第1回の対談では、情報セキュリティに対する意識や制度、取組みを組織内に浸透させていくセキュリティガバナンスと、それを支えるテクノロジーの両輪での対策の必要性について議論しました。
第2回では、組織に求められるセキュリティガバナンスの取組みについて、KPMGコンサルティング株式会社(以下、KPMG)のアソシエイトパートナー 稲村 大介とパロアルトネットワークス株式会社の染谷 征良氏の対談を通して解説します。
組織におけるセキュリティガバナンス
Q:組織がセキュリティガバナンスを考える時、最も意識すべきポイントは何でしょうか。
染谷氏:「説明責任」が1つのキーワードになると思います。たとえばインシデント発生時、「そんなこともしていなかったのか?」との謗りを受けず、「我々は、こういう考え方の基にこういう対策をやっていた。にもかかわらず残念ながらこのような高度な攻撃によって被害を受けた」というトーンでステークホルダーに対して説明できるというのが理想的な振る舞いです。それに見合うだけのセキュリティ対策をやっていないと、このような説明責任は果たせません。
各国の個人情報保護法制は厳罰化に向かっていますが、制裁の対象となるケースをよく見ると、漏洩そのものではなく、収集の目的の明確化とオプトイン取得の正当性、取るべき対策の実施状況といった義務履行の有無に焦点が当てられています。この点は見逃してはなりません。
今日、企業は、自社を取り巻くステークホルダーに対して十分な説明責任が果たせなければビジネスを推進することはできないし、投資も受けられません。説明責任を果たすための取組みは不可欠で、サイバーセキュリティ対策もその一環です。また、サイバーセキュリティを担う人材の活かし方も説明責任の一環として重要になります。
稲村:経営がどこまでリーダーシップを取れるか、ということになるかと思います。セキュリティ対策の話になるとどうしても技術的な話題が先行し、情報システム部門にのみ責任があるように捉えられがちですが、経営をトップとした全社的な取組みであることを正しく認識し、行動することがまず重要です。
セキュリティ対策を進める上での組織作り、計画作り、ルール作り、教育・訓練の実施、技術対策の導入、外部との連携等々の活動について、経営が率先してその後押しをするとともに、変化する社内外の状況を踏まえて、柔軟に計画変更やリソース投入を調整していくような、タイムリーな対応が重要になります。組織によって計画変更はネガティブに捉えられがちですが、特にセキュリティを取り巻く環境は変化が激しいので、年初に立てた計画どおりに走り切ることが正しい姿とも言えません。
Q:セキュリティガバナンスにおいて、経営サイドと現場サイド、それぞれどのような役割を果たせばいいのでしょうか。
染谷氏:ビジネスを推進する経営層は、まず事業を取り巻くリスクを把握し、その上で必要なセキュリティの投資を後押しすることが重要です。理想的には、IT投資などの設備投資にセキュリティがセットで含まれることです。
セキュリティソリューションの細かい機能を理解する必要はありません。「会社の事業を動かしていくためにセキュリティが必要」という認識のもと、現場を含めて全社的にその必要性を正しく伝える。現場から上がってきた具体案に対して、「これは本当に何で必要なのか?」「何に有効なのか?」「どのように効果があるのか?」 と繰り返し質問し、合理性があるものにはその具体化に向けてサポートする姿勢が必要です。
稲村:経営層は、自社の経営計画に基づき、その遂行を阻害する可能性のあるセキュリティリスクを正しく認識し、全社としての対策方針を打ち出し、現場への指示、状況把握など、セキュリティガバナンスを強めていくのが役割です。
一方で現場サイドは、対策方針に基づき施策を進めていきますが、経営計画に対するセキュリティリスク、またその対策など、常に全体の関連性を踏まえて実施、報告し、今どこにいるのか、対策の現在地を経営と現場で、しっかりと共有する意識を持つことが重要です。ただ、現場サイドでのセキュリティ人材は不足しており、なかなかこうした取組みが実現できていないのが現状です。
求められるセキュリティ人材像
Q:現場サイドで今求められている、セキュリティ人材像をお聞かせください。
染谷氏:会社のことを考え、自分がどういう視点で考えて動くべきか、問題が起きた時に必要な議論をすべきステークホルダーは誰なのか、押さえるべきポイントは何か、想像できるような人材は取組みを進める上で欠かせません。技術力の高い人材はもちろん対策上不可欠ですが、組織としてセキュリティを進める上ではセキュリティ側とビジネス側との相互理解を進められる人材は今後ますます重要視されるでしょう。
