鍵は「可視化」──RSAが推進する「ビジネスドリブンセキュリティ」の狙い：RSA Conference 2017レポート（1/2 ページ）

　デル傘下に加わったEMCのセキュリティ事業部門 米RSAは、2017年2月に行われた「RSA Conference 2017」で、今後の製品開発におけるコンセプトを「ビジネスドリブンセキュリティ（ビジネス主導型セキュリティ）」と明確にし、併せて幾つかの製品の機能強化を発表した。

　「過去30年、企業は同じ課題に取り組んできた。セキュリティチームと経営層は“別々の言葉”で話していて、その間には深いギャップがある。このギャップを埋め、技術担当者と経営層がともに問題に取り組めるように通訳の役割を果たすことが、ビジネスドリブンセキュリティの狙いだ」（米RSAでプロダクト担当シニアバイスプレジデントを務めるグラント・ゲイヤー氏）

「セキュリティは顧客の重要関心事」と述べた米デル テクノロジーズのマイケル・デル会長

　2017年2月13日に行われたプレスカンファレンスには、米デル テクノロジーズのマイケル・デル会長も登場し、「顧客にとって、セキュリティは重要な関心事となっている。われわれの注力分野でもある」と語った。

　そして、「Dell SecuerWorks」ブランドで展開するサービス群や、マイクロセグメンテーションによってセキュリティ強化を支援するネットワーク仮想化製品「VMware NSX」へ、暗号化をはじめとするRSAの製品群が加わることで、デジタルトランスフォーメーションを推進する顧客のさまざまなニーズに応える体制が整ったと説明。「データセンターからクライアントまで、セキュリティサービスから製品まで、あらゆる規模の企業に幅広いポートフォリオを提供できる」と述べた。

ビジネスドリブンセキュリティの鍵は「可視化」

「可視化」が鍵を握ると述べた米RSA プロダクト担当シニアバイスプレジデント グラント・ゲイヤー氏

　RSAは、ビジネスドリブンセキュリティというコンセプトを実現するために、ネットワークやエンドポイントのログを解析し、状況を可視化してサイバー攻撃の検知やレスポンスを支援する「RSA NetWitness Suite」を強化し、Amazon Web Services（AWS）やMicrosoft Azureといったパブリッククラウドおよび仮想環境をサポートしたことをあらためて発表した。

　また、多要素認証を実現するワンタイムパスワード製品「RSA SecurID」についても、クラウド上のアプリケーションも含めて、場所やデバイスを問わず安全に利用できるようにする方向性を明確にした。

　ビジネスドリブンセキュリティの実現において鍵を握るのは「可視化」だ。ゲイヤー氏は「見えなければ、被害を最小化するチャンスすらない。状況を可視化し、攻撃者が何をしているかについての洞察を素早く得て、ビジネスコンテキストに沿って優先順位を付けて緊急性の高いインシデントから対応しなければならない」と述べている。

　RSAの脅威リサーチ部門 First Watchでシニアマネジャーを務めるアレックス・コックス氏も、サイバー犯罪やハクティビズム（Hacktivism：政治的ハッカー活動）、国家組織が関与するサイバー攻撃の増加を背景に、「こうした脅威を全て予防することは非常に困難だ。予防だけでなく、侵入を速やかに検知し、可能な限り素早く対応する体制を整えることが重要であり、それには広範な可視化が不可欠だ。それによって、何かが起きても適切に意思決定を下すことができる」と述べた。

　可視化は何より、ビジネスドリブンセキュリティが目指す、ITやセキュリティ担当者と経営層の間にある「ギャップの解消」に有効だとゲイヤー氏は述べている。

　「2017年現在、市場には数多くのセキュリティベンダーがひしめいて製品を提供しており、攻撃側も常に戦術を変えている。非常に混乱した状況だ。この問題を解決するには、可視化を通じて、セキュリティに関する情報を定量的に計測可能なサイバーリスクに“翻訳”することが必要だ。これにより、経営層も今何が起きているかを理解でき、どのようにリスクを緩和すべきか、意思決定を下すことができる」（ゲイヤー氏）

　映画『マネー・ボール』で描かれたオークランド・アスレチックスのように、経験やカンではなく、数値化されたデータを基礎とすることで、適切な判断を下せるようになるという。

　つまり、Security Operation Center（SOC）で収集した情報を「計測可能な形のリスク」として示すことで、対策を前進させることができるというわけだ。ゲイヤー氏は、インシデントの数ではなく、万が一、不正アクセスや情報漏えいが発生したら、ヘルプデスクでの対応コストをはじめ、どのくらいの「損害」が生じる恐れがあるかという定量的な数値にすることで、SOCと社長室をつなぐことができると説明した。

　ゲイヤー氏はもう1つ、重要なことを指摘している。

　「多くの企業はセキュリティを『始まりと終わりのあるプロジェクト』として捉えている。しかしセキュリティはプロジェクトではない。常に変化している、管理すべきリスクだ。今は対策の効果があっても、2週間後にはそれが無力になるかもしれない。こうした変化するリスクを管理するためには、可視化し、対策の効果を計測できなければならない」（ゲイヤー氏）

　そうして継続的にリスクを把握した上で、予算を適切に投じることが重要だ。ゲイヤー氏は「今のセキュリティ投資は予防に偏重している。予防的な対策は確かに攻撃対象（Attack Surface）を減らしてくれるが、同時に、検知や対応にも投資していくことが必要だ」と語り、例えばNIST（米国国立標準技術研究所）のサイバーセキュリティフレームワークなどを参照しながら、リスクベースの対策を推進すべきだとした。

インシデント対応計画の整備と訓練が重要と述べたRSA EMEA地域担当チーフ・セキュリティ・アーキテクト、ラシュミ・ノールズ氏

　RSAのEMEA（Europe,the Middle East and Africa）地域担当チーフ・セキュリティ・アーキテクトのラシュミ・ノールズ氏は、リスクを把握して継続的なモニタリングを行い、緩和していくプロセスによって、「セキュリティは、事業に価値を提供できる」と述べている。

　「事業継続性を高め、ダウンタイムを減らし、インシデントを減らし、その効果を計測可能な形で示すことによって、経営層にビジネス上の価値を伝えることができるだろう」（ノールズ氏）

　ビジネスドリブンセキュリティという考え方に沿って優先順位を付ければ、人材も有効活用できる。インシデントの全てを順に対応していては混乱するだけだが、ビジネスコンテキストに沿って優先順位を付けし、対処すべきリスクを絞った上で、自動化の仕組みを組み入れたり、機械学習やAI（Artificial Intelligence：人工知能）技術を活用したりすることで、「より簡単に、効率的に、迅速に対応できる。ただでさえ不足が指摘されているITセキュリティ人材を、本来専念させるべき仕事にフォーカスさせることができる」（ノールズ氏）