セキュリティ業務分散化のメリットとデメリットColumn

ネットワーキングなどの各部門にセキュリティ業務を移す組織が増えている。セキュリティ専門家の筆者がそのメリットとデメリットを紹介する。

2007年06月12日 05時00分 公開
[Mike Rothman,TechTarget]

 管理業務を集中化すべきか分散化すべきかの判断は、長年にわたり揺れ動いてきた。

 1990年代半ば、セキュリティ業務は分散化の方向に傾いていた。セキュリティ環境を構成する15〜20種類の製品は言うに及ばず、ファイアウォールの管理は専門知識を要する複雑な仕事になった。当時、管理を集中させることで経済的なスケールメリットを得る手段は基本的に存在せず、効率を上げながらコストを削減するというのが集中化の唯一の理由だった。

 過去10年でセキュリティ機能が徐々に集中化されてきたのは、ほとんどが、監査・コンプライアンス上の観点から責任を持つ必要に駆られたためだ。業務が世界各国に散らばっている状況で会社のポリシーを強制し報告を集中化するのは極めて困難になったのだ。中央のセキュリティ部門にすべてを集中させる方向に傾いているのは、これも1つの理由だ。

 しかしこの状況は再び大きく変わりつつある。セキュリティ業務をほかの業務部門、例えばネットワーキング、データセンター、アプリケーションといった部門に移す組織が増えている。そのメリットとデメリットを考えてみよう。

メリット

セキュリティがすべての業務に内在する

 テクノロジーのすべての層においてセキュリティを考慮する必要があるという点に、異議を唱える者はいないだろう。セキュリティ専門家が孤立していたら、セキュリティは二の次にされたり、各部門担当者が「我慢」しなければならない程度のものになりがちだ。全員が同じチームに属していれば、協力が促され、目標に沿っていることが確認できる。

ベンダーの統合で活用促進

 技術面から見ると、大手テクノロジーベンダーが自社製品にセキュリティ機能を付加する傾向が明白になっている。シスコシステムズ、IBM、オラクル、マイクロソフトなどはすべて、既存の製品にセキュリティを組み込んでいる。例えばシスコはセキュリティを先端技術事業戦略の鍵と見なし、IBMはセキュリティに関する知識と製品提供を強化するためセキュリティベンダーのISSを買収した。これにより、いずれツールセットが統合され、ネットワーク部門内部にネットワークセキュリティの管理能力が備わることになる。

職務とプログラムコントロールの切り離しが可能

 多くの組織で最高セキュリティ責任者(CSO)は、非技術系の人物(CFO、CEOなど)の直属となっている。これは、セキュリティ機能を完全に客観的かつ独立したものとするためだ。

デメリット

ITmedia マーケティング新着記事

news187.jpg

アドウェイズ、バイタルサイン計測サービス「MARKETING DOC」を発表
アドウェイズは、マーケティングの活動状況を計測して診断するサービス「MARKETING DOC」...

news057.png

外注費の実態 「動画制作」「マーケティング」が大きく増加の傾向――ランサーズ調査
フリーランスや専門会社への「外注」について、どのような業務の外注費が増加傾向にある...

news049.png

SEO対策において「古い記事」をどうすべきか? 3つの対処法を解説
SEOの観点では、古い記事は削除した方がいいのか、残しておいても大丈夫か。どのような対...