先進国である米国と比較して遅れていると言われる日本のセキュリティ事情。その遅れを取り戻すためには、セキュリティ投資に望む際の意識改革だけでなく、オペレーションレベルでの大幅変更も必要となる。その具体策について、米国政府のコンサルティング企業の顧問を務め、日米のセキュリティ事情に詳しい慶應義塾大学環境情報学部教授 工学博士 武藤佳恭氏に話を伺った。
|
セキュリティ状況の可視化が重要
――セキュリティへの投資を効果的に実施する方法としては、米国ではどのような方法がとられているのでしょうか。
武藤氏: 米国でセキュリティの話をする際には、ROSI(Return On Security Investment)の話が必ずと言っていいほど出てきます。これは名前が示す通り、通常のIT投資と同様にセキュリティ投資の費用対効果を評価するものです。ROSIを高めるために必要なのが、複数に階層化されたセキュリティレイヤーを正確に把握し、コントロールするためのセキュリティマネジメントが必要となります。
セキュリティマネジメントを実施するには、それを司るCIO/CTOの存在が不可欠となります。そして、CIO/CTOは自社のセキュリティ状況とセキュリティの最新トレンドの両方を詳細に知っておく必要があります。実際にセキュリティに問題が起きれば、CIO/CTOが即座に対応できるかどうかが焦点となるのです。そのためには、CIO/CTOがセキュリティに対する真のプロフェッショナルであることと、セキュリティ状況を正確に把握するための自社のセキュリティ状況を可視化しているということが重要になります。
――セキュリティの可視化とは、CIO/CTOにログの解析などのスキルが必要となるのでしょうか。
武藤氏: もちろん、エキスパートとしてそういったことができるに超したことはありませんが、それを覚えるより、ツールを使って効率化すれば、より高度な把握ができるようになります。例えばセキュリティツールとしては、コンピュータ・アソシエイツの「eTrust 20/20」があります。これを利用すれば、物理的セキュリティとITセキュリティの問題を統合的に可視化できるようになります。
なお、「eTrust 20/20」のエンジンの開発には、私自身も協力させていただきました。このような可視化ツールを使うことで、効果的かつ効率的なセキュリティマネジメントが可能になります。
武藤氏がコアエンジンの開発に関わったというコンピュータ・アソシエイツの「eTrust 20/20」の画面。物理的脆弱性とツールの脆弱性を統合的に可視化できる。 ※「eTrust 20/20」はコンピュータ・アソシエイツの製品ですが、米国のみで販売されています。 |
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境