RSA Conferenceの特徴は、コンファレンス参加企業のセキュリティ最高責任者や、米国政府関係者、さらに暗号研究の第一人者など、多彩な専門家がスピーチすることだ。今回も、マイクロソフト、マカフィー、パルアルトネットワークス、シスコ、シマンテックらの幹部をはじめ、米国国土安全保障省会長のマイケル・マッコール氏が登壇。企業/政府の立場を超えて、セキュリティに関する課題を共有した。
2月14日の基調講演には、RSAで最高技術責任者(CTO)を務めるズルフィカール ラムザン氏が登壇した。同氏は博士号を取得したマサチューセッツ工科大学で、暗号化研究の第一人者であり、RSAの創立者の1人でもあるロナルド・リベスト氏の元で研究を行っていた人物である。
セキュリティ部門とビジネス部門のギャップが引き起こす悲劇
現在の世界はカオス状態にある――。
冒頭、ラムザン氏は、世界各地で発生している自然災害や紛争問題を挙げ、「小さなきっかけが二次的・三次的に波及し、当初は想像もできなかった大きな混乱を引き起こしている」と指摘した。
ラムザン氏がカオスの代表例として挙げたのが、2016年の米国大統領選挙だ。旧東欧に属するマケドニアの若者らが金銭目的に大量のフェイク・ニュースサイトを立ち上げ、トランプ支持者に向けてクリントン候補を貶めるニュースを書き続けた。こうしたニュースはSNSで拡散され、選挙結果に影響を与えたと言われている。
「米大統領選への干渉を狙ったロシアからのサイバー攻撃で、選挙の行方は変わってしまったのか。真相は闇の中だが、サイバー攻撃が民主主義の根底を揺さぶったことは間違いない。そして、サイバー攻撃の影響は、継続して混乱を引き起こしている。今は、何が起こっても不思議ではない不確実性の高い時代だ」(ラムザン氏)
カオス状態の中でもイノベーションを続けていくため、企業は何をすべきか。ラムザン氏は、「Business-Driven Security(ビジネス駆動型セキュリティ)の視点に立脚し、『サイバーリスク』を『ビジネスリスク』として捉えるアプローチが重要だ」と説く。その背景には、セキュリティ担当部門とビジネス部門が“サイロ化”し、両者の間に「Gap of Grief(憂うべきギャップ)」が存在するという現実がある。
「経営者はサイバー攻撃の手法や詳細は知らないし興味がない。彼らが知りたいのは、サイバー攻撃がビジネスの継続性、信用、ブランド力、知的財産に対してどのくらいのダメージを与えるかだ。これに対しセキュリティ部門は、サイバー攻撃自体に焦点を当て、技術的な観点から『どんな現象が発生しているか』を説明しようとする。これでは、両者のギャップは埋まらない」(ラムザン氏)
こうしたギッャプを解消するためには、ビジネス・コンテキストを理解することが不可欠だ。そのうえで、「今、発生しているサイバー攻撃は何を目的しているのか」「狙われている知的財産は何か」「このセキュリティ侵害はどれだけビジネスにマイナスインパクトを与えるか」を考え、ビジネスリスクの高いものから優先的に対策を講じる必要がある。
ビジネス駆動型セキュリティを成功させる3つのアプローチ
ラムザン氏は、ビジネス駆動型セキュリティを実現するための戦略には、3つのアプローチがあると説く。
1つ目は、サイバーリスクを「ダーク・アート」ではなく「自然科学」として捉え、シナリオベースで攻撃プロセスとその手法を分析することだ。攻撃者が狙う情報/資産を予測し、攻撃者の目的を予測したうえで「次になにをすべきか」を考えながら一貫性のある対策を講じることが大切であるとラムザン氏は力説する。
2つ目は「管理対象の簡素化」だ。現在多くの企業は複数のセキュリティ・ベンダーから特定の脅威に特化した対策製品を購入している。しかし、こうした“継ぎ接ぎ的なセキュリティ対策”は、管理の複雑にするだけだ。
「以前、84社のセキュリティ製品を導入しているCISO(最高情報責任者)と話をしたことがある。こうした環境を、どうやって管理するのか。経営層に対し、どうやって個々の製品のROI(投資対効果)を報告するのか。おそらく不可能だろう。セキュリティ担当者は複数のプラットフォームとサービスの混在を避け、統合化された環境の構築を目指すべきだ」(ラムザン氏)
そして3つ目が「想定外の混乱に備える」ことである。ラムザン氏は「セキュリティインシデント対策は、具体性を持って取り組むことが重要だ。単なる“やりたいことリスト”を作るだけでは、役に立たない」と警鐘を鳴らす。
予算の上限を無視したセキュリティ対策はありえない。また、深刻なサイバー攻撃が発生した場合、セキュリティ部門だけで対応するのは不可能だ。「経理、法務、販売など、すべての部門が(インシデント対策の)計画段階から参加し、それぞれの役割を果たす必要があると指摘する。「カオス状態の中では何が起きてもおかしくない反面、成長の機会になる場合もある。ビジネス駆動型セキュリティは、他部門とのコラボレーションが不可欠だ」(ラムザン氏)
