「バイモーダルIT」は、ガートナーが提唱するシステムの構築・運用アプローチだ。事業運営と事業変革を視野に入れた同アプローチでは、どのようなセキュリティ・リスクマネジメント戦略が求められるのか。
7月12日~14日に行われた「ガートナー セキュリティ&リスク・マネジメントサミット」において、ガートナー リサーチ リサーチディレクター ジョン・A・ホイーラー氏が講演した「バイモーダルな企業に合わせたセキュリティ/リスク管理の実装」の内容から、日本企業のセキュリティ担当者が学ぶべき教訓をお届けする。
デジタルビジネスの成功企業が抱えた「セキュリティの脅威」
まず、ホイーラー氏はデジタルビジネスの成功例としてドイツのオンライン専業銀行であるN26を紹介した。N26のターゲット顧客であるミレニアル世代は、店舗に行かずにモバイルデバイスでの銀行取引を好む。そのため同行では、モバイルデバイスから約8分間で銀行口座を開設できるという。
ガートナー リサーチ リサーチディレクター ジョン・A・ホイーラー氏 |
設立から2年で急成長を遂げたが、アジャイル開発などを駆使することでソフトウェアをあまりにも早く開発できたが故に、反復的なアジャイル開発のプロセスのなかでリスクも取り込んでしまい、大きなセキュリティの脅威に直面することになった。
例えば、Siriによる自動化されたトランザクションの不正使用や、(脆弱な口座振替を通じた)口座乗っ取りに対し、脆弱性があるといった具合だ。
ホイーラー氏は、この事例から学べることとして、以下の4つの教訓を挙げた。
教訓1:CISO(Chief Information Security Officer)はバイモーダルITが見えていない
教訓2:バイモーダルのガバナンスには3つの柱が重要である
教訓3:セキュリティ推進者からなるチームを構築する必要がある
教訓4:デジタルビジネスアプリケーションにはセキュリティバイデザインが必要である
以降では、各教訓に対する氏の解説を順に紹介していこう。
教訓1:CISOはバイモーダルITが見えていない
デジタル時代には、事業運営に注力する「モード1」と事業変革に注力する「モード2」という2つのITを、それぞれの特性に合わせた方法で開発・運用する必要がある。現在、CISOはこのバイモーダルITへどのように関与しているのか。
この点について、ホイーラー氏は、CIOを対象にした調査結果を引用し、「43%の企業がバイモーダルITをもう実装しており、そのうち68%が成果を上げている」と説明する。それにもかかわらず、2016年のバイモーダルITに関する問合せの3,000件中、セキュリティリーダーからのものはわずか1%だったという。
この結果から、ホイーラー氏は「CISOはモード1しか見ておらず、事業部側が推進しているモード2には関与していない」と見ている。
デジタルビジネスでは、セキュリティやリスクマネジメントにもアジリティは必須だが、問題はセキュリティやリスクマネジメント担当者が免疫システムのように新しいものを拒絶しようとすることだ。モード2への理解と適応不足は、新しい製品やサービスの成果に影響を及ぼしかねない。ホイーラー氏は、「CISOはコントロールとコンプライアンスではなく、リスクにフォーカスする必要があります」とモード2のプロジェクトに関与する際の要点を述べた。