企業にとってセキュリティをどのように構築し、現場に落とし込んでいくのかは、重要なビジネス戦略の1つである。特に複数の事業を展開したり、M&Aで他社を買収したり、グローバルにビジネスを展開したりしている企業にとってはなおさらだ。各拠点や各ビジネスのセキュリティを個別に運用するのか、それとも統合するのかといった重要な選択を企業は常に迫られている。
9月27日、28日に開催された「TECH+ セキュリティ2022」に米Amazon.com Amazon MENA 情報セキュリティマネージャーのアラジン・ダンディス(Aladdin Dandis)氏が登壇。組織におけるセキュリティ戦略の考え方について語った。
-
米Amazon.com Amazon MENA 情報セキュリティマネージャーのアラジン・ダンディス氏
セキュリティ戦略の構築で考えるべき6項目
ダンディス氏はまず、戦略レベルにおけるセキュリティの考え方について説明した。
「通常、セキュリティ戦略は、企業のビジネス戦略に応じて構築されます。もちろん、日々変化するリスクトレンドも考慮しなければなりませんし、最近発生したインシデントや今後発生の可能性があるリスクも見据えるべきでしょう」(ダンディス氏)
こうして構築されたセキュリティ戦略は、さらに細かいプログラムやプロジェクトへと分解され、細部の詳細が詰められていく。やがて、セキュリティは日常業務に溶け込み、以後は現場で運用されるようになる。
ダンディス氏によると、こうしたセキュリティ戦略を支えるガバナンス組織は1つだけとは限らないという。小規模な組織であればセキュリティマネージャーは一人で十分かもしれないが、大企業の場合はセキュリティ諮問委員会やセキュリティ運営委員会、SOC(Security Operation Center)など複数のガバナンス組織が存在することも多く、1人のセキュリティ管理者がセキュリティ領域の全ての面倒を見ることはない。また、拠点や事業が分散している場合も複数のセキュリティマネージャーが必要になるだろう。
