分断化されたセキュリティリスクを一元管理する方法：Computer Weekly製品ガイド

デジタル化の時代は組織に新たなリスクをもたらす。従ってセキュリティ対策も連携性を強化する必要がある。

≫ 2020年03月03日 10時00分公開

[Cliff Saran，Computer Weekly]

　高いレベルの相互接続性がもたらす恩恵に世界中の組織が目を向け始めている。デジタル化戦略は、同じ組織の分断されたサイロ間および外部パートナーとの関係の両方を横断しながら、ビジネスプロセスのボトルネック解消と切り離されていたプロセス間の橋渡し、さらには情報の自由な流れの実現を目標とする。

　ISACA Pune Chapterの元プレジデント、サンディープ・ゴッドボール氏が指摘する通り、技術は対照的な側面、すなわちチャンスとつながる世界のリスクという相反する2つの面を露呈させる。

　チャンスとリスクはさまざまな形で組織に影響を及ぼす。運用面に影響するものもあれば、戦略的影響を与えるものもある。「組織に深い影響を与えるチャンスとリスクをモニターして必要な行動を起こすことが求められる。チャンスをつかむためには、組織構造や技術能力、人材の育成、変化への対応を含む実現の手段を整える必要がある」とゴッドボール氏は指摘する。

　リスクに対応するためには、適切なセキュリティコントロールとリスクを回避するツール、プロセスの導入が必要だ。ゴッドボール氏は言う。「技術によって実現したつながる世界は、組織にリスクとチャンスをもたらす。従って、現代の組織ではセキュリティ対策が重要な役割を果たす。リスクに対応して適切な対策を講じることによって、組織は技術を活用できる。つまり、セキュリティは組織の戦略遂行を可能にする役割を果たす」

　Ovumが実施した調査によると、デジタルリスクに対応するためのアプローチは極めて幅広いことが分かった。Ovumの調査ディレクター、マキシン・ホルト氏は「新しいリスクはデジタル化を拡大した結果だ。ますますつながりが強まるこの世界において、リスク管理のニーズと能力は一つの組織の境界では終わらない」と語る。

　デジタルトランスフォーメーションがもたらすチャンスを無視あるいは阻止することは、情報セキュリティを機能させるための現実的な選択肢ではないとホルト氏は警告する。デジタルリスクは、組織が前進する際に取るべきリスクと同程度に「必須」だと同氏は言う。「リスクをことさら毛嫌いする組織はデジタルトランスフォーメーションを避けることも可能だが、同時に競争上の優位性を失ったりサービスが低下したりする公算が大きい」

　ホルト氏によると、組織は十分な効率性と効果を保つためにデジタルリスクを発見して管理し、回避する必要がある。そのためには特にガバナンス、リスク、コンプライアンス、セキュリティに関して、内部の機能や新技術を提供あるいは下支えするパートナーとの連携強化が求められる。

　デジタルリスクの責任者を任命することで、連動性のある、より戦略的な意思決定が可能になり、リスク管理に対する統合的なアプローチを強化できるとホルト氏は助言する。同氏によれば、デジタルリスク責任者という役職を創設するというアイデアは前進に向けた大きな一歩だが、この役職を割り当てている組織は驚くほど少ない。

　「デジタルリスク責任者の管轄下にチームを組織して、デジタルトランスフォーメーションプロジェクトのリスクに対応する必要がある。リスク、コンプライアンス、IT、技術、法務、監査、セキュリティを横断する熟練担当者の知識が必要とされる」とホルト氏は語る。さらに、このチームは中心的なリスク分類法を確立し、個々のリスクに関して組織全体を通じた共通認識が持てるようにすることを目指す必要があると指摘した。

　過去には分断されたリスク管理の結果として、コンプライアンスがチェックボックス方式になることもあった。Airbus CyberSecurityのCTO（最高技術責任者）、パディ・フランシス氏は言う。「リスクのさまざまな局面を全て単一の枠組みに統合すれば、ビジネスにとっての全体的な運営リスクが見えやすくなり、ビジネス全体に通用する対策を策定できる」

　フランシス氏の考えでは、統合リスク管理のアプローチへの移行に当たっては、ITセキュリティプロフェッショナルが中心的な役割を果たす必要がある。セキュリティチームにとって、リスクと対策はIT部門だけでなく、全社的な文脈の中で検討すべきものと同氏は位置付ける。「ITプロフェッショナルなどリスクを負う者は、適切な文脈の中でリスクを見極めて回避策との間で適切なバランスを取るために、ビジネスを推進させる原動力について理解しておく必要がある。自分たちの分野のみに集中して他の分野でリスクを生じさせることがあってはならない」（同氏）

