アカマイのCSOが語るセキュリティ対策、BCP/DR対策の指針
効果的なリスク管理を行うためのポイントCSO Magazine米国版とCIO Magazine米国版が、米国PricewaterhouseCoopers(PwC)と共同で実施している年次調査「Global Information Security Survey」の最新結果で「セキュリティに強い企業となるには何が必要か」についての興味深い議論を提起している。この中では特に、「セキュリティ対策が遅れている企業が改善を進めるには、どうすべきか」が焦点となっている。
CSO米国版編集部はこのテーマを掘り下げるため、米国Akamai Technologiesの最高セキュリティ責任者(CSO)、アンディ・エリス(Andy Ellis)氏に話を聞いた。エリス氏は、同社のグローバルな分散ネットワークのセキュリティ・アーキテクチャとコンプライアンスを統括し、同社のセキュリティの戦略的目標を設定している。
CSO米国版編集部(以下、編集部):
リスク管理に優れた企業はどのような特徴を持っているのか
エリス氏:
定量的な説明は難しいが、重要なのは組織として自らに当てはまるリスクを理解し、そのリスク・プロファイルに基づいて賢明な意思決定を行うことだと思う。それらができている企業は、前向きで先進的であり、自社のための新しいリスク・モデルを定義し、自社のビジネスに適した技術とソリューションを選択している企業でもある。他社のやり方をまねるのではなく、自ら道を切り開くことが大事だ。
編集部:
企業はセキュリティ製品に多大な費用を投じているようだが、戦略的な取り組みについてはそうではないようだ。これは、企業が効果的な戦略をすでに進めていることを示しているのか。あるいは、企業は技術にばかり力を入れているのか。
エリス氏:
景気低迷下では、企業は時間をかけて戦略を見直したりしないだろう。効果的な戦略が進められていることを願いたいが、現在の担当者のスタンスは例えば次のようなものだろう。「今年はビジネス・コンティニュイティ・プラン(BCP)を再構築しないことにしよう。社員が1,000人増えたわけではない。既存のプランでやっていける。昨年は完了しなかった戦略を実行しよう」。セキュリティ分野では、人々は戦略を考えることに多くの時間をかけ、戦略の実行にあまり時間をかけないことが多いと思う。調査結果にもその傾向が現れている。さらに現状では、「戦略を実行して目に見える結果を出し、職を守ろう」という発想も加わっている。セキュリティ戦略は実はしばしば変更されるが、経営陣がそれを知らない場合、戦略がもたらす価値があまり認められていないのかもしれない。
編集部:
多くの企業は、ディザスタ・リカバリやBCP対策にあまり積極的ではないようだ。優先課題ではないということのほかに理由があるのか。あるいは、企業は、自分たちにはトラブルは降りかからないと思っているのか。
エリス氏:
個別に見る必要がある。それらは多くの企業に必要なリスク対策だ。「9/11」事件後にBCP対策で評価された投資会社があったのを思い出す。それはワールド・トレード・センターに入居していた投資会社の1つで、BCPの優良事例として盛んに持ち上げられていた。彼らは良いプランを持っていて、事件後もビジネスを継続した。ところが3年後、その会社は倒産してしまった。結局のところ、彼らは、多くの優秀なナレッジ・ワーカーを失った後も、ビジネスを成功させ続けるという課題を満たすBCPを持っていなかったわけだ。ポイントは、備えても仕方がない事象もあるということだ。企業としてどのような発展段階にあるかという要因などから、ディザスタ・リカバリ対策を講じる余裕がない企業もある。
編集部:
企業は、備えることができる事象とできない事象をどう見分ければよいのか
エリス氏:
われわれはすべてをコントロールできるわけではない。フォーカスすべき重要なことの1つは、イベント発生後にインシデント対応をどのように行うかだ。インシデント対応は、企業が日ごろから準備しておくべき最も重要なことだ。経営陣とどのように連絡を取るか、どのように意思決定を行うか、といったことを明確にしておく必要がある。インシデント対応の態勢を整えておけば、企業はほとんどの災害を乗り越えられる。企業はそこに力を入れるべきだと思うが、多くの企業は、BCPやディザスタ・プランニングを考えない。
編集部:
今年の調査結果の特徴の1つとして、セキュリティ予算が前年比でほぼ横ばい傾向にあるにもかかわらず、企業が、製品や技術の購入予算の確保に苦労していないように見えることが挙げられるがこれについてどういう意見があるか。
エリス氏:
備えるべき理由を持つセキュリティ担当者にレポートを用意してもらうのは大変ではない。しかるべきレポートさえ提示できれば、社内で予算を確保するのはいたって簡単だ。私たちの技術は顧客をDoS(サービス妨害)攻撃から保護しており、彼らは私たちに私たちがブロックした低レベルのDoS攻撃すべてのレポートを依頼してくる。私たちが依頼してくる理由を尋ねると、彼らは文字どおり、こんな風に説明してくれる。「レポートは、予算を正当化するためにどれだけの攻撃がブロックされているかを示すために使う」
(George V. Hulme/CSO米国版)
