Forrester Research, Inc.
Khalid Kark Senior Analyst
2007年において,CISO(最高情報セキュリティ責任者)が直面する課題は,以下の3点にまとめられるだろう。
第一に,ますます複雑になっている脅威を分析して,その対策を講じること。脆弱性を突くゼロ・デイ攻撃(脆弱性の発見から攻撃までの時間の短縮化)と,攻撃の複雑化はCISOの悩みの種である。中でも憂慮するのは,特定の企業や組織の従業員あるいは顧客だけを対象とする「標的型」と呼ばれる攻撃だ。被害者のマシン上でその存在が見えない攻撃ツールであるルートキットは,2006年に攻撃者の関心を集めた攻撃手法であり,防御や除去が極めて難しいことが分かっている。
CISOとしては,単に新しい脆弱性の動向を把握するだけ,あるいは脅威を検知する,適切な構成変更やパッチをあてるだけでは役割を果たしているとは言えない。CISOは,複雑化するこうした脅威に対して包括的な戦略を立案する必要がある。
第二に,セキュリティ基準に照らして測定,追跡,報告すること。経営層はCISOに対して,セキュリティ対策の進捗状況およびセキュリティ関連の支出の正当性の報告を求めている。外部のビジネス・パートナーもまた,セキュリティ対策に関する説明責任を求めている。明確なセキュリティ基準は,こうした期待を満たすだけでなく,CISO自身がセキュリティ・プログラムの有効性を測定する手助けにもなる。
第三に,生成から除去に至るライフサイクルにわたり情報を保護すること。企業に対して情報を保護しろという圧力が一段と強くなっている。暗号化やエンドポイント・セキュリティ(情報の水際における対策),情報漏洩防止(ILP)といった多くの技術が,こうした問題を解決するのに利用できる。強力な認証やアイデンティティ,およびアクセス制御を組み合わせることにより,ライフサイクルにわたる情報保護は一層強化される。
しかし,これらのソリューションを統合したり運用したりすること,そして確実に監査するのは非常に難しい。情報の特定から分類,運用,追跡,保存,処分に至るまでのプロセス定義や,戦略の立案には支援を要するだろう。
セキュリティ・アウトソースが浮上
セキュリティ予算は,2007年には上昇するとみられる。これまでなら,セキュリティ予算の増加は,セキュリティ問題を解決するベンダーを選び,ソフトウエアを買うことを意味していた。ところがここにきて多くのCISOは,専門性が高く手間がかかるセキュリティの運用業務をアウトソースすることがより効率的かもしれないと考え始めている。そこで,セキュリティ・サービスの提供者にはこうしたCISOの期待に応えるため,サービス内容に応じて以下のような改善を期待したい。
セキュリティ・サービスの提供者は,競争力のある価格優位性を打ち出すか,あるいは高い価格に見合うような報告書や競合企業とのベンチマーク作成といった付加価値の高いサービスを提供することである。ほかのIT技術のアウトソーシング・サービスの提供業者は,その一部としてセキュリティ・サービスを売り込む必要がある。
情報リスク管理と戦略立案のコンサルタントは,信頼できるアドバイザーになることである。CISOが全体像を見通すことを支援し,目の前の課題を解決することだ。既存のセキュリティ・プログラムを評価したうえで,目標と現実とのギャップを特定し,規制や法律,リスクを考慮して何を実行するか優先付けする必要がある。
セキュリティ製品ベンダーは,製品単体だけでなく,トレーニングや監査といった付加サービスを含む統合的なサービスの提供が求められる。クアリス(Qualys)やポスティーニ(Postini)といったベンダーはセキュリティSaaS(ソフトウエア・アズ・ア・サービス)で強力な地位を確立している。この分野には,多くの可能性がある。
