オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

企業情報セキュリティのトレンドレポートで、気になった2つ

»

ソーシャルメディアとクラウドは、やはりキーワードのようです。気になったのは、セキュリティ管理の内製化と、経営陣からの支持が高まっていることです。これは、良い傾向と思っています。

企業情報セキュリティの現在CIO Onlineより

ソーシャル・ネットワーキングやクラウドの普及で高まるセキュリティ上の不安、不況下で進むセキュリティ業務の内製化、そして経営陣からの支持増大 ――CIO Magazine米国版/CSO Magazineのセキュリティ動向調査で浮き彫りになった、今日の企業情報セキュリティ

トレンド その1:ソーシャル・ネットワーキングの功罪

トレンド その2:クラウドに対する困惑

トレンド その3:セキュリティ管理の内製化 

トレンド その4:経営陣からの支持の高まり

特に気になったのが、3と4です。

どのような理由でセキュリティへの投資を決断するにせよ、企業は自社のセキュリティ戦略を確立し、唯一無二の価値を提供してくれるセキュリティ・プロバイダーを探し当てなければならないと強調する。無論、諸々の業務を外部に委託したとしても、全体像を把握し、常に舵取りを怠らないのが賢明な企業幹部である。セキュリティ・サービス・プロバイダーの仕事ぶりや、自分たちが直面しているリスクから常に目を離さないことが重要だ。

3の引用です。内製化の範囲によると考えています。どの立場で考えるか?によって変わります。が、基本的には、何のための内製化なのか。ここがポイントになると思います。

全面投げ出しは、完全放棄と同じです。一方で、社内担当者に依存しない仕組みは作れます。しかし、全面投げ出しは事実上無理ななずです。当たり前ですが・・・

客観的な立場でものを見る事によって、自分では見えないものが見えてくるものです。リスクなんてそんなものだと思っています。

完全内製化も無理です。特にすべてを内部で行うことの目的にコスト削減がある場合は、尚更限界があると考えます。これは新たなリスクを生み出してしまう原因を作ってしまいます。ちょっと両極端な表現をしました。

何事もバランスが重要だと思っています。ただ常に思うことが、セキュリティのためのセキュリティにならない心がけが必要だと・・・これは、仕事を進めるためにセキュリティは重要な1つですが、セキュリティのために仕事をしているわけじゃない!ことを、忘れてはならないと思うのです。極端なセキュリティ強化により、余計なマイナス要因を作ってしまう。それでは仕事にならないからです。

わかっているものもリスクになりますが、見えてないこと、特に気にもしていなかったことなど、これのが脅威であると思います。

 

モーリシオ・アンジー氏は、「コンプライアンス監査人や資格のあるセキュリティ査定人、あるいは法律などが、職務を分ける目的で、より明確な役割と責任を負ったITセキュリティ管理者を雇うよう企業に命じているという事実は、非常に興味深い」と述べている。「明確な役割」の例としては、企業のセキュリティ・ポリシーの策定やセキュリティ予算の確保などが考えられる。  

4の引用では、職務を明確に分けることで、役割も専門知識も有効に使えることです。これに予算を使うのは正しい方向だと思います。セキュリティを幅広く理解している人と、それを実務で行える人は、別なことです。

よくTの字を使って表現しますよね。横が得意な範囲で、縦がスキルの深さです。これが塗りつぶしの正方形になるのが理想なのでしょうが、あくまでも理想でしかないと。。。私的には、斜めな棒が入るといい感じと思っています。そんな視点が必要と思うのです。

で、ここまでは、いい方向なのですが、次の部分が…やはり---だなぁ…と。

とは言え、こうした進展が見られるにもかかわらず、ITリーダーたちは企業が情報セキュリティに必ず注力すると確信できずにいる。たとえそれが無理強いされた面倒な作業ではなく、会社にとって有益なビジネス・プロセスであっても、企業がセキュリティに金を費やさざるをえないと感じていることと、企業幹部がセキュリティ対策を不可欠なものととらえているかどうかは別の話なのだ。

ここが一番の問題です。やったほうがいいと感じているし、やるべきであると考えている。

しかし、マネジメントがそれを不可欠な存在と捉えているか?の部分です。

何も対策をしなくとも事故は起きる。何か対策をしても事故は起きる。そこには発生割合と事故影響の深さに違いが出てきます。が、認識出来ていないものを、認識することは出きないのです。

不可欠な存在と認識出来ていないことこそが、何よりも大きな脅威と考えています。不可欠な存在がイメージ出来ないのは、その影響力と波及効果の具体的なその後のイメージが見えてないからです。

やはり経営トップの積極的な関与が、最も重要であると思います。それには優秀なCIOと、セキュリティは戦略の領域に入ってきている現状を正しく理解することだと。なぜにセキュリティが必要なのかと。効率化やコストダウンの次のステージに入ってきています。

今一度、認識出来ていないかもしれないことを、色々考えてみませんか?これがリスクマネジメントです。

Comment(0)