サイバー攻撃は日々巧妙化している。2週間前に講じた対策が、今日には突破されることも珍しくない。攻撃者は常に手法を変え、一番弱い部分を攻撃してくる。

米Dell Technologies傘下の米RSAでシニアバイスプレジデント 兼 製品担当を務めるGrant Geyer氏

これに対抗するには、ビジネス部門とセキュリティ部門が”同じ言語”でセキュリティ対策をディスカッションする必要がある。今のビジネス部門とセキュリティ部門の間には、「Gap of Grief(悲惨なギャップ)」が存在する――。

こう語るのは、米Dell Technologies傘下の米RSAでシニアバイスプレジデント兼製品担当を務めるGrant Geyer氏だ。同氏は2月13日~17日の日程で開催されたセキュリティの総合コンファレンス「RSA Conference 2017」(カリフォルニア州サンフランシスコ)において、企業が抱えるセキュリティ対策の課題とその対策を説明した。

ビジネスの視点でセキュリティ対策を

今回のカンファレンスでRSAは、「Business-Driven Security(ビジネス駆動型セキュリティ)」をキーメッセージとして掲げた。サイバー攻撃をビジネスに対する攻撃として捉え、その攻撃によって、どのくらいの損害を被るのかを考えて対策を講じることが重要であると説く。

「Business-Driven Security(ビジネス駆動型セキュリティ)」が掲げられたRSAのブース

Geyer氏は、「セキュリティ対策を『プロジェクト』と捉えると失敗する」と警鐘を鳴らす。

「サイバー攻撃は継続して行われるものだ。それに対して、開始日と終了日を設定した『期間限定のプロジェクト対策』では対応できない。サイバー攻撃は、金融融資市場で発生する『流動性リスク』や、取引先の障害によって二次的・三次的に被害が発生する『サプライチェーンリスク』のように、『いつ勃発するか』『その影響がいつまで続くのか』がわからないのだ」(同氏)

こうしたリスクに対応するためにGeyer氏は、以下の4つのポイントを抑えた対策が必要だと訴える。

  1. 可視化
  2. 迅速な分析
  3. ビジネスコンテキストを理解したセキュリティ対策の優先付け
  4. セキュリティ・オーケストレーションの構築