記事の冒頭で述べた通り、ビジネス面からのアプローチは現在のサイバーセキュリティ対策において非常に大切なファクターです。テクノロジー面と同様に、攻撃と防御の双方の視点を持つことが重要です。
事実、攻撃側はビジネスの一環として攻撃を行っています。ブラックマーケットへ行けばマルウェアを購入できますし、例えば、ファイルなどを勝手に暗号化してしまうランサムウェアの中には「Ransomware as a Service」と呼ばれるクラウドサービスを通じて提供されているものもあります。攻撃のためのサプライチェーンを確立しており、サイバー攻撃を役割分担の整った、投資ビジネスの一つとして捉えているとさえ言えます。
このような攻撃側のビジネスモデルやマネタイズ方法を理解することで、ビジネス面のセキュリティ対策のコンセプトは大きく変わります。
これまでは「サイバー攻撃の被害に遭わないようにするにはどんなツールをどう使えば良いのか?」だけを考えていた人もいたと思います。しかし、「相手が投資の伴う効率の良いビジネスとしてサイバー攻撃を行う」という視点を得ると、サイバーセキュリティ対策のコンセプトに「攻撃者に投資を回収させないためには?」とか、「攻撃者の投資対効果を下げるには?」という視点を得られ、セキュリティ対策がトレードオフだということが分かってきます。だからこそ、攻撃視点でのビジネス面を知っておく必要があるのです。
ビジネス面における防御の視点では、サイバーセキュリティ対策が自社の事業継続にとって、また、経営リソースにとってどのように重要なのかを整理し、把握しておく必要があります。コンプライアンスも意識しなければならないでしょう。つまり、この問題をITプロフェッショナルの関連部門が共有するためだけの内容にとどめてはなりません。自社内の全部門、経営陣、投資家、その他各種ステークホルダーに対して、サイバーセキュリティ対策の理解を得られるようにすべきです。
繰り返しになりますが、サイバーセキュリティは「技術・運営の現場の問題」から「役員会・経営会議で語られる問題」へと移ったと言われています。その役割は、「保険」から「戦略的な投資」へ進展し、「Security as a Business Enabler」として認知されるようになってきました。セキュリティ対策をしっかり確保することによって初めて安心して事業を行うことができ、生産性を発揮できるのです。
本稿では、テクノロジー面とビジネス面の双方からのアプローチをしっかりと学習しておく必要性について述べました。攻撃と防御の視点が適切なサイバーセキュリティ対策を導入するために不可欠であることも述べました。サイバーセキュリティ対策は、攻撃者という対戦相手がいる分野です。対戦相手の目的や手段を知ることで、より適切な対策を導入できます。
この問題に取り組むため、テクノロジーもビジネスも、攻撃視点も防御視点も全てを両輪で学習し、わたしたちHackademyと一緒にセキュリティレベルを底上げしていきましょう!
・岡田良太郎(おかだりょうたろう)
ビジネス活動にセキュリティを実現するコンセプト「Enabling Security」を掲げ、技術実践とビジネス推進の両方の視点からセキュリティ推進事業に従事している。OWASP Japan代表、WASForum Hardening Projectのオーガナイザとしても知られる。また、一般実務担当者に向けたセキュリティ教育や、ビジネス・ブレークスルー大学「教養としてのサイバーセキュリティ」を担当するなど、非技術者向けの講演も多数。公認情報システム監査人、MBA。
・蔵本雄一(くらもとゆういち)
筑波大学非常勤講師、日本CISO協会主任研究員、公認情報セキュリティ監査人、CISSP。プログラミング、侵入テスト、セキュリティ監査、セキュリティマネジメントなど、セキュリティ対策の上流から下流工程まで幅広くカバーする活動を中心に、近年は経営層への普及活動を行う。近著は「もしも社長がセキュリティ対策を聞いてきたら」(日経BP社刊)。その他執筆、講演など多数。
Copyright © ITmedia, Inc. All Rights Reserved.