ウィズセキュアの目黒潮です。本連載では、セキュリティコンサルタント/ハッカーの業務について、インタビューをもとに解説していきます。→過去の「セキュリティコンサルタントのお仕事」の会はこちらを参照。
近年、CSIRT(Computer Security Incident Response Team)やSOC(Security Operation Center)と呼ばれる専任のセキュリティチームを設けている企業が増えてきています。また、ISO27001などセキュリティ関連の認証を取る企業も多くなってきました。
しかし、こうした中でもセキュリティ被害を受ける企業は多く、今後、どのようなセキュリティ対策の方針を立てるべきなのかが見えなくなっている、という話題がビジネスでも出てきています。
今回はリスク管理のエキスパートがどのように考えているのか、WithSecure シニアセキュリティマネジメントコンサルタントのJukka Savolainen(ユッカ・サヴォライネン)との対談を通じて紹介します。
経営サイドからセキュリティをトップダウンで進めるべき
--これまでの経歴、現在の職務について教えてください。
ユッカ:大学院を修了後に、とある日本企業に入社することになり日本に引っ越し、その企業の研究所でセキュリティの仕事に関わるようになりました。
その後、フィンランド系企業の日本法人、そしてフィンランド本社を経て、日欧両方の事情を見てきました。
現在はWithSecureでISO27001に関連する仕事に従事しています。企業が認証を取るための準備が整っているかを評価し、顧客と一緒に計画を立ててサポートしたりもしています。
--日本では、市場には多くのセキュリティ製品やサービスを導入してもランサムウェアなど、さまざまな攻撃で被害を受けているという事実に対して、今後はどのような方針が求められるのかが分からないという悩みがよく聞かれます。こうした事情は欧州ではどうでしょうか?
ユッカ:同じ悩みは日本に限らずグローバルで見られます。全体的な計画を持たずに単に製品やサービスを購入し始めると、コストも時間も無駄にしてしまいます。
全体での最適化が考慮されていないというのは、建物に例えると壁の一部分を修理しても、別の場所では窓が壊れていたりするのと同じことです。
そこで全体を考えることが重要になるのですが、セキュリティにおいてはアーキテクチャを定義する前に、どのような脅威があり、どのようなリスクなら許容できるのか、そしてそれ以上に、事業内容を理解する必要があります。
これはトップダウンで進めていくべき話です。事業の性質に応じたリスクを理解した上でセキュリティアーキテクチャを構築し、その条件を満たすために必要な製品/サービスを購入し始めるのです。その逆をやるとお金を無駄にしたり、セキュリティが向上しなかったりします。
--この1年間、当社が推し進めてきたアウトカムベース(企業としての成果を中心に考える)セキュリティにもつながることですね。
ユッカ:はい。ビジネスにとって何が根本的に重要なのか、何を守りたいのか、トップダウンでどうありたいのか。経営サイドからセキュリティを含めて全体像を見るということです。
日本はセキュリティに対して、経営層が本気で取り組んでいないケースも
--最近の企業はセキュリティ関連の法律や規制による外圧を受け、セキュリティ組織を作り、認証を取るようになりました。フィンランドを含む欧州では日本に先駆けてこうした変化が起きたのですが、その大きな原動力はどのようなものだったのでしょうか。
ユッカ:1つの大きな出来事がトリガーになったのではなく、いろいろなことの結果として徐々に取り組みが増え、指数関数的なカーブを描いています。
欧州の場合、セキュリティが重要であるだけではなく、経営層が実際にビジネスに直接的な影響を与えることを理解しているという傾向があります。
日本の場合、一部の企業ではセキュリティは自社にとって重要だと言いながら、経営層が本気で取り組んでいないケースもあります。
他社より優れたセキュリティ対策をしていることを示せば、新しいタイプの顧客を獲得できるかもしれない。あるいは、まったく新しいアイデアが生まれるかもしれない。そうした発想の差が、日欧での違いを生んでいるのではないでしょうか。
--なるほど。私のビジネス経験としては、セキュリティの打合せではトップセールスはあまり機能せず、現場のニーズに応じてやることが圧倒的に多いです。
ユッカ:そういう場合は、セキュリティ対策が組織の中で独立した業務なのか、それとも会社全体のリスク管理と連携・統合されているのか、という話になると日欧での差がさらに明確になります。
欧州ではセキュリティ管理は全体的なリスク管理、IT、そしてすべての業務の一部と考えるのが主流です。しかし、欧州でも10年以上前には、セキュリティ対策が独立していたため、CIO(最高情報責任者)とCISO(最高情報セキュリティ責任者)の対立もよく起こっていました。
--私たちの感覚では、日本ではそれがまだまだ日常です。CIOは低コストで社内サービスを作り出し、ビジネス機能を提供すべきと考えます。一方でCISOは、すべてが100%安全でなければならず、コストは関係ないと考えがちです。
ユッカ:そうであれば、次のステップに進むべきです。
現在、欧州ではリスク管理が共通の基盤になっていくにつれ、リスクに基づいて意思決定を行い、IT環境とセキュリティの取り決めを行うことが最善のアプローチであると双方が理解するようになり、両者の間で適切なバランスを見つけるというところまでたどり着いています。
--日本では、金融企業などの一部を除くと、こうした動きはまだ十分ではないように見受けられます。また日本の場合、不完全な情報から大まかにこれくらいのリスクがあると指摘できるような人がいないということもあります。いいアプローチはあるでしょうか?
ユッカ:多くの企業が、リスクといえば『インパクトの大きさ』と『確立』という伝統的なアプローチを使っていますが、私はこれを良いアプローチではないと考えています。
多くのケースでは、別な改善方法があります。1つは各リスクの「低、中、高」を推定して取り組む、というやり方はやめたほうがいいということです。
それよりも、確率レベルで損失額の幅を推定して、もしこの問題が実現したらどれだけ利益を損ねるかを考えるべきです。そういう算定方法のほうが経営側にリスクを説明しやすくなります。
細部に飛び込むのではなく、まず全体像を理解する
--もう1つ、日本では「規格に忠実に従い、適合証明書を受け取れば安全」といった、規格準拠の観点からセキュリティを重視する傾向が見受けられます。たとえ、侵入されたとしてもそれ以上自分たちにできることは何もなかった、という考え方です。もちろんセキュリティ認証には価値がありますが「コンプライアンスのためのセキュリティ施策を行い、それでおしまい」というアプローチについてはどう思いますか?
ユッカ:まず日本ではISO9001という品質規格が数十年前から普及しています。この規格の主なポイントは継続的な改善です。ISO27001の核となるメッセージでも、この継続的な改善・実装が重要視されています。
この点で、9001と27001の理念はまったく同じなのです。しかし、日本ではISO27001を手にしても全体像を理解することなく、個々の文章の細部に目を向け始める傾向があります。
細部に飛び込むのではなく、まず全体像を理解する。技術的な詳細を調べることに、いきなり飛びつくのは良いアプローチではありません。
--理念を実現するための反復的なステップが必要であるのに、いきなり完成を目指してチェックリストをひたすら埋めていく姿勢には問題がある、ということでしょうか。
ユッカ:そうですね。それはCISOのような役割には向かないアプローチです。何をやっているのか、なぜやっているのか、それがビジネスにおけるゴールとどう整合しているのか、総合的に理解することが重要です。
考え方は同じなので、企業はセキュリティもISO9001のような品質として取り組むべきではないでしょうか。
次回(第3回)は営業担当者の視点からのセキュリティに対するアプローチについてご紹介します。