目 次
・2018年、セキュリティの領域における日本企業のアジェンダとは?
・変わる? 変わらない? CISOに求められる役割とは
・コストパフォーマンスのよいセキュリティ対策を実現するには?
・リスクを認識し、ベーシックな事柄を実践し、コミュニケーションを
Written by 高橋 睦美
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にてネットワーク・セキュリティ関連記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。
関連記事DeNAの体験談に学ぶ、成長に伴う段階的なセキュリティ対策推進の秘策
【CISOの明日はどっちだ!?Vol.1】DeNAのセキュリティ施策のこれまでとこれから
エムオーテックス(MOTEX)が2018年11月13日に開催したセミナー「CISOの明日はどっちだ!?」において、ディー・エヌ・エー(DeNA)のシステム本部セキュリティ部部長を務める茂岩祐樹氏が紹介したセキュリティ体制整備の道のりには、対策を進める多くのヒントがあった。ただ一方で、「これはDeNAのような会社だからできる理想論で、うちにはとても無理」という感想を抱く人もいるのではないだろうか。だが、そう考えるのはまだ早い。
セミナーの最後には、茂岩氏のセッションでインタビュアーを務めたアスタリスク・リサーチ エグゼクティブ・リサーチャの岡田良太郎氏のほか、Cylance Japanの最高技術責任者、乙部幸一朗氏、MOTEXの代表取締役社長、河之口達也氏、そして基調講演においてCISOの役割について提言した米Cylanceの最高セキュリティおよびトラスト責任者、Malcolm Harkins氏らが一堂にそろってパネルディスカッションを行った。@IT編集部の宮田健氏がファシリテーターを務める形で、「今、日本の企業が抱えている課題は何か」「その解決に向け、明日からできることは何か」について議論を交わした。
2018年、セキュリティの領域における日本企業のアジェンダとは?
2018年も年の瀬に近付きつつある。WannaCryに揺れた2017年ほどではないが、今年もまたさまざまなセキュリティインシデントが発生した。そんな中「日本の企業が2018年のアジェンダとして真っ先に考えるべき事柄は何か」という宮田氏の問いに、岡田氏は「クラウド」と答えた。「少し前はどの会社にもオフコンやPCがあったが、それがどんどん薄く小さくなり、今やタブレットやスマートフォンになっている。そのデータはどこに置いてあるかというと、クラウドだ」(岡田氏)
さらに「クラウドとは、つまりシステムを所有しないという概念のこと。メールサーバーや業務管理、受発注システムといったシステムを自分が所有しなくてもいい、その大きな流れの中では、セキュリティのアジェンダも『いったいどこにある何を守るか』という事柄に変わってくる」と指摘した。
▲Cylance Inc. 最高セキュリティおよびトラスト責任者 Malcolm Harkins 氏
一方Harkins氏は「サイバーリスクが、今や単なる一企業のリスクを越えた社会的リスクになっていることに対する理解が薄いことが課題だ」と述べた。乙部氏も、「それ以前に、企業トップや中間管理職も含め、日本全体でセキュリティに対する理解がまだ進んでいないように感じる」とコメントし、経営者もセキュリティに無頓着ではいられない時代になりつつあるとした。
セキュリティの話とくると、しばしば「このソリューションを導入しよう」といったベンダーの我田引水的な話になりがちだ。だが、企業の側もこの状況にうんざりしつつあるのではないかと乙部氏は述べた。河之口氏も「全体像を抜きにして局部的な話題に終始しがちだが、セキュリティは本来非常に範囲の広いものであり、その全体像をベンダーの視点ではなく、ユーザーの視点で考えていくことが必要だ」と述べ、それが今回のイベントの趣旨でもあると説明した。
