セキュリティの対象システムが拡大している。以前は情報セキュリティ、現在はサイバーセキュリティ、現在から未来にかけてはデジタルセキュリティの時代だ。IT部門のセキュリティ担当者は、対象システムが拡大しても変わらない原理原則を大切にするとともに、対象システムの広がりに積極的に追従していく必要がある。
ガートナーが掲げるセキュリティのビジョンがトラスト&レジリエンス(復元力)だ。セキュリティ被害を未然に防止することは難しいので、被害が発生するという前提に立ち、いかに早く被害のインシデントを検知してこれを復旧するか、という復元力が問われるというわけだ。
このビジョンの下、IT部門のセキュリティ担当者に求められる原則が、リスクベース、ビジネス成果、ファシリテーター、検知と対応、人中心、データフローの六つとなる。そして、これらを支える具体的なアーキテクチャが、ガートナーが「Adaptive Security」(アダプティブセキュリティ)と呼ぶフレームワークだ。
Adaptive Securityでは、セキュリティのインシデントに対して、Predict(予測)、Prevent(予防)、Detect(検出)、Respond(対応)の四つのプロセスを回して対処する。これを日本の城に例えると、縄張(予測)、石垣(予防)、天守閣(検出)、武者走(対応)になる。
リスクを予見して城をデザインするのが縄張だ。次に、セキュリティ侵害から城を守るため、さまざまな技術を使って石垣を作る。石垣をすり抜けてくる攻撃については、天守閣というSOC(Security Operation Center)で検出する。検出した攻撃に対して連絡などの対応に奔走するために武者走がある。
Adaptive Securityはガートナーの造語で、臨機応変に対処するセキュリティ、という意味になる。ビジョンにレジリエンスを掲げているように、完璧なセキュリティは存在しない。デジタル時代には、さらに想定外のことが起こる。こうした時のセキュリティは臨機応変でなければならない。
事業のスピード感に対し、臨機応変にリスクを見極める
Adaptive Securityの四つのプロセス(予測、予防、検出、対応)は、どのようなシステムが対象であっても共通であり、デジタル時代へと移行しても重要であり続ける。
ただし、今後はスピード感が変わる。まず、「1カ月の短期間で事業を開始する」といったように、事業プロジェクトのスピード感が増す。さらに、自動化や分析などの技術を用いて四つのプロセスを自動で回せるようになる。
事業のスピード感が変わるときに、セキュリティ担当者が認識しておかなければならないコンセプトがAdaptive Everywhereだ。「どこでも、素早く、柔軟に」対応することが求められている。では、具体的にどうすればいいのか。
