開催レポート

今すぐセキュアなデジタル・ビジネスを実現せよ

ガートナー セキュリティ & リスク・マネジメント サミット 2018

2018年7月24日(火)~26日(木)の3日間、東京・港区の八芳園にて『ガートナー セキュリティ&リスク・マネジメント サミット 2018』が開催された。テーマは「セキュア・デジタル・ビジネス:いかに適応、変革、拡張すべきか」である。

本サミットでは、サイバーセキュリティ戦略、リスク管理戦略、そしてコンプライアンス戦略を見直す包括的な視点、さらに、全社レベルでのレジリエンス構築に役立つ最新のリサーチの提供と提言を行った。また、アジャイル・インフラストラクチャ、事業継続管理 (BCM)、クラウド・セキュリティ、プライバシー、セキュアIoTといったトピックにおける最先端のインサイトを次々と紹介した。

リーダーシップ能力をどのように研鑽し、世界的に高まっているセキュリティ・リスク問題に対して、いかにセキュアなデジタル・ビジネスを実現していけばよいのか。
ここでは、セキュリティ戦略に大きな示唆を与えた、3つの講演を紹介する。

防ぐべきものは、無用なセキュリティ・ミス

ガートナー セキュリティ & リスク・マネジメント サミット 2018

バイス プレジデント
兼 最上級アナリスト
ニール・マクドナルド

初日に「クラウド・セキュリティの現状:2018年」をテーマに講演したのは、バイス プレジデント 兼 最上級アナリストのニール・マクドナルドである。

マクドナルドは、クラウドはセキュリティが甘いという認識が流布しているが、それは大きな間違いだと指摘。クラウド・セキュリティの失敗の多くは、顧客の行動に起因するものであり、セキュリティ・インシデントが発生したクラウド・サービス・プロバイダー(CSP)はごく少数で、サービス損失も部分的にとどまっていると強調。そのため、セキュリティ・プロフェッショナルの責務は、それらの無用なセキュリティ・ミスを防止することだと語った。

マクドナルドは、クラウド・セキュリティを「クラウド・ベースのシステムへのアクセスと利用をコントロールするためのプロセスとメカニズムに取り組むこと」と定義した。そのうえで、プロバイダーをコントロールする「マルチテナントのリスク」、ワークロードを保護する「IaaSセキュリティ」、データを保護する「SaaSのセキュリティ」の3つの定義に分けられるとし、その3つについて解説していった。

マルチテナントのリスクでは、CSPを信頼できる順から、ティア1、2、3に分類し、1はすでに信頼があり3は選択肢に入らないため、ビジネスモデルがまだ安定しているわけではないティア2にリスク管理を集中すべきだと述べた。

IaaSのセキュリティではDevOpsを推奨。従来のウォーターフォール型の開発では、定期的にパッチを当てる必要があったが、DevOpsであれば月例のパッチが不要になり、既知の完全性を備えたオブジェクト・コンポーネントに基づき、オンデマンドで新しいコード・スタックをビルド/展開するモジュラー式アプローチによって、不変のインフラストラクチャが可能になると語った。

SaaSのセキュリティでは、SaaSを効果的に使用するために、プロセスと監視体制を策定し、役割分担とオープン共有を制御することが肝要だと述べた。

説明責任とリーダーシップこそ求められている

ガートナー セキュリティ & リスク・マネジメント サミット 2018

リサーチ ディレクター
礒田 優一

「理想はすべてを完璧に守ることだ。しかし、そうしたセキュリティは存在しない。ではどうすればいいのか──」
2日目の基調講演に登壇したのは、本サミットのチェアを務めたリサーチ ディレクターの礒田 優一である。

礒田は「日本におけるセキュリティの重要アジェンダ:2018」をテーマに講演し、マルウェアやビジネス・メール詐欺など近年のセキュリティ・インシデントを取り上げ、2018年に取り組むべき重要アジェンダを示した。