そんな中、今一番足りないのは「情報ではないか」と岡田氏は言う。「例えば今、乙部さんのような専門家の力を借りたり、DeNAのように専門チームを自由に使える状況になったとしても、何をしたらいいか分からない。情報があふれすぎていて、それが自分にとってどうなのかが分からない。多すぎる情報は『ない』も同じではないか」(岡田氏)
また乙部氏は「あえて誤解を恐れずにいうと、セキュリティの重要性を意識してもらえるような『事故』がまだ足りないし、起きた事故も共有されていない。そのためになかなかセキュリティに対する意識が高まらないのではないか」とコメント。他社で起こった事件を他山の石とし、どのように対応したかを評価することで、気付きが得られるのではないかとした。
Harkins氏はさらに、リスクに対し、どのような予算やスキルを投入していくかの「均衡ライン」が欠けていると指摘。「サイバーリスクが国の経済に影響を与える可能性もあることを認識し、正しい投資を行うことが必要だ」とした。
変わる? 変わらない? CISOに求められる役割とは
▲株式会社アスタリスク・リサーチエグゼクティブ・リサーチャ 岡田 良太郎 氏
こうした状況を変えていくには、とにもかくにもリーダーシップを持ったCISOの役割が欠かせないだろう。だが、「日本の企業では、CISOは単にインシデント対応に責任を持つ役割だと思われがちで、責任ばかり大きくて大した権限もないことが散見される。そんな状況では、『俺がやる』といってCISOを引き受ける人はまだ少ない。CxOの中でもジョーカー的な位置付けではないか」と岡田氏は語った。
そもそも「日本でCISOというと、総務部や情報システム部の下にあるセキュリティ担当者という位置付けで、何も起きない安定したシステムを作るのが仕事ということが多い」と乙部氏。続けて「しかし本来リーダーとなる人は、もっと広い範囲でリスクを捉え、問題解決に取り組むアプローチが必要ではないか」と述べた。
となると必然的に、CISOに設定されるKPIも変わってくることになる。「日本の会社のCISOのKPIというと事故を起こさなければいいという『引き算型』になりがちだ」と岡田氏。リーダーシップを取るというのは、これまでの担当者にとっては大きな職務内容の変化であり、なかなか難しいのではないかと問題を提起した。
だがHarkins氏は「それほど大変なこととは思わない。確かに、いきなりその仕事をさせるのは難しいかもしれないが、きちんと育成し、役割に向けて進化させて責任を負わせるのは当然のことだ。これはセキュリティに限らず、CFOにせよCHOにせよどの役割でも同じではないか」と述べた。
リーダーを育てるには、「そもそも組織自体もデザインし直す必要があるのではないか」という宮田氏の問いに、岡田氏は「セキュア・バイ・デザイン」や「シフトレフト」といった考え方を挙げながら次のように述べた。
「シフトレフトというのは、問題を後でどうにかするのではなく、もうちょっと早めに何とかできなかったかという考え方。従って、モノを作る現場、生産工程や生産計画、業務計画に『こういう問題を起こさないようにするにはどうしたらいいか』をフィードバックすることが大事だ。問題が起きてからどうするんだと考えるよりも、それを起こりにくくする習慣作りの方が皆の共感を得やすいのではないか」(岡田氏)
そんなフィードバックを実現するには、社内のあちこちから情報が集まってこなければ始まらない。DeNAの茂岩氏が示した「おもてなしの精神」で、何でも報告してもらえる、何でも相談してもらえるような体制を作ることが必要ではないかとした。
Harkins氏も「情報共有は非常に重要だ。それも双方向でなければならない。アナリストから経営層に対して報告を上げるとともに、経営陣からはセキュリティチームに対し、ビジネスに関する方針を共有することも必要だ」と述べた。ただ、だからといって何でもかんでも共有するのではなく、「意思決定が必要な情報」のみを渡すことがポイントだ。さもなければ、本来なすべき意思決定に費やす時間を侵食してしまう恐れがあるという。
コストパフォーマンスのよいセキュリティ対策を実現するには?
