined Network)にしても全体を俯瞰してどう構成するか考える必要があります。個々の技術について深い知識は不要でも、ネットワークや仮想化環境に関する幅広い知識、知見がないと扱えません。クラウド導入にもIT全体を把握できる人材が必要です。
藤田 そう考えるとやはり教育は重要かと考えています。クラウドセキュリティ資格のCCSK(Certification of Cloud Security Knowledge)にチャレンジするのもひとつのきっかけになるかと思います。この資格は理論だけではなく実務的な知識も問われているので。
二木 この資格はSIerやIT部門の人だけではなく、個人的にはシステムの企画に関わるエンドユーザー部門の人にもチャレンジしてほしいなと考えています。一定のITのバックグラウンドがあればとれる資格ですので。むしろユーザー部門は提案を受けいれる立場なので、大きな視点でシステムを評価する目を養うためにも資格にチャレンジするのは有効かと思います。
藤田 私は、どんなに技術が進歩してもセキュリティというのはつまるところ「人」だと思います。使う側の人間がレベルアップしなくては。そのためには教育は重要だと思います。本日はありがとうございました。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
