「CISO」というセキュリティリーダーの作り方(1/3 ページ)
企業や組織の“デジタル化”が進む中でセキュリティリスクも高まる。ガートナーでセキュリティやリスク管理分野を担当する石橋正彦氏は、セキュリティを取締役レベルで担うリーダーの必要性を提起する。
Gartnerは、クラウドやモバイル、ビッグデータ、IoT(モノのインターネット)などに代表されるテクノロジートレンドをビジネスに取り込み、新たな価値や成長を創造する「デジタルビジネス」が、もはや企業や組織にとって不可欠なものだと指摘する。ただ、「デジタルビジネス」にはセキュリティなどのリスクも伴う――。
ガートナー ジャパン リサーチ ディレクターの石橋正彦氏は、7月13日にスタートした同社主催の「セキュリティ & リスク・マネジメント サミット 2015」の基調講演で、企業や組織にデジタルビジネスのリスクに備える必要性を提起した。その鍵を握るのが「CISO」(最高情報セキュリティ責任者)と呼ばれるセキュリティリーダーの存在だ。サイバー攻撃などによる情報漏えい事故などが相次ぐいま、企業や組織のセキュリティ対策が十分に機能しない背景の1つに、セキュリティリーダーの不在が挙げられるという。
同社による「デジタルビジネス」の定義は、(1)デジタル化された資産やデジタル化の能力を使って創造されるビジネス、(2)デジタルな商品、サービス、顧客体験を含むビジネス、(3)デジタルなチャネル、コミュニティを通して遂行されるビジネス――という。ビジネスのスピードを格段に向上させ、従来にはない価値を創造したり、収益機会などを生み出したりする。そのメリットに潜むリスクに対処しなければ、デジタル化による恩恵を享受できなくなるかもしれない。
「例えば、かつては企業や組織から情報を盗み出すのに数カ月を要したが、現在では1日以内となり、盗まれるデータ量も数Mバイトから数テラバイト規模にもなる。時間や量の観点でもリスクが高まっており、さらにはIoTに代表されるような規模のリスクもある」(石橋氏)
石橋氏は、6月に発覚した日本年金機構での情報漏えい事案が、ビジネスのデジタル化によるリスクの顕在化を示す一例だと解説する。この事案では堅牢なセキュリティ対策が講じられた年金機構の基幹システム(社会保険システム)からではなく、マルウェアに感染した業務端末から情報が漏えいした。「企業では基幹システムなどのビッグデータデータをマイニングするシステムの導入や利用が進んでいるが、そこから情報が漏えいする事態が生じ始めている」。
セキュリティ対策では一般的に、個別のリスク内容に応じた方法がとられやすい。だが、企業や組織のIT環境が複雑であるようにサイバー攻撃などのリスクも複雑化しており、石橋氏はリスクの内容を理解するだけではなく、経験に基づいたセキュリティ対策を実践する“リーダー”が必要だと指摘する。
関連記事
- セキュリティ専任職の採用 「予定なし」企業は半数に
サイバー攻撃や情報漏えいなどが問題化しているものの、ガートナーの調査では自社に専任担当者を置く考えのない企業が半数近くを占めた。 - 公開サイトでのセキュリティ対策、未実施は「恥ずかしい」
ガートナーの調査では約6割の企業が、主要7項目で外部攻撃への対策を実施していた。 - 海外展開での悩み事と「木を見て森を見ず」のセキュリティにアドバイス アナリスト陣が講演
セキュリティとリスク管理がテーマのガートナー サミットが開催。同社のアナリスト陣が、グローバル展開に求められるセキュリティの在り方や「セキュリティインテリジェンス」について解説した。 - 「クラウド」と「モバイル」時代に備えたセキュリティの取り組み方
ITの注目キーワードとなっている「クラウド」や「モバイル」。これらに関連する製品やサービスを導入する際に、企業のセキュリティ管理者が講じるべき留意点はどのようなものか。ガートナーのアナリストが講演で語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.