Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

■ガートナー「セキュリティ & リスク・マネジメント サミット」レポート 統制の無い世界は実現可能か? “逆転の発想”でセキュリティリスクを低減する

  2013/07/11 07:00

2013年7月1日、2日に東京コンファレンスセンター(品川)にて、ガートナー主催のセミナー「ガートナー セキュリティ & リスク・マネジメント サミット:今あらためて考える、未知の脅威を以下に想定し対策を練るか」が開催された。データを踏まえ最新のセキュリティ事情を、グローバルな視点で紹介するガートナーらしいセッションの中に、「Marverick(マーべリック)」と題した少々毛色の違う基調講演が行われた。今回最も型破りで、最も挑戦的、そして一番筆者の心に残ったセッションの様子をレポートしよう。

セキュリティ統制は本当に必要?

 今回の基調講演「セキュリティ統制を廃止してリスクを低減する」は、ガートナーが「Marverick(マーべリック)」というラベルを付けたものだ。

 ガートナーはこの基調講演に対し「Marverickは、型破りで挑戦的・革新的な思考や手法を提供するセッションであり、必ずしもガートナーの公式見解とは一致していない可能性があります」と注意書きを加えている。これは画期的、かつ破壊的な発想であるとし、あくまで現時点ではこの手法がすべての企業において成功するとはまったく考えていないが、いまからこのような「可能性」を考えるべきだ――そのような難しい立ち位置のセッションを、ガートナーリサーチ バイスプレジテント兼上級アナリストのトム・ショルツ氏が行った。

 ガートナーリサーチ バイスプレジテント兼上級アナリストのトム・ショルツ氏
ガートナーリサーチ バイスプレジテント
兼上級アナリストのトム・ショルツ氏

 ショルツ氏はまず「統制のない世界を思い浮かべてみてください」と述べた。情報セキュリティの世界においては、その対策はほぼ「統制」であるともいえるだろう。この統制とは、悪巧みを防ぐために内部、外部を防御で固め、不審な行動をチェックできるよう、監査、記録する。これが現在のセキュリティの仕組みだろう。

 しかしこれらの「統制」は、システムに携わるほとんどの“善良な従業員”にとっては足かせにすぎず、極々少数であろう悪い人たちをあぶり出すためのものだ。では、なぜ98%以上の正しい人たちを犯罪者のような扱いをするのだろうか――ショルツ氏は、自分たちのインテリジェンスを使い、原理原則を用いておのおの個人がグループに対して責任を負うモデルに移行することで、統制を廃することができるのでは、と述べる。

 これは夢物語に近い話と思う方がほとんどであろう。しかし、ショルツ氏は続ける。統制がない、あるいは軽減した世界を実現できたとしたら、下記のようなメリットが出てくるだろうとする。

  • より少ない官僚的な縛り
  • コスト削減
  • スタッフ士気の向上
  • 新しいテクノロジー、および人的リソースを活用できる
  • セキュリティの向上 
    ―より少ない“アンダーグラウンドの活動”  
    ―監視と事後行動プロセスにフォーカス

 「人を子どものように扱えば、人は子どものように振る舞う」。ショルツ氏はオーストラリアの歴史学者、ピーター・コクランの言葉を引用した。統制のない世界ではメンバーを信頼し、予防ではなく検出、事後行動に注力することで、バランスの取れたセキュリティが実現できるのかもしれない、というのがこのセッションの論点だ。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 宮田健(ミヤタタケシ)

    10年間のシステムエンジニア経験を経て、@IT編集者としてSecurity & Trustフォーラムを中心に、ネットワーク、データベースなどの技術情報を発信する。その後、2012年11月に独立、現在はエンタープライズ系のIT技術を追いかけるフリーライターとして活動。また、テーマパーク情報を追...

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5