セキュリティ担当者が注意する“ぬるぬる系UIクラウドアプリ”の安全意識：セキュリティ文化の醸成が重要

最新の報告書によれば、クラウドへのデータ移行が進む昨今、企業にとってはクラウドセキュリティの文化を醸成し、最高情報セキュリティ責任者（CISO）を採用することが重要だという。

[Jason Sparapani，TechTarget]

ブライアン・リリー氏

　セキュリティ部門のスタッフを採用する際、データセンターサービス提供事業者のEquinixで最高情報責任者（CIO）を務めるブライアン・リリー氏はまず適切なスキルを持つ人材を探し、その中から文化的に適合する人物を採用するという。

　「情報セキュリティのリーダーとして間違った人材を配置すれば、セキュリティを重視するあまり、社内の業務が急停止することになりかねない。そうなれば、セキュリティ部門は生産性を阻害する存在になり得る」と、リリー氏は語る。

併せて読みたいお勧め記事

CIO関連

• 新米CIOが120日で必ず結果を出す方法
• CIO自身が語る、CIOになれる人と、なれない人の違い
• クラウドの目的は？――CIOと業務部門幹部で意識のズレが顕在化

セキュリティ職に関する記事

• 若者のセキュリティ職離れ――考え直すべきは学生か、企業の人事担当か
• “セキュ女”育成計画始動――女子大生をもっとセキュリティ業界に

　Equinixは世界5大陸に計145のデータセンターを展開している。同社はセキュリティを重要視しているが、「Innovate or Die（技術革新を起こさなければ生き残れない）」とされる昨今のビジネス環境においては、従業員の業務をサポートし、会社の前進を促すことも重要だ。そしてEquinixをはじめ多くの企業にとって、今日それはクラウドコンピューティングの能力や柔軟性を従業員が十分に活用できるようにすることを意味する。会社のあらゆる業務にセキュリティが組み込まれていればクラウドの技術革新は進むとリリー氏は指摘する。

　「面倒なことになるのは大概、セキュリティよりもユーザーエクスペリエンスを優先し、セキュリティが二の次になっている場合だ。美しく書かれたクラウドアプリケーションから得られるユーザーエクスペリエンスとセキュリティの間には常にバランスが求められる」と同氏は語る。

　事業部門が「安価でインストールしやすく使い勝手の良いクラウドアプリケーション」を要求し、IT部門がゲートキーパー（門番）としての役割を担わされる中で、ますます多くの企業がこのバランスに留意しなければならなくなっている。非営利団体のCloud Security Alliance（CSA）とクラウドセキュリティベンダーであるSkyhigh Networksが発表した新しい報告書によれば、企業が事業構想とセキュリティ対策を両立させるためには「セキュリティ文化」が必要だという。そして多くの場合、そこには最高情報セキュリティ責任者（CISO）によるサポートが必要となる。

クラウドセキュリティ文化を醸成する

ジム・レビス氏

　CSAの共同創設者で最高経営責任者（CEO）のジム・レビス氏は次のように説明する。「IT調達はかつて経営幹部によって厳しく管理されていたが、今では個々の従業員レベルでも行われる。クラウドサービスを注文したり、モバイルデバイスでビジネスアプリケーションにアクセスしたりといったことが誰にでもできる。そうなれば、暗号化が不十分なアプリケーションや安全性に欠けるモバイルデバイスによって組織がデータ漏えいに対して脆弱になるリスクは高まる」

　このリスクを緩和するには、セキュリティ慣行を社内全体に伝達し、組織構造に組み込む必要がある。トップダウン型のリーダーシップから、人事部が新入社員向けに用意するオリエンテーションに至るまでだ。

　「地域住民による防犯活動と似たようなものだ。周りで起きていることについて皆が把握しているということは、本当に強みになる。セキュリティに対する組織全体の意識の向上にもつながる」とレビス氏は語る。

　Equinixのリリー氏は、セキュリティ文化を育てるために多層的なアプローチを採用している。クラウドサービスを保護するためのソフトウェアであるクラウドアクセスセキュリティブローカ、ID管理ツール、モバイルデバイス管理、ノートPC保護といった一連のツールもその一部だ。ただし技術と同じくらい重要なのは、適切な人材をセキュリティチームのリーダーに据えることだ。必要とされるのは、セキュリティ戦略を策定し実施することの価値をきちんと伝えることができ、アプリケーションからインフラ、ビジネス部門に至るまで、関係する全ての部門との間で関係を築けるリーダーだ。