1つ目は、海外拠点やサプライチェーンのセキュリティ。理想はすべて守ることとしながらも、現実にはそれは不可能だとし、それでも重大なインシデントが発生したら本社はなんらかの説明を求められることになる。そこで、キーワードとなるものとして、説明責任とリーダーシップを挙げ、本社からの距離とリスク度によって、セキュリティに強弱をつけるべきだと語った。

2つ目は脆弱性。2018年初めに話題となった、CPUの脆弱性であるSpectreやMeltdownに対応するには、脆弱性の公開後、すぐにパッチを適用して修正することが求められるが、そうした手動の対応はきりがないとし、自動化とセルフをキーワードに進めるべきだと述べた。

3つ目は、デジタルワークプレースのセキュリティ。日本では働き方改革が話題になっているが、利便性とセキュリティの両立が難しく、企業ポリシーから逸脱することも多かった。そこで従来は「禁止」という処置がとられていたが、これからは禁止ではなく「許可」をしたうえで対策を講じるべきだと述べ、人中心のセキュリティが求められると力説した。

4つ目は、エンドポイント・セキュリティ。万能なソリューションが存在しないなか、従来は機能と価格のみでベンダー選定が行われていたが、それでは意外な盲点を見落とす可能性があるため、戦略を語れるベンダーかどうかで判断することを推奨した。
そのほかに2つのアジェンダを示し、最後にガートナーの提言を行った。

主要な3つの課題を克服し、セキュリティ製品を導入せよ

ガートナー セキュリティ & リスク・マネジメント サミット 2018

リサーチ ディレクター
ブライアン・ローワンス

「データは新しい石油だ──」
2日目午後に「データ・セキュリティの現状:2018年」をテーマに講演したのは、リサーチ ディレクターのブライアン・ローワンスだ。ローワンスは、データは大きな収益を生み出すものになりつつあるが、データ・セキュリティの現状は最悪な状況にあるとし、データ・セキュリティにとって主要な3つの課題について述べた。

まず言及したのは、ビジネス・リスクの評価。今、データ流出が再び増大しており、内部不正や不慮の事故による情報漏洩は横ばいなものの、ハッキングの数が急速に増えている現状を紹介。また、世界中でデータ保護の法規制が進みつつあり、データ流出に関する通知が必須になってきていることも紹介した。

そのうえで、データ保管場所が懸念材料となっており、データセンターを置いている国、法規制の有無、スタッフなどにより複雑性が生じているため、これら複数な条件を検討してデータ保管場所を考慮すべきだとした。また、ビジネス・リスクを生み出す力である、オーナーシップ、プライバシー、倫理、セキュリティを評価する重要性も説いた。

次に、データセットの優先順位付けに言及。CISOはCDOとパートナーシップを築き、企業としてのスポンサーシップを確立し、主要なステークホルダーと連携することを推奨。インフォノミクスにしたがって、リスク・ベースとポリシーを策定し、リスクの評価と優先順位付けを行うべきだと語った。

最後に、セキュリティ製品の導入に触れ、CARTAを使用したセキュリティポリシーを定義が有効で、定義したポリシー・ルールを取り入れる製品を選定すきだとした。DCAPなどの統合アプローチを提供するベンダーを探すことを求め、実際に導入する際には、予算、スタッフのスキル、可用性に関してトレードオフが必要になる場合があることを伝え、講演を締めくくった。

ガートナー セキュリティ & リスク・マネジメント サミット 2018
セキュア・デジタル・ビジネス: いかに適応、変革、拡張すべきか
2018年7月24日(火)- 26日(木)  八芳園

協賛企業   [PDFアイコンをクリックするとプレゼンテーション資料をダウンロードいただけます。]

Netskope Japan株式会社  
ラピッドセブン・ジャパン株式会社 PDF(日本語)
  PDF(英語)
マイクロフォーカスエンタープライズ株式会社 PDF
マカフィー株式会社