セキュリティに対する理解をもっと高め、取り組む姿勢が必要だとして、問題は、無尽蔵な予算など誰も持っていないことだ。となると必然的に「コストパフォーマンスに優れた防御」が求められることになる。どうすればコストパフォーマンスのいい防御を実現できるのかーー。
そんな問いに対し岡田氏は「どんな状態が望ましいのか、どういう結果を得たいのかなどのゴールを具体的にイメージできなければ、コストパフォーマンスは評価できない」と述べた。さらに「コストパフォーマンスに優れた防御策を見つけたとしても、そこに行き着くまでに時間がかかっていてはコストパフォーマンスが落ちる。セキュリティのコストパフォーマンスを挙げるにはやはりリーダーシップがいる」と付け加えた。
▲Cylance Japan株式会社最高技術責任者 乙部 幸一朗 氏
乙部氏が提案するのは、「リスクコスト」という考え方だ。一口にリスクと言っても、単純なマルウェアから知的財産が脅かされるような標的型攻撃までさまざまだ。「そのリスクが発生する確率とそれによって発生する被害額を掛け合わせれば『リスクコスト』が出てくる。セキュリティにコストをかければリスクコストが減り、あまりかけなければリスクコストが増える。両方のバランスがとれた最適なポイントを探すというやり方がいいのでは」という。
さらに乙部氏は、状況によって異なるため一概にリスクコストは算出できないとしながらも、「できるだけ手前で対策を実施した方がコストは抑えられる。メールのフィルターで食い止めるのと、感染後に端末を見つけて対処するのとでは、『止める』という効果は同じでも、前者の方がコスト効果は出しやすい」と述べた。そして「ベンダーが言う効果ではなく、自分の環境に照らし合わせてどれくらい効果があるか、どれくらいリスクコストを減らせるかについての考え方を持つといいのでは」と提案した。
河之口氏は、「一番コストパフォーマンスの悪い対策は、買ったはいいけれど使っていないソリューション。でも、世の中にはこうしたものがごまんとある」と述べた。ベンダーの立場から、いわゆるカタログスペックの情報だけでなく、買ったソリューションをどう使いこなすか、新機能があればそれをどう活用するかといった情報を、時には事例なども含めて提供し、「ITの力で経営を推進していく立場にある人が、横のつながりを生かして情報を共有し、事業をリードしていくところまで支援していきたい」という。
リスクを認識し、ベーシックな事柄を実践し、コミュニケーションを
最後に、「明日からでもできる対策とは何だろうか」という宮田氏の問いに、岡田氏は「ぼんやりした把握では何も改善できない。トピックは様々あるが、まずは『この部分は自社ではどうなっているのかよくわからないな』というアジェンダがあればそれについて社内でのコミュニケーションを取り、情報を集めることから始めるのが良いのではないか」と述べた。
乙部氏は、メーカーの立場ながらあえて「セキュリティの業界はちょっと特殊な業界。そこを理解し、プロダクトマネージャーが言っていることだけを聞くのではなく、本当に自分が望んでいるリターンが得られるかを考えるべき」とコメント。また、最近友人によく送るアドバイスとして、「クラウドサービスを使うときは、必ず二段階認証を使うようにしてほしい」と述べた。
これは、MOTEXが公開している「セキュリティ 7つの習慣・20の事例」にも含まれている対策だ。
▲エムオーテックス株式会社代表取締役社長 河之口 達也
河之口氏は「このドキュメントは、ゆるいキャラクターを用いて親しみやすくまとめているが、ここに書かれているのはセキュリティの原理原則だ。世の中にはいろいろと難しいセキュリティ用語があふれているが、シンプルに、重要なことは何かを正しく伝えていく世界が来ればいいなと考えている」と述べた。
最後にHarkins氏は「まずはリスクを理解すること。そして、コミュニケーションを取ること」と述べ、さらに正しいアプローチを採用することでセキュリティのコスト効果を高めることができるとした。
関連記事DeNAの体験談に学ぶ、成長に伴う段階的なセキュリティ対策推進の秘策
【CISOの明日はどっちだ!?Vol.1】DeNAのセキュリティ施策のこれまでとこれから
