従来のサービスや製品の提供方法を抜本的に変革する可能性を秘める、デジタルビジネス環境。この新たなフィールドに期待を寄せている企業は多いことだろう。ただし、こうしたイノベーションにはリスクが伴うことを常に意識しなければならない。IT、OT、IoTの統合が進むことで、リスク・セキュリティリーダーにはかつてない難題が突きつけられているのである。

7月11日~13日までの3日間にわたって東京・品川で開催された「ガートナー セキュリティ&リスク・マネジメント サミット 2016」のオープニング基調講演では、ガートナー リサーチ マネージング バイス プレジデント エリック・ポーラック氏と、同社リサーチ リサーチ ディレクター ロブ・マクミラン氏、同社バイス プレジデント兼 ガートナー フェロー トム・ショルツ氏の3氏が登壇。ビジネス変化のスピードに合わせて信頼とレジリエンスを築く」と題し、実証済みのプラクティスと戦略を紹介しつつ、リスク・セキュリティリーダーが一貫してデジタルビジネスを支え、費用対効果の高いセキュリティ対策の牽引役になるためのアプローチが示された。

目指すべきは100%のリスク解決ではなく「レジリエンス」の確立

ガートナー リサーチ マネージング バイス プレジデント エリック・ポーラック氏

ガートナー リサーチ マネージング バイス プレジデント エリック・ポーラック氏

ガートナーでは、2020年までに、デジタルビジネス全体の60%がサービスに支障を来たすと予測している。その原因は、セキュリティチームによるリスク対応が十分ではないことだ。

こうした予測を前に、ポーラック氏は「もし自社ではデジタルビジネスを始めなかったとしても、パートナー企業が始めていれば巻き込まれるかもしれません。支払いシステムのハッキングによってお金を盗まれたり、位置情報が盗まれて誰かに追われたりといったリスクは依然として残るでしょう」と説く。

それならば、デジタルビジネスのセキュリティはどう確保すればよいのか。「まず大事なのは、100%のリスクの解決は目指すべきではないこと」だとポーラック氏は語る。セキュリティの脅威は猛スピードで変化しているため、100%防ぐのは不可能だからだ。

「これからのリスク・セキュリティリーダーが目指すべきなのは、レジリエンス(耐久性・復元力)をいかに確立するかです」(ポーラック氏)

つまり、攻撃を防ぐことを考えるだけでなく、攻撃を受けた後、いかにすばやく対応・復旧するかということだ。氏は、企業がこれを実現するレジリエントな組織へと変わる上で最も重要なのは「リスクの検知対応力強化のために、積極的な追加投資を行うこと」だと強調した。

セキュリティ・チームは、リスクを試算して経営陣に示すべし

ガートナー リサーチ リサーチ ディレクター ロブ・マクミラン氏

ガートナー リサーチ リサーチ ディレクター ロブ・マクミラン氏

続いてマクミラン氏が、これまでの実例から得られたリスク検証のノウハウについて解説を行った。

「セキュリティチームは、脅威をコントロールすることはできません。しかし、脅威の結果であるリスクを試算することは可能です。セキュリティチームは、発見したリスクの概要と、そのリスクが事業目標にどのように影響するのかについて、しっかりと経営陣に示す必要があります。経営陣からの賛同を得たいのであれば、彼らの土俵の上で勝負をすべきなのです」(マクミラン氏)

ここで求められるのが、リスクについて、なるべくシンプルに考えるということである。例えば、自社のアプリケーションが会社の評判に悪影響を与えたらどうなるのかや、顧客のデータが漏洩してしまったらどうなるのかなどを想像し、どういったリスクが企業レベルの影響を与えるものになり得るのかを検証するということだ。セキュリティベンダーのFireEyeが示したデータによると、ハッカーは感染したシステムに平均205日間も滞在していたという。

「最も重要なリスクが、自社組織にどれぐらいの影響を与えるかといった観点で話をしなければなりません。法律的な話をする中で、デジタルビジネスに対応するモデルが示せないことにも課題があります」(マクミラン氏)

>> セキュリティに「信頼」を盛り込む必要性