Columnセキュリティ業務分散化のメリットとデメリット

ネットワーキングなどの各部門にセキュリティ業務を移す組織が増えている。セキュリティ専門家の筆者がそのメリットとデメリットを紹介する。

[Mike Rothman，TechTarget]

　管理業務を集中化すべきか分散化すべきかの判断は、長年にわたり揺れ動いてきた。

　1990年代半ば、セキュリティ業務は分散化の方向に傾いていた。セキュリティ環境を構成する15〜20種類の製品は言うに及ばず、ファイアウォールの管理は専門知識を要する複雑な仕事になった。当時、管理を集中させることで経済的なスケールメリットを得る手段は基本的に存在せず、効率を上げながらコストを削減するというのが集中化の唯一の理由だった。

　過去10年でセキュリティ機能が徐々に集中化されてきたのは、ほとんどが、監査・コンプライアンス上の観点から責任を持つ必要に駆られたためだ。業務が世界各国に散らばっている状況で会社のポリシーを強制し報告を集中化するのは極めて困難になったのだ。中央のセキュリティ部門にすべてを集中させる方向に傾いているのは、これも1つの理由だ。

　しかしこの状況は再び大きく変わりつつある。セキュリティ業務をほかの業務部門、例えばネットワーキング、データセンター、アプリケーションといった部門に移す組織が増えている。そのメリットとデメリットを考えてみよう。

メリット

セキュリティがすべての業務に内在する

　テクノロジーのすべての層においてセキュリティを考慮する必要があるという点に、異議を唱える者はいないだろう。セキュリティ専門家が孤立していたら、セキュリティは二の次にされたり、各部門担当者が「我慢」しなければならない程度のものになりがちだ。全員が同じチームに属していれば、協力が促され、目標に沿っていることが確認できる。

ベンダーの統合で活用促進

　技術面から見ると、大手テクノロジーベンダーが自社製品にセキュリティ機能を付加する傾向が明白になっている。シスコシステムズ、IBM、オラクル、マイクロソフトなどはすべて、既存の製品にセキュリティを組み込んでいる。例えばシスコはセキュリティを先端技術事業戦略の鍵と見なし、IBMはセキュリティに関する知識と製品提供を強化するためセキュリティベンダーのISSを買収した。これにより、いずれツールセットが統合され、ネットワーク部門内部にネットワークセキュリティの管理能力が備わることになる。

職務とプログラムコントロールの切り離しが可能

　多くの組織で最高セキュリティ責任者（CSO）は、非技術系の人物（CFO、CEOなど）の直属となっている。これは、セキュリティ機能を完全に客観的かつ独立したものとするためだ。

デメリット