企業がセキュリティ対策を2017年に“転換”すべき理由

企業は事後対策に偏重したセキュリティ対策からどう脱却したらいいのか。米Gartnerが2017年に向けて考えるべき点を挙げた。

[國谷武史，ITmedia]

　バランスを欠く後付けのセキュリティ対策をいつまで続けるのか――。米Gartner リサーチ部門でリサーチディレクターを務めるジェフェリー・ウィートマン氏は、企業のセキュリティ対策の現状についてこう指摘する。ガートナー ジャパン主催の「Gartner Symposium/ITxpo 2016」では、ウィートマン氏が2017年に向けたセキュリティ対策の転換を企業に呼び掛けた。

米Gartner リサーチ部門 リサーチディレクターのジェフェリー・ウィートマン氏

　このカンファレンスでは「企業ビジネスのデジタル化」が大きなテーマに掲げられ、ウィートマン氏は同テーマの実現において企業に求められるセキュリティへの取り組み方を紹介した。ウィートマン氏は、「コンプライアンスやガバナンスなどのリスクと、信頼性や可用性、スピードといったレジリエンスのバランスを徹底して追求しなければならない」と述べた。

　同氏によると、従来はこのバランスが十分に考慮されず、企業がビジネスを推進していく過程の後付けでセキュリティ対策が講じられてきた。その結果、不十分なセキュリティ対策によってリスクが顕在化したり、逆にリスクを抑え込むセキュリティ対策がビジネスの足かせになったりしているという。

　さらに、最近は「サイバーセキュリティ」という言葉が企業の経営層から事業部門やIT部門の現場に至るまで使われ始めたものの、この言葉に対する理解や認識はそれぞれの立場で異なり、企業全体としての取り組みに昇華できていない。

　ビジネスのデジタル化を推進するには共通の定義と認識が必要といい、ウィートマン氏は「デジタル・セキュリティ」という言葉を使い、経営層から現場層までをつなぐ重点領域が、「情報セキュリティ」「ITセキュリティ」「物理セキュリティ」「OT（運用技術）セキュリティ」「IoTセキュリティ」のどこにあるのかといった議論を深めるべきと語った。

　例えば、クラウドサービスにITシステムを構築して新規ビジネスを推進する場合、従来のオンプレミスでITシステムを構築する場合とは違った「デジタルサプライチェーン」のリスクを考慮したセキュリティを取り入れるべきという。

　従来なら企業自身でITシステムにまつわるセキュリティ問題などのリスクに対処するが、クラウドサービスによるITシステムなら、システムリソースを提供するサービス事業者側に依拠せざるを得ず、企業自身がバランスを取りながらコントロールしていかないといけない。そこでGartnerは、「アダプティブ・セキュリティ・アーキテクチャ」を開発したという。

アダプティブ・セキュリティ・アーキテクチャ（出典：ガートナー 2016年10月）

　このアーキテクチャは、セキュリティ対策の考え方を従来の事後対応型から恒常的な取り組みに転換し、防御偏重から検知・対応・予測にシフトすることで、セキュリティコストの適正化を図る。コンテキストアウェア型（脅威など各種問題などの兆候を捉える）のセキュリティプラットフォームを取り入れ、検知・対応・予測のための活動を包括的かつ継続的に実行できるような仕組みを取り入れるべきとした。

　また、データ中心のセキュリティ対策とガバナンスも求められるという。例えば、クラウドサービスやモバイルデバイスで社外からビジネスデータを扱うシーンが広がると、従来のようにオンプレミスのITシステムでデータを保護したり、管理したりすることがますます難しくなる。ウィートマン氏によれば、2020年には企業データの約40％がファイアウォールを通過しなくなると予想され、データを守るにはユーザーIDなどの保護へより注力することが必要だという。

　ウィートマン氏は、企業がクラウドやIoTのような手段をビジネスに取り入れるデジタル化がさらに加速していくと述べ、事後対応型の古いセキュリティモデルではなく、予測対応によってリスクを最小化させる新たなモデルの検討に着手すべきだとアドバイスしている。