モバイル、ソーシャル、クラウド、ビッグデータの時代になり、セキュリティについても、これらの新技術に関する問い合わせが増えてきた。これらの新技術によってインシデント(セキュリティ事案)の質が変わってきているからだ。3Dプリンター、ドローン、スマートマシーン、ブロックチェーンなども、これまでになかった新たなリスクを生む。
コンプライアンス(法令遵守)でも、マイナンバーやサイバーセキュリティ基本法などの新しい制度が登場してきた。このように、守るべき情報やシステムが急速に拡大している。さらに、脅威がもはやITシステムのレベルではなく、国や企業のビジネスを脅かすようなレベルになってきている。
こうした急速な変化を受けて、私たちも考え方を変えていかなければならない。変化の時代に心がける原則として、ガートナーは以下の六つを挙げている(図)。(1)「リスク・ベース」、(2)「ビジネス成果」、(3)「ファシリテーター」、(4)「検知と対応」、(5)「人中心(PCS、People Centric Security)」、(6)「データ・フロー」、だ。
新時代のセキュリティのあり方に六つの原則
(1)のリスク・ベースは、リスクをベースにセキュリティ対策をとるという姿勢のこと。「ある対策を取らずに放置した時のリスクの大きさはどれくらいか」という視点に立って、数多くの対策の中から採用すべき対策を選択することを指している。
(2)のビジネス成果は、守る対象がビジネスの成果そのものになったことを指している。ビジネス自体がデジタル技術によって成り立つ時代なので、「ITを守るのではなく、ビジネス自体を守る」という意識の改革が必要になる。
(3)のファシリテーターは、セキュリティのリーダーの新たな在り方を指す。従来はITシステムを守る役割を担っていたが、自分だけで判断する時代ではない。経営者とコミュニケーションを取ったり、社外の専門家を活用したりするなど、人材やスキルを多方面から調達する必要がある。