　フランシス氏によると、ITリスクと事業継続管理や欧州連合（EU）一般データ保護規則（GDPR）順守といったリスクは、中央の統合リスク管理戦略にまとめて取り入れる必要がある。

　(ISC)2のEMEA（ヨーロッパ、中東、アフリカ）担当マネージングディレクター、デシニ・ニューマン氏によると、統合リスク管理を機能させたいなら、情報セキュリティの実践者をリスク管理報告と評価プロセスの中心に据えなければならない。

　「セキュリティ不安が顕在化したときに、そうした人材が下流にいたのでは迅速かつ積極的に動くことは期待できない」とニューマン氏。

　Ovumのホルト氏は情報セキュリティのプロフェッショナルに対し、上級管理職を巻き込んで統合リスク管理の推進を後押ししてもらうことを勧める。「ビジネスに重点を置いた情報セキュリティ対策は、会社のアプローチを変えることのできる相手に統合リスク管理の必要性を示し、伝えることができる」

連結されたアプローチ

　全体としての目標は、リスク管理に対する連結されたアプローチとしなければならない。組織全体のリスクを優先し、組織のニーズに従って対応する必要がある。ホルト氏によると、そうした統合型アプローチの主なメリットは、組織のセキュリティ態勢を向上させる点にある。

　ただし、フランシス氏が指摘する通り統合リスク管理アプローチを確立するのは簡単なことではない。結果として新しいプロセスや手順が生まれて、ほとんどの場合はそれを支える何らかのツールが必要になる。「ITとITセキュリティは、従来型のリスクガバナンスから統合リスク管理への移行において中心的な役割を果たす。しかしよくあることだが、そのプロセスを成功させるためには中央のリーダーシップが必要とされる」と同氏は話す。

　ニューマン氏によると、報告は最も重要だが、明確なガバナンスと教育、明確な理解も重要だ。「社内の他の非IT部門が、論議されているサイバーセキュリティリスクの文脈について理解でき、幅広い理論的データおよびコンプライアンスリスクに関与できることを、セキュリティプロフェッショナルが確認しなければならない」（同氏）

　ニューマン氏はまた、情報セキュリティプロフェッショナルに対してビジネスを通じたリスクについて垂直に見通す明白な視点を持つよう勧めている。これはすなわち、他のチームに組み込まれて、技術的な課題であれプロセスや規制に関する課題であれ、業務上の課題について理解することを意味する。同氏はリスクに対する統一されたアプローチを推奨する立場から、次のように話している。「リスク管理の最大級の落とし穴は、行動戦略とポリシーおよびプロセスに対する統一されたアプローチが保たれないことにある。従って、全てを文書化して計画を立て、それを見直し、あらゆる関係者に伝達し、それに従いながらもビジネス需要が変化した場合は計画を変更できるようにしておく必要がある」

　ゴッドボール氏によると、幸いなことに組織のIT領域の複数分野を横断して見通すことのできるプラットフォームが存在する。そうしたプラットフォームは、ITセキュリティプロフェッショナルが効率的な統合モニターおよびセキュリティアラート環境を構築する助けになり得る。「セキュリティ情報イベント管理（SIEM）は10年以上にわたり、セキュリティ監視のための統一的な技術ソリューションを提供してきた。そうしたプラットフォームがここ数年の間に進化して、包括的かつ効率的になっている。今では多くのSIEMツールがユーザー行動分析に対応し、破壊的な行動や行為をタイムリーに特定できる」

　そうしたツールでは、ITセキュリティプロフェッショナルが資産やセキュリティコントロールを横断する総合的な視点を持つことができ、プラットフォームが洗い出したリスクや脅威に対する反応時間を短縮する一助となる。そうしたツールはまた、自動化やインテグレーション、分析の機能も提供する。

　ITセキュリティの多くの側面と同様に、統合型のアプローチはツールと人とプロセスが連携して機能することを要求する。そうしたアプローチが必要とされるのは、組織がさらされるリスクは拡大の一途をたどると予想されるからだ。Airbusのフランシス氏は「統合リスク管理の必要性が脚光を浴びるようになったのは、ビジネスの提供と実現を目的としたインターネットおよびクラウドの利用増大に伴ってビジネス環境が変化し、顧客やサプライヤーとの間でもっと開かれた共有のアプローチが必要になったことによる」と話している。

TechTargetジャパントップセキュリティ