May 6,2009,Posted by Alex Hutton
情報セキュリティという仕事に携わっていて楽しいことの一つは,仕事の内容が大きく変わることだ。ある面では,社内での役割が大昔からきちんと決まっている経理や販売などの担当者に同情している。情報セキュリティ担当者の役割は情報利用(そして保護)の理解が中心であり,保護対象に応じて具体的な作業内容は大きく変化する。この役割について筆者の認識が間違っていなければ,企業の最高情報セキュリティ責任者(CISO)の仕事に対する取り組み方は根本から(再び)変わろうとしている。
情報セキュリティの誕生と変化
情報セキュリティという仕事が生まれた当時,セキュリティ管理は極めて「軍事的」なものとみなされていたようだ。現在でも,ある程度は紛争状況の把握と戦略の立案に従事している人々から学ぶべきことが多い。ただし,セキュリティ管理は徐々に経営情報システム(MIS)/専門家による評価(EE)が中心となるように変わった(筆者はEthernetの普及が発端だと考えている)。MIS/EEの両分野にかかわった経験(軍事的な観点とMISに関する経歴)のある人なら,1998年ごろはとてもよい思いをしていたはずだ。
数年前のある時期から「リスク」という用語を使うようになった。技術分野で非対称戦術(訳注:攻撃側と守備側の戦略が極端に異なる戦術)と急速な変化に直面し,我々の設けた境界はまやかしで,セキュリティは完璧に技術で実現できるようなものでないと悟った。そして,気の利く人々は情報セキュリティという仕事は「安全」を実現するのでなく,「十分な安全」を確保することだと主張し始めた。リスクとリスク分析は,落とし所を決める手段になった。大手企業は現在,強力なリスク分析をソフトウエア開発ライフサイクル(SDLC)に組み込んでいる。これらの企業は,ポリシーを作ったり,決算に及ぼす影響に基づいてプロジェクトのリソース割り当ての優先順位を決める際,「ベスト・プラクティス」よりもリスクという表現を使う。
リスク管理の状況(物理層は考慮していない)
それでも,我々は従来,リスクを取り巻く脅威/資産/制御/影響(図では点線で示した)について,その状況をきちんと把握できていた。ある意味で,我々の管理能力は手元にある情報から予測された。企業幹部から見ると,CISOチームは誰が何を管理していて,担当者の熟練度がどの程度なのかをおおむね知っていた。
クラウド・コンピューティングへの対応
しかし,この状況が変わろうとしている。「クラウド」に対する筆者(および読者)の理解と,この言葉の意味は今も変化している。できるだけ分かりやすく表現すると,最高情報責任者(CIO)/最高セキュリティ責任者(CSO)の観点だと,クラウド・コンピューティングへの移行は「コスト削減手段」にとどまらず,IT関連資産の制御権を優雅に手放す変化といえる。この優雅さをオリンピックのフィギュア・スケートや体操の美しさと比べても,国際審判から高い点数は得られそうにない。
例えば,筆者は最近「クラウドは移行するようなものでない」という考え方をよく見かけるようになった。
ただし,これは非現実的でないだろうか。
(1)クラウドは,セキュリティ部門が拒否権を持つようになると想定している。実際には持たせるかもしれないし,持たせないかもしれない。ただし,あまりにも拒否権を持たせないでおくと,誤りを犯してしまうだろう。例えば,「コンプライアンス」に関するもの(つまり,クラウド環境に置くことのできない重要な機密情報)であっても,ITベンダーはすぐに「認定ソリューション」の販売を始める(事実,こうしたソリューションは既に存在している)。
(2)クラウドは,データ(つまり,機密情報)を液体のようなものとみなしている。我々はこの液体の流れをコントロールし,希望通りの川に流すことができる。筆者はデータが気体のようなものと考えている。データは処理される場所を満たすように広がっていくからだ。
(3)(2)から,情報処理の利便性は機密性で損なわれる可能性があることにもなる。過去20年間の情報セキュリティからこの事実が学べたかどうかは定かでない。ある一つの方法でしか必要な利便性を確保できないのなら,ユーザーはその方法の採用をいとわないし,USBメモリーだって使う。ユーザーがポリシー違反に関連するリスク評価を自分で行うからこそ,筆者はデータ(情報)が気体に似ていると考えるのだ。重要なデータをクラウド環境に入れることで会社の利便性向上につながる作業を実現できるなら,社員であるユーザーは(善かれ悪しかれ)クラウド環境へのデータ投入というリスクを負おうとするだろう。
セキュリティ管理の整備方法
前述した「変わりつつあるルール」というアイデアに戻ろう。クラウド・コンピューティングへの移行がIT資産の制御権を思い切って手放す行為なら,手放し方をきちんと考えなければならない。我々が「十分な安全性とはどの程度なのか」と「十分な安全性は何らかの確実性の高い情報でどのように予測されたのか」を自問できるようになったことについて,筆者がどう記したか覚えているだろうか。確実性の高い情報は,クラウド・コンピューティングによって失われようとしている。これらの情報は,潔くあきらめなければならない「制御権」の大きな構成要素でもある。そこでどうなれば「十分に安全」なのか理解するために,クラウド・コンピューティング業者に「確実性がどの程度なのか」尋ねることとなる。その結果,確実性が不十分だったら,どの程度の透明性があれば十分だろうか。さらに情報分析を行うとしたら,許容できる不確実性の程度を決めることにしよう。
上記の通りCISOチームは変化する。既に自分たちの仕事の呼び名を「情報セキュリティ」から「情報アシュアランス(保証)」に変えてしまった人もいる。クラウド・コンピューティング自体と同じく,CISOチームの仕事がある時期を境に一変するわけではない。呼び名はゆっくりとした変化を反映しているに過ぎない。ただし,筆者は「情報アシュアランス」という呼び名がふさわしいと考える。というのも,制御の効率性やウイルス対策ソフトの保護対象,リスクといった計測対象を考慮するだけでなく,クラウド・コンピューティング業者から要求されるであろう企業ガバナンス情報レベルなどを理解することも迫られつつあるからだ。企業ガバナンス情報を把握できたら,意志決定にどう活用できるだろうか。
筆者の考えが正しければ,CISOは司令官という立場を取り戻すために,司令官から技術者やアナリストに自分を進化させることになる。
Copyrights (C) 2009 Verizon Business. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ベライゾン ビジネスの許可を得て,米国本社のSecurity Solution部門の担当者が執筆するブログSecurityBLOGの記事を抜粋して日本語化したものです。オリジナルの記事は,「On Clouds and The Evolving Role of the CISO」でお読みいただけます。
