このサミットのコンファレンス・チェアであり、ガートナー リサーチ&アドバイザリ部門 リサーチ ディレクターの礒田優一氏は、昨今のセキュリティ・ニュースやインシデントを踏まえて、2018年に日本のセキュリティ・リーダーが議論し取り組むべきセキュリティの重要アジェンダとして、次の6点を挙げ解説した。
1. 海外拠点/サプライチェーンのセキュリティをどこまで強化すべきか
海外拠点やサプライチェーンなどを複数有する企業にとって、それぞれの拠点のセキュリティをどこまで強化すべきかは悩ましい課題となっている。企業としては海外拠点/サプライチェーンも含め、すべてを守るのが理想だが、現実には全部を完璧に守ることは不可能だ。
しかしながら、海外拠点やパートナーを含めたサプライチェーンにおいてインシデントが発生すれば、その説明責任は本社に求められる。説明責任を果たすためには、リーダーシップと、インシデント発生後の観点に立った対応が日頃から必要となる。
2. 脆弱性マネジメントはどうあるべきか
2018年の年明け早々ニュースになったSpectre/MeltdownのようなCPUの脆弱性や、2017年に多発し大きく報道されたApache Strutsの脆弱性を突いた攻撃のほかにも、脆弱性に対する攻撃は日々発生している。そうした脆弱性に関する公開情報のすべてに対して、理想をいえばタイムリーにパッチを適用して対応したいところだが、本番環境への影響などを考えると現実はそうはいかない。
膨大な脆弱性情報を手動で管理するにも限度がある。そうしたジレンマを解決するには、リスクの可視化と自動化がポイントになる。リスクをベースに脆弱性の優先順位を判断、可視化し、自動化を検討しなければならない。
3. デジタル・ワークプレースのセキュリティのあるべき姿とは
働き方改革の推進に当たっては、利便性とセキュリティを両立させることが理想的だとよくいわれるが、現実には従来の企業ポリシーからの逸脱など、両立が困難な場合も多く、対策に苦慮している企業が多く存在する。
今までは「どこまで許可してどこから禁止するか」という観点でセキュリティ対策が行われてきたが、これからは、「禁止」ではなく「許可」した上でセキュリティ対策を行う、「人中心のセキュリティ」へと変革していく必要がある。
4. エンドポイントのセキュリティの最適解とは
働き方改革の推進や、デバイスの多様化などにより、エンドポイント・セキュリティへの関心が高まっている。すべての局面でベストかつ万能なソリューションがあれば理想的だが、そうしたソリューションは現時点では存在しない。また、変化も速い領域であるため、製品/ソリューションの選定に当たっては、「機能」「価格」面の比較ではなく、ベンダーが広い視野で 「戦略」をきちんと説明できているか、などを見極めることも重要になる。
5. クラウドのセキュリティで注目すべきポイントは何か
クラウドに関するセキュリティは多種多様で、さまざまな角度からのものがあり、その粒度もさまざまだ。クラウドに関しては、近年ではサービスとしてのインフラストラクチャ(IaaS)の利用に関する初歩的なインシデントが多発している。そうしたものの大半は、単純な「設定ミス」によるものであり、IaaSを利用するユーザー側に原因がある。
クラウドはデジタル・ビジネ スを推進していく上で中核となるものであり、ユーザー自らクラウドをセキュアに使いこなす必要がある。セキュリティのプロフェッショナルは、クラウド視点でのリテラシを向上させ、DevSecOpsで求められる新たなスキルや経験を積み、デジタル・ビジネスの推進をサポートしていくべきだ。
6. デジタルのセキュリティについてリーダーが考えるべきことは何か
デジタル・ビジネスの推進においては、ビジネス・スピードとセキュリティを両立させることが理想だが、実際にはビジネス・スピードが優先され、セキュリティは後回しになりがちだ。しかしながら、セキュリティが軽視されると、セキュリティ・インシデントにつながり、ビジネス自体が破壊される結果にもなりかねない。
かといって、セキュリティを必要以上に優先させてしまうと、今度は実験的な試みや新たなチャレンジを妨げることになる。これは非常に悩ましい問題であるといえる。2018年1月に発生したコインチェックにおけるNEM流出事件は、一企業の不祥事と捉えることもできるが、そこから得られる教訓も少なくない。企業はデジタル・ビジネスが暴走しないための歯止めとなるような大きな指針を持つとともに、スピード感ある開発/運用の現場レベルでの方針を持つ必要がある。
ガートナーは、7月24~26日に「ガートナー セキュリティ&リスク・マネジメント サミット 2018」を開催している。サミットでは、国内外のアナリストならびにコンサルタントが、どのようにリーダーシップ能力を研鑽し、世界的に高まっているセキュリティ・リスクの問題に対してセキュアなデジタル・ビジネスを実現していけばよいのかについて、幅広いト ピックにおける最新のトレンドや最先端の知見や洞察を提供するという。
