ビジネス環境が目まぐるしく変化する中、セキュリティー担当者は常に次の一手を求められる。デジタルトランスフォーメーションの推進が求められる今こそ、「あなたがセキュリティーで守っているのは何か」という根本的な問いをしてほしい。

 その答えとして、「会社」「顧客」「サプライチェーン」などが考えられるが、それらを守るとはすなわち、ビジネスの営みを支える「データ」を守るということである。これからのセキュリティー担当者は、「あなたは、どんなデータを守っていて、その所在はどこか」という質問に明確に答えられなくてはならない。

製品中心を前提としてきたセキュリティー担当者

 守るべきデータを明確にしている企業は、インシデントが発生した場合でも迅速に対応できる。例えば、ECサイトから情報漏洩事故が発生した場合に、情報の内訳と影響範囲を迅速に公開できる企業と、事実確認に追われて説明が後手に回る企業が存在する。両者の明暗を分けているのは、事故による被害の大きさや調査能力だけでなく、守るべきデータと所在を明確にしているか否かだ。

 現在の日本企業のセキュリティー対策は、「製品中心(Product-Centric)」のアプローチが主流である。これは「必要な製品は何か」という考え方に基づき対策に必要な製品やサービスを採り入れていくアプローチである。

 例えばファイアウオールやエンドポイント保護プラットフォーム(EPP)は、どこの会社でも導入済みだろう。さらに時代の変化とともにファイアウオールは次世代型へ、EPPはEDR(Endpoint Detection and Response)へと、最新の脅威に対応するため進化させていることだろう。

 加えて、Webやメールのほか、最近はモバイルやクラウド周りの対策も必要となっている。しかし、これでは常に「次は何の製品が必要か」という課題に追われ続け、気持ちが休まらない。

 製品中心アプローチが主流となっている理由は三つある。第一に、企業が他社のインシデントをトリガーに対策を実施してきたことだ。これまでも大きなインシデントが発生した直後に、多くの企業がそれを反面教師として対策を講じるという“祭り”が繰り返されてきた。

 第二に、同業他社の動向を見て「追随できていればよい」とする平均点主義があった。第三に、ベンダーが提起するトレンドに忠実に対応しようとしてきたことだ。企業がガートナーに寄せる質問には、「働き方改革」「クラウド」などの最新キーワードと「セキュリティー」を絡めて「○○のセキュリティーを保つのに必要な製品は何か」というものが非常に多い。

 セキュリティー担当者が次の一手となる対策を講じても、不安を全て消し去ることはできない。その理由としては、脅威が進化していることや、セキュリティー対策は完璧にならないことなどが考えられる。

 それだけでなく、「何を守るべきか」を実は理解していないのかもしれないという懸念もある。適材適所に対策を講じられていない可能性が残るため、製品を導入し続けても不安を解消できないのである。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。