デジタルトランスフォーメーションがもたらすリスクにどう対処するか?
○デジタルトランスフォーメーションによって高まるリスク
ガイ氏は、「デジタルトランスフォーメーションはビジネスチャンスとリスクをもたらす」としたうえで、「これまでITはタスクをこなすことに特化していた。しかし、デジタル技術が利用されている今、コグニティブなものをこなすことがITの役目となっている。また、ITはプロセスそのものであり、人や商品を変える力を持っている」と、ITに新たな要素が生まれていると説明した。
例えば、鉱業を営む企業であれば、これまではドライバーの安全性の確保に努めていればよかったが、自動車にITが組み込まれるようになってきていることから、そのハッキングを防ぐための対策をとる必要が生じている。さらに、ガイ氏は「日本は2020年にオリンピック開催を控えているが、ドローンやロジスティックなどさまざまなシーンでITの活用が見込まれており、脅威にさらされている」と、日本が世界のどの国よりもリスクが高まっていると説明した。
○デジタルリスクの管理が難しい3つの理由
しかし、ガイ氏は「デジタルリスクを管理することは難しい。その理由は3つある」と語った。
1つ目の理由は、IoTやAIなど新たなアーキテクチャや技術が登場したことで、新たなリスクも生まれていることだ。2つ目の理由は、洗練された技術を持ち、執拗な攻撃を行う攻撃者が増えていることだ。3つ目の理由は、個人情報の保護など、企業・組織が守るべき規制が増えていることだ。
こうした中、デジタルリスクへの対策を講じるには、3つのステップに従って、経営層にデジタルリスクについて報告する必要があるという。1つ目のステップは「可視性」で、システムのエンド・ツー・エンドにわたる可視性を得ることだ。ガイ氏は「これまでのようにネットワークの一部の状況を可視化するだけではいけない」と述べた。2つ目のステップは「インサイト」で、機械学習を活用してインサイト(重要なデータ)を得ることだ。3つ目のステップは「アクション」で、マシンを活用してレスポンスの自動化を図ることだ。
RSAは、デジタルリスクの成熟度を「サイロ」「管理」「最適化」の3つの段階に分けてベースラインを作っており、これをベースに方針を定めるとよいという。
○ビジネスドリブン・セキュリティで効果的な対策を
RSAではこれら「可視性」「インサイト」「アクション」を提供するためのアプローチとして、「ビジネスドリブン・セキュリティ」を推進している。ビジネスドリブン・セキュリティというアプローチをセキュリティチームに適用することで、ビジネスのコンテキストに従って対策を講じることが可能になり、セキュリティチームのパワーを絞り込めるようになるという。
「ビジネスドリブン・セキュリティ」を具現化するため、「セキュリティオペレーション」「リスクマネジメント」「ユーザーアクセス」という3つのドメインに分けて、ソリューションが提供されている。
ガイ氏は「守る側よりも攻撃する側のほうが人数も多く、すぐれた技術も持っている」と話す。ましてや、最近は国が攻撃者を支援する大規模な攻撃も増えている。そうした中、同氏は「リスクを避けることは進化をあきらめることになる。そこで、リスクをうまく管理することで、ビジネスの機会をつかんでいくことが大切」と語っていた。
