ガートナー ジャパンは7月12日から14日、年次カンファレンス「ガートナー セキュリティ & リスク・マネジメント サミット 2017」を東京都内にて開催した。セキュリティ有識者らが参集した同カンファレンスの2日目には、ガートナー リサーチ バイス プレジデントのアール・パーキンス氏が登壇。「IoTイノベーションの成功に必要なデジタル・セキュリティ部門」と題した講演を行った。

同講演では、システムの運用、もしくは物理的な課題への対応に追われ、さらにIoTセキュリティ対策が求められる今日の情報セキュリティ部門に対し、新たなアプローチの必要性が示された。

従来の情報セキュリティ部門はもはや時代遅れ!?

「常々考えるのが、現在進む変革や変化に対して、どのような情報セキュリティ部門であれば対応できるのかということです。答えを得るのは非常に難しいですが、1つだけ明らかなのは、このままの状態ではやがて立ち行かなくなるということでしょう。なぜなら、我々が知る従来の情報セキュリティ部門というのは、もはや時代遅れであり、これから確実に必要となるスキルや人材が備わっていないからです」

――セッション冒頭、パーキンス氏はこう疑問を投げかけた。

ガートナー リサーチ バイス プレジデントのアール・パーキンス氏

こうした課題を解決するには、まず情報セキュリティ部門の現状を理解することが必要だ。ここでパーキンス氏は、Intel Security(現McAfee)が2016年に発表した、情報セキュリティ部門の現状に関する興味深い調査結果を披露した。それによると、82%の回答者が「サイバーセキュリティに関するスキルが不足している」としており、71%が「サイバーセキュリティに関するスキルの不足によって直接的で重大な損害が生じている」と答えているのである。

一方、回答者の90%はサイバーセキュリティ技術について、「スキル不足を補うのに役立つだろう」と答えている、

パーキンス氏は「つまり、スキルを調達するのは困難だと理解した上で、だからこそテクノロジーを活用してセキュリティの世界のイノベーションについていかねばと危機感を抱いているのです」と指摘する。

またもう1つの質問では、回答者の75%が「サイバーセキュリティの人材育成に十分なコストを政府機関が投じていない」と回答している。

「この数字も興味深いものです。ビジネス上のセキュリティに関して、なぜ政府が関与するのかと一瞬戸惑いますが、おそらく政府がイノベーションの奨励策を打ち出すことで、スキルを調達できるだろうという期待があるのでしょう」(パーキンス氏)

同調査によると、サイバーセキュリティに関するスキルで最も必要だとされたのが、「侵入検知」であった。この結果についてパーキンス氏は、「おそらく侵入検知ツールのメリットを十分に引き出せていないのではないでしょうか。そのため、ツールが何を伝えているのかわからないのだと思います」と見解を述べた。

また、2番目に必要なスキルは「安全なソフトウェア開発」、3番目は「攻撃の緩和」と続く。

「何らかのかたちで攻撃を止めたい、遅らせたい、最小限の損害で済ませたいという気持ちが表れており、予防には限度があるという現実が見えてきます。実際、現在の情報セキュリティにおいて、『攻撃を受けてしまったらどうするか』というのは重要なテーマです。もはや潤沢な資金のある攻撃者の攻撃に対しては、どんなにコストをかけて対策していても必ず突破されると考えてよいでしょう」(パーキンス氏)