 |
Gartner社 Eric Ouellet氏, Vice President |
| 「日本版SOX法」の施行,個人情報漏洩対策――。企業はセキュリティ対策を強化すべきことは言うまでもない。だが,実行すべきエリアがあまりにも急速に拡大する中,いま何をどう進めるべきか,見えにくくなってしまうこともある。企業はどうセキュリティ対策に取り組むべきか。ガートナーでセキュリティ分野を見るアナリスト,Eric Ouellet(エリック・アウレット)氏にアドバイスを受けた。 |
| (聞き手・構成は高下 義弘=ITpro) |
日本企業では,「日本版SOX法」の施行,個人情報漏洩対策など,セキュリティに絡んで実行すべき内容が急速に拡大しています。企業はどのようにセキュリティ対策に取り組むべきでしょうか。
情報セキュリティはご存じの通り,非常に多様な面から取り組む必要があります。単にセキュリティ・ポリシーを策定する,セキュリティ対策技術を導入する,従業員を教育する,といった,特定の断面から取り組んでも効果は出ません。総合的に取り組み,組織としての能力を少しずつ高めていくことで初めて,企業はセキュリティを強化できるのです。
組織としてのセキュリティ対策の能力を高めるためには,適切なメトリクス(評価基準や評価方法)が必要です。このメトリクスに従って,自社の強い点,弱い点を認識し,組織としての成熟度を高めていくのがベストでしょう。ガートナーは,米カーネギーメロン大学が開発した「CMMI(能力成熟度モデル統合)」をベースに,企業の情報セキュリティ対策の成熟度を測ることを提案しています。いわば,「情報セキュリティの成熟度モデル」です。
「認識不足段階」から「運用安定段階」へ
情報セキュリティの成熟度モデルでは,組織の成熟度を次の4段階に分けて考えています。
まず,「認識不足段階」というフェーズです。セキュリティ・ポリシーは存在していないか,あっても無視されている。ビジネスをスムーズに展開していくために必要な情報セキュリティ対策は何かを認識できていない。そういった状態です。成熟度モデルではレベル0と1がここに当てはまります。
次は「認識段階」の状態です。何が問題なのかを理解し始めたフェーズです。経営陣がセキュリティや個人情報保護対策に向けて何かアクションを起こすべき,と意識を向ける。マネジメント層はセキュリティ対策のためにしかるべく経営リソースを振り向ける。セキュリティ・ポリシーを発布し,守られるよう社内に働きかける。社内がこのような状態であることを「認識段階」のフェーズと表現しています。成熟度モデルでは,2がここに当てはまります。
さらに進化すると「修正段階」のフェーズに入ります。問題を解決するべく,取り組んでいる状態です。セキュリティ対策を主導する社内チームを再編成し,より機能しやすくする。社内の情報セキュリティ・アーキテクチャを開発する。戦略的なセキュリティ対策プログラムを開始する。社内の業務プロセスをセキュリティ面からチェックし,必要であれば変更するなど,適切な対策を実行する。予算が少なすぎる,予算が多すぎるといった状況を修正し,最適な投資額へと持っていく。そのような状態を指します。良いボディビルダーは,全身の筋肉のバランスが取れています。ですがバランスが悪いと一部だけ肥大化してしまいます。セキュリティ対策で言えば,ウイルス対策は十分だがアクセス管理は手当てがない,といった状況です。つまり,調整をしているのがこのフェーズです。成熟度モデルではレベル3とレベル4がここに当てはまります。
それを経て,マチュア(成熟した)な状態である「運用安定段階」に到達します。期待できる利益とそのリスクを認知しつつ,ビジネスを展開する。企業の生産性を考慮しながら,必要なセキュリティ対策を実施する。業務の実行状況をセキュリティ面で安全かどうか,常にモニタリングできている。このような理想的な状況を表現しています。要するに,リスク・マネジメントを「企業の通常業務の一環」としてできている状態です。成熟度モデルではレベル5が当てはまります。
ガートナーでは,1996年,2000年,そして2004年の時点で,米国企業は4段階のどこに属しているかを時系列で調べました。1996年の時点では,80%が「認識不足段階」でした。オペレーションズ・エクセレンスである企業はゼロでした。ところが2000年には「認識不足段階」に属する企業は徐々に「認識段階」フェーズへと移行し,2004年には「認識不足段階」は30%,「認識段階」は50%,「修正段階」は15%,そして「運用安定段階」は5%になりました。つまり,企業は確実にマチュアになりつつあるわけです。このまま進めば,2008年から9年にかけては,20%の企業が「運用安定段階」フェーズに到達するでしょう(図)。
 |
