6月15日、セキュリティ対策企業McAfeeのChief Security Officer(CSO)のMartin Carmichael博士が来日し、プレス向けにエンタープライズセキュリティに関する最新動向を紹介した。

博士はCSOという役職上、同社の製品やソリューションのプロモーションではなく、あくまでも同社内で同社の製品や技術を利用しつつ、同社のセキュリティの維持に責任を負う立場であり、その視点から企業におけるセキュリティ・リスク管理のあり方について語った。

McAfeeのCSOであるDr. Martin Carmichael

博士がまず強調したのは、「セキュリティは製品ではなくプロセスである」ということだ。セキュリティ製品を扱うベンダーのエグゼクティブとしては刺激的な発言でもあるが、博士はさらに「どの企業の製品をもってしても、あらゆるセキュリティリスクに完全に対処するということは不可能だ」という。つまり、どの製品を使うかということよりも、どのようなプロセスでセキュリティ製品/テクノロジーを運用するかのほうがより重要だという認識で、これはCSOとしての正直な見解であろう。

続いて博士は、セキュリティ・リスク管理の手法を5つのステップに分解して紹介した。

  1. セキュリティリスク管理の理解
  2. 技術的にリスクを特定
  3. 技術的にリピート可能なリスク管理プロセスを実現
  4. セキュリティリスクの質的・量的評価
  5. 継続的なセキュリティリスク管理

の5つのステップである。

中でも、博士が力点を置いて説明したのがセキュリティ・リスクの定量化の重要性だ。博士は「多くの企業では、CSOは自分の仕事の価値を経営陣に分かるようなかたちで明確化できていない」という。経営陣に分かるかたちの明確化とは、要はROI(Return on Investment: 投資対効果)ということだ。経営者が判断の基準とする「投資に見合う成果が得られているのか」を数値で示すことがセキュリティ維持活動の意味や効果を明確化し、「セキュリティ維持の努力をどのようにしてビジネスの成果に結びつけるか」という課題に対する回答を示すことにもなる。

しかしながら、従来セキュリティに従事してきたスタッフは経営陣に対してもセキュリティをテクノロジーの視点から語っているため、調査によれば今後数年でCISO(Chief Information/Security Officer)の15%が失職するという予測も出されているのだという。

博士はこの問題について、「セキュリティ担当者と経営陣は、従来は敵対的な関係にあったが、これからはパートナーとして共に歩む必要がある。そのためにはセキュリティ担当者はビジネスでのコミュニケーション手法として"数字に基づくリスク管理"を導入しなくてはならない」という。

リスクを定量化し、数値で評価するためのツールとなるのが、同社のePO(ePolicy Orchestrator)やToPS(Total Protection Solution)といった製品である。これらのツールは博士によれば「McAfeeの宝」であり、IT環境を監査してセキュリティリスクに関する詳細なレポートを得ることができるものだ。ただし、このレポートはビジネス視点のものではないため、さらにこれを"McAfee Metrics"によってリスク指標として数値化して示すことで、ビジネス視点で通用する数値化された評価尺度が得られるという。この尺度に基づいて、セキュリティレベルを必要なレベルに引き上げるために要するコストがどのくらいか、といった検討が可能になる。

この「セキュリティリスクの定量化」という考え方は、正直簡単に実現できるようには思えないアイデアだ。来場者からもその点について質問が出たが、博士は大まかな考え方として、「生命保険会社が作っているのと同じようなリスクに関するデータベースを作っており、これに基づいてリスクの影響を予測する」と回答した。

そこで、さらに「生命保険とは異なり、セキュリティリスクは新たな脅威や脆弱性が見つかるたびに大きく変動してしまい、安定した指標にはなり得ないのでは」と訊ねてみた。博士の回答の骨子は、最新の脅威の影響を厳密に把握できなくても実用的な指標となりうる、というものだ。確かに新しい攻撃手法や脆弱性が次々出現しているのだが、大きな被害を出しているのは実は古くからよく知られた攻撃手法だったりする。つまり、古い既知のリスクにさえ、まだ充分な対応が行なわれているとは言い難いのが現状であり、まずこの部分に適切に対処するだけで大きな意味がある、という。

博士は暗号化技術を例にとって、「攻撃者にとっては暗号を破ることは技術的に可能であっても手間が掛かるので、どうせなら暗号化されていない部分を狙ってくる。そのため、既に暗号化されている部分をより強力な暗号化手法に置き換えるより、まだ暗号化されていない部分を暗号化するほうが、より投資対効果の大きな対策となりうる」という。こうした考え方に基づき、ビジネス視点でのリスク管理の効果測定手法を導入することで確実な改善を実現していくというのが博士の考えであり、ひいてはMcAfeeの戦略であると理解して良さそうだ。

定量化という手法は、ビジネスの現場では一般に広く利用されているものだ。たとえば、BI(Business Intelligence)分野でのバランス・スコアカードではKPI(Key Performance Indicator)という概念が当たり前のように持ち出される。これは企業の業績評価のための指標となるデータのことだが、実は公式化されたものがあるわけではなく、各企業が自社の状況に応じて適切な指標を判断している。さらに、どのような指標に基づいて判断すればより適切な意志決定を下せるのかをアドバイスするのがコンサルタントの重要な役割だったりする。企業の業績や社員の貢献度など、簡単には数値化できないような複雑な問題も、なんとか妥当なレベルで近似できるような指標を考え出すことでビジネスが動いているのが実態である。

博士は、セキュリティ・リスクに関しても事情は同様であり、難しいからやらない、という考え方を明確に否定、「ビジネスの現場で定量化のためのツールとして広くExcelが使われているが、セキュリティ分野でExcelに相当するツールはこれまでなかった」という。

この分野に同社が積極的に取り組み、洗練された定量化手法を確立するという決意表明と受け止めたい。

セキュリティ・リスク指標