これまで、ウイルス、ホームページ改ざん、個人情報漏えいなどは「起きない方がいい」という考えから、起きないための対策に専念してきました。つまり、セキュリティ対策と言えば「防ぐ」ことを念頭に置いたものでした。
多くの企業は10年以上も防ぐための対策を積み重ねてきましたが、現実にはインシデントはなくなっていません。しかも「新しい脅威には新しい対策が必要です」というセールストークとともに新しいソリューションや製品を買い込むことにつながっています。
そこで、場当たり的に積み重ねられてきたセキュリティ対策を再構築する気運が高まってきました。背景に、「本当にこれで効果があるのか?」「どこまで対策すればいいの?」という対策疲れもあるようです。セキュリティ機器に統合型や安価な製品が出てきたこともセキュリティ対策の再構築の気運を後押ししているということもあるでしょう。
クラウドの利用においては「リスクを意識しよう」「リスクと向き合おう」あるいは「トレードオフの考え方」などの考え方も出はじめました。言い換えれば「リスクを自分で考えよう」という取り組みが始まったとも言えます。
クラウドを利用するということは、他人にデータなどを預けるリスク、新しい技術を取り入れるリスクを意識せざるを得ません。その中で、これまでのセキュリティ対策も含めて再構築するべきだという考え方が出始めたのです。
このような、セキュリティ対策の再構築の際に、ぜひ取り組んでいただきたいことは、インシデントの管理です。インシデントは起きないことが一番ですが、インシデントはもはや日常的になっていると言っていいでしょう。つまり、「インシデントを起こさないように」という努力をしても「インシデントは起きてしまう」のです。これを「いや、そんなことはあってはならぬことだ。ちゃんと対策しろ。」では堂々巡りです。
インシデントは起きないように努力することはもちろんですが、起きてしまうこともある、という「事実」を受け入れる時が来たのではないでしょうか。つまり、「防御する」という対策と「管理する」という対策をバランスよく実施していく必要がある、ということなのです。
クラウドのセキュリティを語るとき、安易に「トレードオフ」という言葉が使われることが多く見受けられます。この言葉、「安いからセキュリティは少し犠牲にしてもいい」というとらえ方ではなく、「新しい技術、安価なコストを利用することによるインシデントへの覚悟と準備が必要である」という意味にとらえるべきだと考えています。
インシデントと正しく向き合うことによって、革新的な技術を低いリスクで活用することができ、ひいては企業競争力を勝ち得るのだと思います。みんなで渡れば怖くないという従来の考え方ではなく、自社でリスクを意識し、インシデントが起きたい際に最小限の被害に食い止めるという備えが必要なのです。
では、インシデントが起きた際に被害を最小限に食い止めるためにはどうすればよいのか。インシデントが起きないような努力はもちろんのこと、欠かせないのは「早く気づくこと」です。最悪のシナリオの一つが、顧客からの指摘やクレームが積み重なってから調査し、しかも被害の範囲が特定できないことです。
「正確に把握できること」も同時に求められます。具体的には、監視とログ分析ということになります。ネットワークやコンピューターの監視だけでなく、顧客からのクレームや問い合わせなどの「予兆」も含まれます。
インシデントは起きるという前提での準備ができるかどうかが、今後の新技術活用の鍵となることでしょう。