| 図 セキュリティ・プログラムの成熟度(2008年) |
成熟度は次のような指標で計測します。ガバナンス(統治),戦略立案,組織,プロセス,コミュニケーション,アーキテクチャ,認証およびアクセス管理,脅威の分析管理,リスク・コントロール,フレームワーク,技術マネジメントです。
当社が調査して興味深かったのが,情報セキュリティ対策の成熟度が高まるにつれて,IT投資におけるセキュリティ関連の支出額が低下していくことでした。つまり,セキュリティ対策の成熟度が高まれば,無駄な支出が減るわけです。 運用安定段階フェーズにある企業は,IT予算のうち3~4%しかセキュリティ分野に投じていません。さらにマチュアになれば,最終的には2%くらいまで絞り込めるでしょう。
情報セキュリティの成熟度を高めるために,特に効果的なアプローチはあるのでしょうか。
先ほど申し上げたように,情報セキュリティは単なるテクノロジーでもなく,単なるルール作りでもありません。大切なのは「チェンジ・マネジメント」です。要するにリーダーが社員を巻き込み,組織全体の意識を高めていくことが基本です。意識が高まれば,適切なプロセスに従って,折々で適切な技術を導入し,ルール作りを実施するのは容易です。
手法について言えば,最大のポイントは「記録による可視化」です。ウイルス対策ソフトは必ず更新しその更新状況をモニタリングする,ファイアウオールの設定とその変更は必ず記録として残すなど,関連するソフトや機器の変更管理をきちんと残すことが基本です。
記録を残すことで,セキュリティ対策でどこがうまく進んでいないのか可視化できるようになります。これが小さいようで大きな第一歩です。可視化できれば,どの業務プロセスに危険が残っているか,どの対策に専任のスタッフが必要なのかなど,必要な対策が明確に打てるようになります。
企業はセキュリティ対策を進める上で,どんな人材を獲得・育成すべきでしょうか。
企業のセキュリティ成熟度が高まると,セキュリティ対策は事業そのものに組み込まれます。ビジネス部門側はセキュリティの技術や手法を知る必要がありますし,IT部門側はビジネス側の言葉でセキュリティ対策を説明する必要があります。
そこで,私はCSO(最高セキュリティ責任者)やCRO(最高リスク責任者)といった役割を置き,ビジネスとセキュリティ技術の橋渡し役を担ってもらうのが望ましいと考えます。
セキュリティはれっきとしたビジネス投資
一般的にセキュリティ対策というと「通常のビジネス・システムの開発とは異なり,後ろ向きだ」という雰囲気があります。通常のシステム投資に比べて投資対効果が計りにくいため,投資を承認する役員クラスから「必要なのであれば仕方ないが,実際のところその投資の意味はあるのか」と問われるシステム担当者も多いようです。
よくあるようですね。そうした時私は「セキュリティ投資は戦略的な投資で,ビジネス・バリュー(価値)を確実に生む」と説明しています。理由は,セキュリティの成熟度が高まることは,その組織の経営力が高まることに等しいからです。
ITから離れて,既存の業務と設備の関係を見てみましょう。例えばホテル。「安全・安心」を売りにするのであれば,入り口に警備員を常時配置する,部屋のカギをより安全なものにする,といった形で,セキュリティ対策をより強固にするべく,投資するはずです。鉄工業を考えてみましょう。人が鉄工所で作業をするときには,しっかりとした防護服を着ます。鉄を生むというビジネスのために,必要な装備だからです。
要するに,バリューを生むための活動には,しかるべく設備や装備が必要だということを申し上げたいのです。情報セキュリティ対策は,バリューを生むために必要な設備です。
当初,「ネット・ビジネスはセキュリティ上問題がある。危険だ」などと言われてきました。しかし今はどうでしょうか。もちろん危険はあるけれども,ネット・ビジネスは今や当たり前のことですよね。ファイアウオールやVPN(仮想私設網),IDS(侵入検知システム)などの技術が発達したことで,不正者による侵入のリスクを低減させたり,発生しうるリスクを特定し,万一の時に何をすべきかという危機管理が適切にできるようになりました。ですから,多くの企業がネット・ビジネスに参入しているわけです。
セキュリティ対策を実施することで,発生しうる危険を限定し,特定し,それでも起きうる事態の規模を見積もれるようにする。これにより,ビジネスを実施するメリットとリスクを可視化したうえで議論できるようになります。
繰り返しますが,ホテルを建て,お客様を呼んできちんと利益を得たければ,相応の安全設備が必要ですよね。ITでも同じです。セキュリティへの投資は,れっきとしたビジネスへの投資なのです。なぜかITのセキュリティ投資というと「別物」ととらえられがちですが,決して別物ではありません。
|