難しいのは、そういう人材が評価される仕組みがない企業も多いことです。ITインフラやセキュリティは特に、「問題ゼロ」 が平時であり、何か起これば減点方式で評価されます。これではイノベーションやITインフラの刷新、セキュリティの全体最適化といった挑戦やあるべき姿の追求をする動機付けは困難と考えられます。
稲村:今、組織に最も必要なのは、セキュリティ対策全体をコーディネートできる人材です。セキュリティ対策は組織体制、人的リソース、社内規程、外部環境、既存対策、予算など、さまざまな要素を踏まえて考えていかなければなりません。現状を正しく認識し、セキュリティ対策の全体像を描き、対策項目に優先度を付け、全体の整合性を見ながらその遂行をマネジメントする、こうした全体感を持った人材が極めて重要です。
Q:そうしたセキュリティ人材は簡単には得られないと思いますが、そのような状況でどのような対応が考えられるでしょうか。
染谷氏:人材不足については、「人を中心にしたセキュリティ運用」という考え方は現実的ではなくなってきています。たとえば従業員がフィッシングメールのリンクを踏んだ、あるいはマルウェアに感染した、というさまざまなシナリオはある程度定型化できるので、自動化を通じて徹底的にテクノロジーに任せられるようになってきました。
それを受けて、スキルのある優秀なセキュリティ人材は、彼らの能力を最大限に発揮できるような業務、たとえば、組織内部のセキュリティインシデントの対応、スレットハンティングのようなプロアクティブな取組み、ビジネスにマッチするセキュリティ実装の推進、などの業務に専従させる、といった人材活用の仕方を再定義していく発想の転換は喫緊の課題だと思います。
稲村:セキュリティ対策に関するすべての機能を社内に持つことは現実的ではありませんから、何を社内に持ち、何を社外に切り出すのかを最初に明確にすることが重要です。セキュリティ対策全体のコーディネート等は、最初は外部の専門家に支援を依頼することも多いでしょう。
また、社内に持つ機能のうち、運用面に関しては、自動化していくことも重要なポイントになってきます。これまでも、UEBA(User Entity Behavior Analytics)やSOAR(Security Orchestration, Automation and Response)等のツールはありましたが、ご承知のとおり最近ではAIの進化も目覚ましく、これをセキュリティ運用に適用する試みもなされています。社外のリソースやこうしたツールを適切に活用することが不可欠です。
変化する顧客の要望
Q:こうした状況のなかで、パロアルトネットワークス社はセキュリティ製品のメーカーの立場として、KPMGはセキュリティコンサルタントの立場として、顧客から要望は変化してきていますでしょうか。
染谷氏:数十のベンダーから製品を調達して導入・運用するなかで、セキュリティ対策全体として見た時に、本来の在るべき姿から乖離してしまっていることにお客様が気づき、これまでの、個別最適なセキュリティ対策に問題認識を持つお客様が増えているように感じています。
そうしたなかで、「セキュリティプラットフォーム」と呼ばれるような、必要な機能セットを1つに統合したソリューションに対する注目が高まっています。以前はこうしたソリューションは「ベンダーの囲い込み」と見られていましたが、セキュリティ対策全体としての統制を効かせるとともに、機能の重複なくコスト最適を図れるため、現在では積極的に検討されています。
稲村:我々がお客様へのご支援の1つとして実施しているセキュリティ対策の現状評価ですが、これまではさまざまなセキュリティ基準やガイドラインへの対応について、その十分性を評価し、その結果に対して個別対策を検討していく、という内容が中心でしたが、最近は、抜本的なセキュリティ対策の見直しを前提とした評価のご依頼を多くいただいています。
こうした内容の場合、お客様の現状のIT利用環境やセキュリティ対策だけを見ればよいというものではなく、お客様が今後、ITをどのように活用していきたいのか、社員にどのように働いてもらいたいのか、社外とどのように協働していくのかなど、その企業の将来像に関する認識を合わせ、そこに向けたセキュリティ対策の全体像を描いていく必要があります。
非常に範囲も広く、企業内のさまざまな部署を巻き込んだ検討になりますが、この過程でセキュリティ意識が徐々に組織内に浸透していくことも感じています。これは、企業にとっての働きやすさとセットでセキュリティの話をする形になりますから、各部署にも前向きに捉えていただけているのだと思います。いずれにしても、本来のセキュリティ検討の在るべき姿が、最近増えてきていることを感じます。
(第3回に続く)