企業にとってセキュリティをどのように構築し、現場に落とし込んでいくのかは、重要なビジネス戦略の1つである。特に複数の事業を展開したり、M&Aで他社を買収したり、グローバルにビジネスを展開したりしている企業にとってはなおさらだ。各拠点や各ビジネスのセキュリティを個別に運用するのか、それとも統合するのかといった重要な選択を企業は常に迫られている。

9月27日、28日に開催された「TECH+ セキュリティ2022」に米Amazon.com Amazon MENA 情報セキュリティマネージャーのアラジン・ダンディス(Aladdin Dandis)氏が登壇。組織におけるセキュリティ戦略の考え方について語った。

  • 米Amazon.com Amazon MENA 情報セキュリティマネージャーのアラジン・ダンディス氏

セキュリティ戦略の構築で考えるべき6項目

ダンディス氏はまず、戦略レベルにおけるセキュリティの考え方について説明した。

「通常、セキュリティ戦略は、企業のビジネス戦略に応じて構築されます。もちろん、日々変化するリスクトレンドも考慮しなければなりませんし、最近発生したインシデントや今後発生の可能性があるリスクも見据えるべきでしょう」(ダンディス氏)

こうして構築されたセキュリティ戦略は、さらに細かいプログラムやプロジェクトへと分解され、細部の詳細が詰められていく。やがて、セキュリティは日常業務に溶け込み、以後は現場で運用されるようになる。

ダンディス氏によると、こうしたセキュリティ戦略を支えるガバナンス組織は1つだけとは限らないという。小規模な組織であればセキュリティマネージャーは一人で十分かもしれないが、大企業の場合はセキュリティ諮問委員会やセキュリティ運営委員会、SOC(Security Operation Center)など複数のガバナンス組織が存在することも多く、1人のセキュリティ管理者がセキュリティ領域の全ての面倒を見ることはない。また、拠点や事業が分散している場合も複数のセキュリティマネージャーが必要になるだろう。

セキュリティ戦略とガバナンス組織を構築する上で重要になるのが、いくつかの問いを立てることだと、同氏はアドバイスする。具体的には、次の6つの点を明らかにしなければならないという。

  • 「誰が責任者を務めるのか」
  • 「セキュリティ戦略を構築する背景にはどんな課題があるのか」
  • 「なぜセキュリティ戦略を構築するのか」
  • 「セキュリティ戦略を実現するためにどう行動し、管理するのか」
  • 「セキュリティ戦略はどの範囲に適用され、責任を負うのか」
  • 「このセキュリティ戦略は恒久的なものか、一時的なものか」

軽視されがちなセキュリティ投資

ダンディス氏はまた、「セキュリティ投資」の重要性についても強調する。

「セキュリティは組織内で過小評価される傾向があります。その理由は、実際の危機に直面しない限り、セキュリティの重要性やセキュリティ投資の必要性を理解してもらえないからです」(ダンディス氏)

もちろん、重大なセキュリティ事故などは起きない方がいいし、実際に起きる確率も高くはないかもしれない。運が良ければセキュリティに投資しなくても“何とかなって”しまう。だからこそ多くの企業はインシデントが起きない状態を「当たり前」だと認識し、セキュリティ投資に力を入れなくなってしまうのだ。

この点はセキュリティ戦略を構築する上での大きな課題である。

なお、同氏によると、セキュリティ投資には2種類あるという。1つ目はエンドポイントセキュリティや暗号化関連など、組織の根幹を成すセキュリティだ。こちらは分かりやすいため、投資の中でもよりコアな部分として重視される。

2つ目はビジネスに関連するセキュリティである。常に必要というわけではないが、プロジェクトの移行やSaaSの活用といった試みを行う上で必要になる。例えば、ビジネスシステムのパッチ管理もその1つだ。

この種類のセキュリティは軽視されがちだが、「顧客にも大なり小なり影響を及ぼすため、ともすればビジネスはより大きな損害と悪評に直面するリスクがある」とダンディス氏は警告している。