ITのセルフサービス化でCISOの必要性が増大

　リリー氏によれば、Equinixのセキュリティにとって極めて重要なのは、CIOである同氏と、同氏に直属するCISOとの関係だという。

　「相手を監査する立場なのだからCISOはCIOとは切り離すべきという意見もある。だが私は何も隠したりしない。私はCISOに監査してほしい。見つけられることは何でも見つけてほしい。それが皆にとってプラスになる」とリリー氏は語る。

　こうした報告構造とは別に、報告書によれば、顧客関係管理（CRM）や人的資源管理（HRM）といった記録のためのシステム（SoR：Systems of Record）をクラウドに移行する企業が増える中、CISOを配置している企業の方が配置していない企業よりもデータをしっかり保護できる状況にあるという。この調査は世界各国の209人のITプロフェッショナルを対象に実施したもの。CISOを配置している企業は全体の61％を占め、そのうち54％が完全なインシデント対応計画を策定している。インシデント対応計画とは、データ漏えいが起きた際の対処法について、応急措置、広報、顧客関係など複数の側面から定めたものだ。

　CISOを配置していない企業のうち、インシデント対応計画を策定している企業はわずか19％となっている。CISOを置いていない企業にとって、セキュリティの最大の問題点は脅威データを活用する戦略に欠けているということだ。

　またこの報告書によれば、クラウドセキュリティ文化が確立している企業（この場合は、少なくともデータ損失について懸念している企業）はそうでない企業と比べ、CISOを配置している比率が高かった。データ管理の失敗や怠慢が原因で起きるデータ損失について懸念している企業の間ではCISOを配置している企業が67％を占めるのに対し、データ損失について懸念していない企業の間ではCISOを配置している企業は50％となっている。

カマル・シャー氏

　Skyhigh Networksの製品マーケティング担当上級副社長カマル・シャー氏によれば、近年、事業部門がクラウドやモバイルアプリケーションを活用できるようになる中でCISOの役割はより重要性を増しているという。

　「今や、CISOの役割はネットワークやデバイスを保護することだけではない。クラウドへのデータ移行が進むにつれ、データを保護する役割がますます重要性を増している」と同氏は指摘する。

セキュリティ専門家の人材不足

　クラウド時代のセキュリティはなかなか一人ではこなせない大仕事だ。ただし、少なくとも当面は一人でこなさざるを得ない人も中にはいそうだ。報告書によれば、CISOが今日直面している最大の難題は、多様なセキュリティソフトウェアシステムから集まるデータを分析するための適切なスキルを備えた人材を見つけることだという。実際、情報セキュリティへの投資を積極的に進める企業が増える中、セキュリティ業務をこなす能力を持つ応募者よりも求人数の方が上回っているという。

　「需要と供給の問題だ」とCSAのレビス氏は指摘する。米国の教育制度では情報セキュリティの人材が十分に育成されていないのが現状だ。レビス氏は母校であるウェスタンワシントン大学の顧問委員会に所属しており、同大のコンピュータサイエンス部門に情報セキュリティの課程が開設されたことを承知している。この課程から最初の修了生が出るのは2017年だ。「もっと大勢必要だ」と同氏は語る。そしセキュリティ職の給与も上げるべきだという。

　「両方の面で対処する必要がある」とレビス氏は語る。

　給与調査会社のPayscaleによると、高度な専門性を持った情報セキュリティ担当者の給料には大きな開きがあるが、平均ではアナリストが6万1079ドルから11万6445ドル、CISOは10万308ドルから20万2407ドルとなっている。

　Skyhigh Networksのシャー氏によれば、クラウドコンピューティングの急速な普及により、情報セキュリティのスキルに対するニーズが高まっている状況に人々はまだ対応できていない。ただし心配は無用だという。同氏は前にも同じような状況を目撃している。約5年前、ビッグデータに一気に注目が集まったときも、どうすればいいか分かっている人はほとんどいなかった。

　「米国の素晴らしいところの1つは、需要と供給のバランスに問題があれば、すぐに授業が増えるということだ。今では大学でもセキュリティ課程が増えている。今の人材不足も時間とともに解消されていくはずだ」と同氏は語る。