エグゼクティブサマリー
周知の事実ですが、情報セキュリティの世界は複雑で、絶えず変化し続けるリスクに満ちています。しかし、セキュリティを強化するために、自社のサイバーセキュリティポートフォリオに最新のツールを追加して新たな脅威を軽減しようとすることは、誤った方法かもしれません。今日では、セキュリティの基本に忠実であることがこれまで以上に重要になっていますが、そういった基本的な対策は最新の市場動向の影響を受けて軽視されがちです。
『MIT SMR Connections』の「Executive Conversation」では、DXC Technologyのセキュリティ担当プレジデントであるMark Hughesと、トヨタファイナンシャルサービスのバイスプレジデント兼最高情報セキュリティ責任者であるBoulton Fernando氏が、サイバーセキュリティ環境の複雑さを最小限に抑える方法について意見を交わし、より包括的なアプローチを取り入れてセキュリティチームを構築することの利点や、セキュリティの確保には協力体制が不可欠であることなどを説明しています。
セキュリティに関する基本対策はこれまでのところ理想通りには展開されていません。この事実は、多くの企業でモバイル/マルチクラウド環境が分散している状況を見れば明らかです。基本に立ち返ることの1つに、導入済みセキュリティツールの最大限の活用が挙げられます。
「DXCでは、お客様の環境において、導入したセキュリティツールが完全に実装されていない状況を目にすることが少なくありません。すべての機能が展開される前にツールへの支持が失われてしまうのです」とHughesは言います。「つまり、導入済みツールの価値の大部分を得られないまま、新しいツールが登場してしまうということです。すでにある機能や、展開すれば活用できる機能を考慮せずに新しいツールに入れ替えないよう、細心の注意を払うことが重要です」
協力関係の下でデータに対する明確な所有権を確認し、ガバナンスを確立することも、重視すべき基本的な対策です。「自社システム内のデータと顧客情報の実際の運用と処理を担当する組織の中にサイバーセキュリティ担当者を配置し、協力して取り組むことが重要です」とFernando氏は主張します。「サイバーセキュリティ担当者に理解してもらいたいことは、彼らが独立して存在しているわけでも、そして彼らにすべてが課せられているわけでもなく、情報を取り扱うシステムの所有者として、適切な範囲で果たすべき責任があるということです。協力体制は極めて重要ですが、誰が何に対して責任を負っているのかを理解し、明確にすることが大切です」。結論として、セキュリティは決して「私たち対セキュリティ担当者」であってはなりません。
今日、多くの組織でセキュリティ人材が大幅に不足しています。そういった組織では、新しく採用した人材がキャリアの早い段階でセキュリティ業務に魅力を感じられるように取り組んでいます。
そうした取り組みによって、「組織ではセキュリティ人材を大勢確保できるでしょう。しかし本来、基本的な対応にセキュリティの専門家は必要ありません」とHughesは言います。「従業員が健全な習慣を実践していることが最も大切です」
そのため、セキュリティリーダーの多くは、組織に所属するすべてのメンバーに防御の最前線にあることの自覚を促し、そしてセキュリティ意識を高めるためにたゆまぬ努力をすることが自分たちの仕事であると理解しています。