未知の脅威に対抗するための「6原則」――ガートナー サミットから学ぶ、これからの情報セキュリティ対策：予防できない危機に対処するには

　サイバー犯罪による被害規模が増大し、多くの企業にとって、情報セキュリティ対策の重要度がますます高まっている。米シンクタンクの戦略国際問題研究所（CSIS）によれば、2014年時点で、全世界でのサイバー犯罪による年間被害総額は数十兆円に達したともいう。しかし、セキュリティ対策のための多くの規制や規格が確立され、日々更新されているにもかかわらず、セキュリティ被害は後を絶たない。高度化・巧妙化する脅威に対して、企業はどのような対策を講じればよいのだろうか。本稿では、2015年7月13日〜15日にかけてガ―トナー ジャパンが開催している「ガートナー セキュリティ＆リスク・マネジメントサミット 2015」の基調講演から、実効的な対策方法について考察する。

予防だけでは不十分

　本イベントでは、ガートナーと各企業の、セキュリティ対策への最新の取り組みが三日間にわたって紹介される。初日の基調講演では、ガートナー リサーチから三名のアナリストが登壇。これからの企業のセキュリティ対策に求められる「6つの基本原則」を提示した。

ガートナーリサーチ　バイスプレジデント兼最上級アナリスト　ポール・プロクター氏

　初めに登壇したポール・プロクター氏（バイスプレジデント 兼 最上級アナリスト）は、宿泊施設を探す人と自宅などを貸し出したい人を結び付ける「Airbnb」や、同様の方法でハイヤーの手配を仲介する「Uber」を例に挙げながら、「デジタルの世界と物理的な世界が融合した新たなビジネスの創出」が広がっていると指摘。その勢いはスタートアップ企業のみならず、大企業にも及んでいるという。一方でサイバー攻撃の高度化・巧妙化も進行しており、「従来型の予防策だけでは、脅威からビジネスを守ることができない」と警鐘を鳴らした。

未知の脅威に対処する「6つの基本原則」

　そこで、新たな脅威に対抗するためにガートナーが提案するのが、「レジリエンス」（Resilience）という発想だ。レジリエンスはもともと、「抵抗力」や「復元力」を意味する心理学用語。被害の予防だけではなく、被害が発生することを前提とした上で、「検知・復旧の速度」に重きを置く考え方だ。このレジリエンスを高めるためのポイントとして、ガートナーが掲げているのが以下の「6つの基本原則」だという。

• 「チェックリスト点検」から、「リスクベース思考」へ転換する

　法規制やISOなどの規格にのっとったチェックリストは、脅威の後手に回りがちで、実効性に乏しいだけでなく、点検担当者にストレスを与える。チェックリストに頼り切るのではなく、あらかじめ組織としてリスクを織り込んでおく必要がある。つまり、ビジネスに影響を及ぼす可能性のあるリスクを事前に洗い出し、対応策や投資の優先順位を決めておくことが望ましい。

• インフラではなく「ビジネス」を守る

　セキュリティ対策は、サーバーなどのインフラを守るのではなく、自分たちのビジネスを守ることだと理解する。念入りなセキュリティ対策の結果、システムの使い勝手が悪くなるなど、ユーザーの利便性を損なうことがあってはならない。あくまで利益を第一に考え、セキュリティ対策は水面下で実施する。

• セキュリティリーダーは「ディフェンダー」ではなく「ファシリテーター」になる

　セキュリティ部隊のリーダーは、ビジネス部門とのコミュニケーションを取り持つファシリテーターとなる必要がある。例えば、ビジネス部門がクラウド上のアプリケーションを業務に使用したいと言ってきたとき、「管理が難しくなる」というセキュリティ上の理由だけで拒絶してはならない。そのことがビジネスにもたらすメリットの大きさも考慮した上で、判断しなければならない。

• 情報フローを「制御」するのではなく、「理解」する

　クラウドの普及で、自分たちの情報の物理的な保管場所や、実際の管理者が誰なのかが不透明になった。つまり、一企業が自分たちに関わる全ての情報をコントロールすることは、ほとんど不可能になった。このような状況では、流れていく情報を制御しようとするよりも、そのフローの仕組みを理解し、適切な対処を施すことが望ましい。例えば、社内アプリケーションのクラウド化を検討するときには、そのアプリケーションにどのような情報が送信されるのかを把握した上で、クラウド化の是非を判断するようにする。送信される情報自体をコントロールしようとしてはならない。

• セキュリティ技術の限界を理解する

　セキュリティ技術には限界がある。また、従業員を完全にコントロールすることもできない。セキュリティ技術を過信せずに、ある程度従業員の自己責任に任せることが望ましい。同時に、ユーザー・モニタリングの強化や、インシデント対応、懲戒手順を整備することが重要である。

• セキュリティ被害は避けられないと認める

　セキュリティ被害を完全に防ぐことは不可能である。このことは、セキュリティ担当者だけでなく、経営層もはっきりと理解しておく必要がある。予防策を打つことを止めてはならないが、被害に対する迅速な検知・対応のための体制作りの方がより重要である。

これからのセキュリティ対策

ガートナーリサーチ　リサーチディレクター　石橋正彦氏氏

　続いて登壇した石橋正彦氏（リサーチ ディレクター）、礒田優一氏（主席アナリスト）も、プロクター氏の説明を補強しながら、次のように述べた。

　「『パスワードをより長く、より複雑に』というような予防型のセキュリティ対策のアプローチでは、もはや不十分だ。高度な専門知識を持ち、他部門とのコミュニケーションまで担えるようなセキュリティリーダーを自社に持つことこそ、最大の防衛策である」（石橋氏）

　「石垣のようにセンサーを張り巡らせ、天守閣から常に監視を行い、被害が発生したときには、武者走りを通じて速やかに情報を伝える。今後の企業のセキュリティ対策は、まさに日本の城のような方式が理想といえる」（磯田氏）

　脅威の進化が著しい現在、脅威を完全にシャットアウトするのはそもそも不可能だというのが、ガートナーの考えるセキュリティ対策の大前提だ。むしろ、被害の発生を前提として、「ビジネス上の優先事項をいかに保護するか」という観点で、日頃からセキュリティ担当者とビジネス部門とが密に連携し合うことが重要だという。チェックリストのような予防的な対応策も不要ではないが、あくまで「最低限の」確認事項にすぎないということを認識しておく必要があるだろう。