最近の日本で「セキュリティ・ビジネス」といえば,その焦点はコンピュータ・ネットワークにおける(1)クラッキング防衛や(2)ウイルス対策といった,技術的な側面に当てられている。その一方,昨今の米国におけるセキュリティ・ビジネスのトレンドを見ると,技術だけでなく,企業のボトム・レベルからトップ・レベルまでを網羅した,幅広い項目に焦点を当て始めた。例えば,以下のような項目に焦点を当てている。
- 企業あるいは組織に所属する人員
- 部署や事業部といったビジネス・ユニット
- ビジネス・トランザクション
- 災害などの緊急事態時の対応
- コンピュータやネットワーク機器
このトレンドは,「技術先行型セキュリティ対策の氾濫(はんらん)」という,ちょうど今の日本と同じ状態が継続した結果だと,筆者は考えている。
米国では,1,2年前から技術的なセキュリティ・ソリューション・ビジネスが安定期を迎え,着実に企業内に浸透していった。しかし,大部分のアプローチは,現場の問題を解決するための,ボトム・アップ的な技術的対策であった。そのため,本来であれば技術的な対策と,二人三脚で整備されなければならない規則面での対策が相対的に軽くなり,バランスが偏ってしまった。その結果として,「技術(ソフトウエア)に引きずられてしまう組織」が出来上がってしまったのである(図1[拡大表示],図2[拡大表示])。
|
|
図1 バランスの取れた組織 各要素に対して,バランスのとれた相互作用がある。 |
|
|
図2 技術主導の組織 技術面に組織全体がイニシアチブを取られ,関係がストレス化している。 |
米国ではこの失敗を基に,組織のビジネス・プランを大項目と小項目に分類して,情報の洗い出しやリスク分析を行なう,コンサルティング・サービスが始まった。
リスク分析の過程では,各項目に対するリスクを洗い出すために,組織内で採用されているビジネス・フローを詳細に調べる。その過程で,実際のビジネスには必要がなく,リスクだけをもたらすフローを見つけ出すことができる。そういったフローを省くことで,リスクの回避に加えて,ビジネス全体のフローをシェイプ・アップし,最適化することも可能となった。組織のセキュリティだけではなく,ビジネス効率を高めることもできるのだ。
リスク分析の結果を組織に反映するには,セキュリティ・ポリシーの作成と,その運用のための膨大なマンパワーおよびコストが大きな問題である。しかし,そういった問題を解消する技術的なアプローチが既に開発されている。詳細は割愛するが,例えばカナダのIntellitactics社では,情報管理部分を電子化して,セキュリティ運用の支援をする「NSM」というソフトウエアが開発されている。
現在,日本でもセキュリティ・ポリシーが大きなコストをかけて作成されている。しかし,そのほとんどのポリシーは,実際に運用され始めると,拘束する規則が多いために,企業活動を縮小してしまう危険性があると,筆者は考えている。
こういった,ビジネスに逆効果なポリシーができてしまう理由は,現在作成されているほとんどのポリシーが,機器や人員などのリソース管理に主眼を置き,「末端を規則で縛って」いるからである。末端要素を動かすための,ビジネス・フローのような上位のレベルを同時にコントロールし、トップ・レベルとダウン・レベルのセキュリティ・バランスを相互に取り合うポリシーがあって初めて,「人間」,「規則」,「技術」が三位一体となれる環境を作れるのである。日本でも,米国同様,ビジネス・フローまで取り込んだセキュリティ・ポリシーが必要だ。
今後も米国だけではなく,各国のセキュリティ動向に目を配り,興味深いトピックがあれば紹介していきたい。
■関連URL:NSM製品(Intellitactics社)
田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
