ITがBT(Business Technology)となる時代に必須なのは「セキュリティ」RSA Conference 2017レポート(1/2 ページ)

2017年2月14日から米国サンフランシスコで「RSA Conference 2017」が開催されている。基調講演は、サイバーセキュリティがテクノロジーだけでなく、ビジネスや政治にまで影響を及ぼしている事実を背景にした内容となった。

» 2017年02月16日 12時00分 公開
[高橋睦美@IT]

 2017年2月13日から2月17日まで、米サンフランシスコで「RSA Conference 2017」が開催されている。暗号研究者の集まりから始まったRSA Conferenceだが、近年のサイバーセキュリティに対する関心の高まりとともに拡大を続け、今や約4万5000人の参加者を集めるまでになった。カバーする範囲も幅広く、サイバー犯罪やデータセキュリティといったテクノロジーの最新動向はもちろん、プライバシーや法制度、政策、セキュリティ人材育成に関するセッションも行われている。

 サイバーセキュリティは、個人や企業はもちろん、社会インフラの安定的な運用を左右する重要な要素となっている。急速に普及しているIoT(Internet of Things)デバイスをターゲットにしたランサムウェアや、IoTボットネット「Mirai」の登場は、過去のRSA Conferenceで指摘されてきた懸念が現実のものになったことを示していると言えよう。またこの数年は、サイバーセキュリティが国内外の政治に与える影響力も急速に高まっている。2017年2月14日に行われた基調講演では、そんなトレンドをうかがい知ることができた。

photo 「RSA Conference 2017」のオープニングキーノートに登壇したマイケル・デル氏とRSA CTOのズルフィカー・ラムザン氏

 オープニングキーノートでは、RSAセキュリティのCTOを務めるズルフィカー・ラムザン(Zulfikar Ramzan)氏が「ビジネスドリブンセキュリティ」というコンセプトを明確に打ち出した。意訳すると、「経営主導のセキュリティ」という意味合いになるだろう。既に日本でも、経済産業省が「サイバーセキュリティ経営ガイドライン」を公表し、セキュリティを経営課題として捉えて、経営層のリーダーシップの下で対策に取り組むことを求めている。ビジネスドリブンセキュリティという考え方も、同様のコンセプトに基づくものと言えそうだ。

 また、2016年9月にRSAも含めた米EMCを買収した米デル テクノロジーズ(以下、デル)は、新たな注力分野の1つとして「セキュリティ」を掲げている。デルとの合併後初のRSA Conferenceのステージにはデル 会長のマイケル・デル氏も登壇し、「セキュリティは、今やあらゆる企業の関心事になった。社会のあらゆる業種がデジタルトランスフォーメーションを志向しているが、それはセキュリティを確保しながら進められなければならない」と述べた。

ITは「Business Technology」に、セキュリティは「ビジネスの問題」に

 ラムザン氏は基調講演の中で、「今、私たちはカオス(混沌とした状況)に直面している」と述べた。東日本大震災のような自然災害のカオスがあれば、先日の米国大統領選挙を巡る状況のような政治的なカオスもある。そしてテクノロジー面では、家庭内のさまざまなデバイスや車などが互いに接続されて便利になっていく一方で、攻撃を受けたり、さらには攻撃の踏み台として悪用されるケースが生じている。「イノベーションは悪用を招く」と同氏は指摘した。

 こうした状況において、互いの知恵を交換し、協調しながら前進を図ることが、会場に集まったセキュリティ専門家の役割だとラムザン氏は呼び掛けた。

 ただ、専門家の知見は重要だが、それが周囲に、特に経営層へ伝わらなくては意味がない。「セキュリティはテクノロジーの問題ではなく、ビジネスの問題だ。経営層はクロスサイトスクリプティングがどうとか、SQLインジェクションがこうとか、そういう話を求めているのではない」とラムザン氏は指摘し、経営層とセキュリティ担当者の間にある「ギャップを埋めていく」ことが重要だとした。日本でも、経営層とセキュリティ担当者の間で一種の「通訳」の役割を果たす、橋渡し人材の重要性にスポットが当たり始めている。課題は世界共通のようだ。

 RSAが提唱するビジネスドリブンセキュリティというコンセプトは、こうした背景から生まれたものだ。ラムザン氏は、その実現に当たって重要なポイントを3つ紹介した。

  • リスクを芸術ではなくサイエンスとして捉え、さまざまな仮定を立ててフレームワークを活用して把握すること
  • あまりに多くのベンダーの製品を採用していると管理が煩雑になることから、ベンダーを集約し、セキュリティの実施ポイントである「コントロール」を簡素化すること
  • 自力ではコントロール不可能なカオスを考慮に入れ、計画を立てること

 最近では国内でも、事故前提型対策の一環としてインシデントレスポンス計画を定める企業が増えているが、「インシデントレスポンス計画は、アベイラビリティ(Availability)を備え、予期せぬコストが生じることを織り込んで予算(Budget)を確保しなければならない。またIT部門だけでなく経営層、法務、営業やマーケティングなどさまざまな部門とのコラボレーション(Collaboration)が欠かせない」とラムザン氏は述べた。

 「テクノロジーを通して私たちのこの世界をより安全なものにしていくことが、私の目標」という同氏はあらためて、カオスに直面してはいるものの、「カオスはまた自社を変化させ、成長させる機会にもなる」と強調。そしてジェンダーや人種、文化などの多様性がもたらす力を活用し、官民の壁を超えてコラボレーションすることで、ともに困難な課題を乗り越えていこうと呼び掛けた。

 講演の最後にはデル氏も登場し、「さまざまなCEOと話をしても、セキュリティは高い関心事である。どのようにリスクを管理し、どのように複雑なセキュリティ体制を解決し、環境をセキュアにしていくかが経営層の懸念事項となっている」と述べた。

 デル氏は、世界経済フォーラムでの議論を踏まえ「ITは今や、Infromation TechnologyからBusiness Technology、『BT』へと変化しつつある。教育、ヘルスケア、製造業、エネルギー業など、ありとあらゆる業種でデジタルトランスフォーメーションを渇望する企業が増え、そのためにビッグデータや機械学習といった技術への投資も進んでいるが、それらはあくまでセキュアな形で実現されねばならない」と語り、デジタルトランスフォーメーションにおいてセキュリティが不可欠な要素であると強調した。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。