社内では常に変化が起きており、セキュリティ戦略との溝が驚くほどの早さで広がることもある。
企業の情報セキュリティチームが長期的な成功を維持するためには、事業戦略とネットワークセキュリティ戦略の間のシナジーを定期的に評価することが必要だ。こうした評価が行われるのは、買収のような大きな出来事があったときだけとは限らない。社内では常に変化が起きており、溝が驚くほどの速さで大きくなることもある。ここでは、ネットワークセキュリティ戦略の見直しが必要なのはどのようなときか、どのような点を見直せばいいのか、そして経営陣とのあつれきを避けるためのノウハウを紹介する。
経営上層部の人事異動や昇進、製品発売やサービス提供開始により、経営の重点があっという間に変わってしまうことがある。新しい人事体系では、リスクの所在と責任がはっきりカバーされていないかもしれない。会社でこうした変化が起こるたび、ネットワークセキュリティ戦略とポリシーもそれに応じて変更し、必要な種類のセキュリティを組織に提供することが大切だ。
わたしが最近扱ったケースの中に、インターネットでの自社製品とサービスの提供に初めて乗り出した大企業があった。「会社案内パンフレットサイト」的戦略から電子商取引サイトへの切り替えには成功したが、社内ネットワークおよびインターネット上を流れる個人特定可能な情報の量は激増した。このようなネットワークトラフィック量の変化に合わせ、ネットワークセキュリティポリシーも更新する必要があった。顧客とのネットワーク接続はすべて暗号化され、ネットワークユーザーのアクセス権限が見直されて必要があれば調整され、さまざまなデータ流出検知ツールのテストも始まった。
セキュリティ戦略がそぐわなくなる事態を避けるため、ITセキュリティの責任者は常に社内各部門とその戦略、およびそうした戦略の実行計画について把握しておく必要がある。懸念事項を見つけたり話し合うために、上層部と定期的に付き合うことだ。経営上、セキュリティ上の課題について全関係者がしっかり認識していれば、セキュリティ技術を購入して実装する際に、十分な情報に基づく判断を下すことが可能になる。例えば、新しい事業戦略の初期の段階からセキュリティが絡めば、プロジェクト開始段階でセキュリティを計画・実装することが可能になり、後になってセキュリティをねじ込もうとするよりもはるかに効果的なアプローチができる。
ネットワークセキュリティ戦略の見直しは、現在のセキュリティ戦略について以下の項目に焦点を当てて検討する必要がある。
現在の情報セキュリティ戦略を大きく変えるためには、主要関係者の支持を得る必要があり、取締役レベルで承認を受けなければならない。追加予算が必要な新しいセキュリティプロジェクトは、ガバナンス推進の2大要素であるリスクとコンプライアンスに踏み込めば承認されやすくなる。わたしが最近あるクライアントに行った提案は、その会社の顧客情報を適切に保護するための法的責任についての理解が取締役会に浸透すると、すぐに承認された。
ネットワークセキュリティポリシーの変更には、円滑な運用のために新製品やサービスが必要になる場合もあるが、これは無料というわけにはいかない。セキュリティ予算を増額してもらうためには、改訂版の戦略について、効率性を高め全体のコスト削減につながる技術ベースプロジェクトといった、コスト削減戦略の一環と位置付けて提示するよう努めることだ。
ただし、セキュリティチームは組織のリスク許容度を尊重することが大切だ。会社にとってどの程度のリスクが適切かの定義において、セキュリティチームと経営陣の間に食い違いがあると、事業戦略とセキュリティ戦略に食い違いが生じることが多い。別の業界から来た新しい管理職が任命され、その人物が異なるリスク環境での事業に馴染んでいる場合、こうしたことが起きやすい。チーム間のコミュニケーションがうまくいっていなければ、過剰防衛になったり防衛不足になったりして予算が無駄になる。
進化する事業計画に沿った改定版のネットワークセキュリティ戦略を作成するのは大仕事だ。ポリシー調整のためには、ネットワークに大きく依存している全部門間のコミュニケーションと協力が必要になる。大切なのは、ネットワークセキュリティ戦略が事業の妨げになるものではなく、促進するものと見なされることだ。セキュリティ専門家は、自分や同僚の見方を変えさせる必要があるかもしれない。事業上のごく小さな変更でも、セキュリティ上の大きな脆弱性につながりかねないと考えることが大切だ。
本稿筆者のマイケル・コッブ氏は、データセキュリティおよび解析に関するトレーニングやサポートを提供するITコンサルティング会社、コッブウェブアプリケーションズの創業者兼マネージングディレクター。CISSP-ISSAP(公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル)の資格を持つ。共著書として「IIS Security」があり、主要なIT出版物に多くの技術記事を寄稿している。
Copyright © ITmedia, Inc. All Rights Reserved.
リモートワークやクラウドサービスが拡大する中、ネットワーク遅延の課題を抱える企業も少なくない。通信遅延は生産性にも影響するだけに契約帯域の見直しも考えられるが、適切な帯域を把握するためにも、帯域利用状況を分析したい。
在宅勤務でSIM通信を利用していたが、クラウドの通信量急増により、帯域が圧迫されWeb会議での音切れが発生したり、コストがかさんだりと、ネットワーク環境の課題を抱えていたシナネンホールディングス。これらの問題を解消した方法とは?
VPN(仮想プライベートネットワーク)は、セキュリティの観点から見ると、もはや「安全なツール」とは言い切れない。VPNが抱えるリスクと、その代替として注目されるリモートアクセス技術について解説する。
インターネットVPNサービスの市場規模は増加傾向にあるが、パフォーマンスやセキュリティなどの課題が顕在化している。VPNの利用状況などのデータを基にこれらの課題を考察し、次世代インターネットVPNサービスの利点と可能性を探る。
代表的なセキュリティツールとして活用されてきたファイアウォールとVPNだが、今では、サイバー攻撃の被害を拡大させる要因となってしまった。その4つの理由を解説するとともに、現状のセキュリティ課題を一掃する方法を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
