EMCジャパンRSA事業本部は11月15日、米RSAのプレジデントを務めるロヒット・ガイ氏によるプレス向けのラウンドテーブルを開催した。同氏は、「デジタル時代のリスク管理」というテーマの下、説明を行った。

  • 米RSA プレジデント ロヒット・ガイ氏

デジタルトランスフォーメーションによって高まるリスク

ガイ氏は、「デジタルトランスフォーメーションはビジネスチャンスとリスクをもたらす」としたうえで、「これまでITはタスクをこなすことに特化していた。しかし、デジタル技術が利用されている今、コグニティブなものをこなすことがITの役目となっている。また、ITはプロセスそのものであり、人や商品を変える力を持っている」と、ITに新たな要素が生まれていると説明した。

また、デジタルトランスフォーメーションを実現するために変える必要があるものとして、「デジタル」「IT」「労働力」「セキュリティ」を挙げた。ガイ氏は「デジタルトランスフォーメーションが進むにつれ、デジタルリスクは企業が直面する最大のリスクになる」と指摘した。

例えば、鉱業を営む企業であれば、これまではドライバーの安全性の確保に努めていればよかったが、自動車にITが組み込まれるようになってきていることから、そのハッキングを防ぐための対策をとる必要が生じている。さらに、ガイ氏は「日本は2020年にオリンピック開催を控えているが、ドローンやロジスティックなどさまざまなシーンでITの活用が見込まれており、脅威にさらされている」と、日本が世界のどの国よりもリスクが高まっていると説明した。

デジタルリスクの管理が難しい3つの理由

しかし、ガイ氏は「デジタルリスクを管理することは難しい。その理由は3つある」と語った。

1つ目の理由は、IoTやAIなど新たなアーキテクチャや技術が登場したことで、新たなリスクも生まれていることだ。2つ目の理由は、洗練された技術を持ち、執拗な攻撃を行う攻撃者が増えていることだ。3つ目の理由は、個人情報の保護など、企業・組織が守るべき規制が増えていることだ。

こうした中、デジタルリスクへの対策を講じるには、3つのステップに従って、経営層にデジタルリスクについて報告する必要があるという。1つ目のステップは「可視性」で、システムのエンド・ツー・エンドにわたる可視性を得ることだ。ガイ氏は「これまでのようにネットワークの一部の状況を可視化するだけではいけない」と述べた。2つ目のステップは「インサイト」で、機械学習を活用してインサイト(重要なデータ)を得ることだ。3つ目のステップは「アクション」で、マシンを活用してレスポンスの自動化を図ることだ。

  • 経営層にデジタルリスクを報告する際の3つのステップ

RSAは、デジタルリスクの成熟度を「サイロ」「管理」「最適化」の3つの段階に分けてベースラインを作っており、これをベースに方針を定めるとよいという。

  • RSAが定めるデジタルリスクの成熟度

ビジネスドリブン・セキュリティで効果的な対策を

RSAではこれら「可視性」「インサイト」「アクション」を提供するためのアプローチとして、「ビジネスドリブン・セキュリティ」を推進している。ビジネスドリブン・セキュリティというアプローチをセキュリティチームに適用することで、ビジネスのコンテキストに従って対策を講じることが可能になり、セキュリティチームのパワーを絞り込めるようになるという。

「ビジネスドリブン・セキュリティ」を具現化するため、「セキュリティオペレーション」「リスクマネジメント」「ユーザーアクセス」という3つのドメインに分けて、ソリューションが提供されている。

ガイ氏は「守る側よりも攻撃する側のほうが人数も多く、すぐれた技術も持っている」と話す。ましてや、最近は国が攻撃者を支援する大規模な攻撃も増えている。そうした中、同氏は「リスクを避けることは進化をあきらめることになる。そこで、リスクをうまく管理することで、ビジネスの機会をつかんでいくことが大切」と語っていた。