RSA APJ Chief Cyber Security Advisor Leonard Kleinman氏

EMCジャパン RSA事業本部は4月19日、説明会を開催し、現在の企業にとって必要なセキュリティ対策の戦略として、「ビジネス主導型セキュリティ」を紹介した。

RSA APJ Chief Cyber Security AdvisorのLeonard Kleinman氏は、次のように、セキュリティの現場と経営層の間に横たわる"ギャップ"について説明した。

「企業のセキュリティ担当者は相当のコストと時間をかけてセキュリティ対策を行っているが、それが経営者には伝わっていない。その理由は、セキュリティ担当者と経営層の間にギャップがあるから。セキュリティ担当者は技術的な観点からセキュリティインシデントについて説明するが、経営層はセキュリティインシデントがビジネスや組織にどのような影響を与えるかについて知りたがっている」と、セキュリティの現場と経営層の間に横たわる"ギャップ"について説明した。

セキュリティの現場と経営層の間に存在するギャップ

こうしたギャップが生まれる要因は大きく分けて2つあるという。その1つが「セキュリティ対策の複雑性」だ。

Kleinman氏は従来のセキュリティ対策は「攻撃者の排除」「正当なユーザーの保護」「ビジネス/ITリスクマネジメント」に分類でき、これらが複雑性を生んでいるとして、問題点を示した。

「攻撃者の排除」を実施するために、これまでファイアウォール、IDS/IPSといったネットワークの境界を前提としたシングルポイント製品が導入されてきたが、製品間で連携がとれていないためにサイロ化が起こっているほか、可視性が限定されるなどの複雑性が生じてしまっているという。

また、「正当なユーザーの保護」を実現するため、アプリケーションやシステムごとにアイデンティティを管理する製品が導入されてきたが、ここではIDの複雑化が生まれてしまっている。

さらに「ビジネス/ITリスクマネジメント」においては、脆弱性管理とペネトレーションテストの結果がバラバラに管理されているなど、それぞれの活動の相互関係が関連付けられておらず、包括的な見解が得られないという。 Kleinman氏は「最近の攻撃者は企業内に侵入した後、長期間にわたり滞在する傾向がある。その間、攻撃対象の企業のビジネスについて学んだり、重要なデータの場所を把握したりと、リスクは高まる」として、現在、企業では脅威の検知と対応の迅速性が必要であると指摘した。

こうした課題に対応するには、セキュリティに関する戦略を立て直す必要があるとして、具体的なポイント「戦略的にビジネスリスクを管理」「セキュリティオペレーションチームの高度化」「ユーザーアクセスとユーザーの行動に関するモニタリングと信頼」「オンライン不正との対峙ビジネストランザクションを保護するためのセキュリティインテリジェンスの活用」が紹介された。

セキュリティの問題をビジネスの関連性と突き合わせることで、インシデントへの対応を迅速に行って、企業の資産や情報を保護できるという。

Kleinman氏は、以下の同社の製品を活用することで、「ビジネス主導型セキュリティ」を実践できると語った。

  • 「RSA NetWitness Suite」→ネットワーク、エンドポイント、ログのパケットを収集して可視化する
  • 「RSA SecurID Suite」→認証とアイデンティティの管理製品
  • 「RSA Archer Suite」←ガバナンス、リスク、コンプライアンス管理製品
  • 「RSA Fraud & Risk Intelligence Suite」→複数チャネルのオイライン不正行為の検出・調査を行う製品

「ビジネス主導型セキュリティ」を実現するRSAの製品群

一般に、企業においてセキュリティ対策製品を導入する際、コスト効果が見えないので難しいと言われている。しかし、同社が提唱するように、ビジネスに与える影響という観点からセキュリティ対策の導入を検討することで、経営層に対する説得が容易になるかもしれない。

大規模なセキュリティ事故が起きてしまうと、経営層の責任が問われる事態にまで発展する時代になっている。IT部門にとどまらず、企業全体として、セキュリティの戦略を考え直してみる時が来ているのかもしれない。