インタビュー

「セキュリティ担当者は時代の流れに追いついていない」、米SafeNet幹部が警告

 「これまで企業のセキュリティ担当者は、社内で新しいテクノロジを導入したいという要望が上がっても“安全性が確保できないからNoだ”と言い続けてきた」と、米SafeNet 最高戦略マーケティング責任者のTsion Gonen氏は指摘する。

 重要な業務のクラウド化やデータの共有化など、業務部門が導入したいと望むのであれば、危険だからといって「No」と反対するのではなく、「Yes」と言えるマインドセットを持たなくてはならないというのだ。

 「Noと言い続けるセキュリティ担当者は今後仕事を失うことになる」と主張するGonen氏に、企業のセキュリティのあり方と、セキュリティ担当者がYesと言えるマインドセットを持つことの重要性を聞いた。

事業部門は「Yes」という言葉を待っている

――確かにセキュリティ担当者は、安全性を確保するためさまざまな禁止事項を設けている。それが彼らの仕事でもあったのだから、いきなり「Yes」と言うマインドセットを持てと言われても難しいのではないか?

米SafeNet 最高戦略マーケティング責任者のTsion Gonen氏

 Yesと言うためには、考え方の切り替えが必要だ。セキュリティ担当者がNoと言い続けてきたのは、新しい技術や環境を導入することに危険が伴うことはもちろんだが、投資効果を証明することが難しいという理由もある。

 セキュリティ担当者は、予算を確保するのがとても大変なのだ。安全性が確保できている場合はなぜそれ以上の予算が必要なのかと言われ、問題が起こればせっかく投資しても役に立たなかったと責められてしまう。だからこれまでセキュリティ担当者は新しい環境を受け入れることにNoと言っていたのだ。

 ただ、悲しいことに、セキュリティ担当者のNoが進化に対するNoになってしまっている。セキュリティを気にするあまり、進化を遅らせてしまっているのだ。

 しかし今はYesが求められる時代だ。常に新しい技術が登場し、すぐに入手できる状況にある。携帯電話やスマートフォンを複数台使いこなす人もめずらしくなくなった。こうした技術に対しNoと言うのは時代にそぐわない。

 Yesと言うことで、セキュリティがコストからビジネスバリューへと変化する。コストは削減対象となってしまうが、バリューとなれば予算がつく。そのためにセキュリティ担当者は、企業にとって何が大切かを考え、それを実現するために安全な環境を提供する必要がある。つまり、プロアクティブになればいいのだ。

 これまでのセキュリティはリアクティブで、何か問題が起これば対処するという手法を取っていた。しかし市場では、事前に対策を立てることでどんな問題にも対応できるプロアクティブなセキュリティが求められている。ニーズを先読みし、例えばBYOD(Bring Your Own Device)を許可してほしいと言われれば「すでにその環境は整っている」と言えるようにするべきなのだ。

 ユーザーは今すぐBYODの環境を求めているのだから、セキュリティ担当者もこうしたニーズの変化に柔軟に対応すべきだ。業務部門を支援できないセキュリティ担当者は、5年後に仕事がなくなるだろう。

社内で求められていることを理解すべき

――それでも今ではまだセキュリティ担当者がNoと言うのが主流だ。Yesと言うために具体的に何をすればいいのか

 もし社内でDropboxを使いたいという要望が上がったとすれば、生産性の向上が求められているということだ。それを理解して、Dropboxが安全に使えるためのソリューションを見つければよい。セキュリティ部門の問題は、これまでNoということに必死になってソリューションを探そうとしなかったことだ。何年も前から普及しているサービスなのだから、もう対応できていても不思議はない。

 クラウドにしてもそうだ。すでに何年も前からクラウド化が進んでいるのに、いまだにNoというセキュリティ担当者がいる。今後セキュリティ担当者は、“どれだけたくさんのことに対してYesと言えるかどうか”によって、自分の評価が決まると考えるべきだ。

 SafeNetでは、こうした業務部門からの要望に対しYesと言えるソリューションを提供している。われわれのソリューションを導入すれば、対策はあるから使っても大丈夫だと言えるようになるのだ。

情報漏えいが起こることを前提とした対策を

――SafeNetの情報漏えいに関する調査で、66%のセキュリティ専門家は3年以内に自社が情報漏えいの被害にあうと予測しているとの結果が出たそうだが、これは正しい防御ができていないということではないか。現時点でできる最大限の対策は?

 この数字は、実は控え目な数字ではないかと思っている。実際には100%に近いセキュリティ専門家が情報漏えいの被害にあうと考えているものの、それを認めたくないという気持ちから66%という数字になったのではないだろうか。

 つまり多くのセキュリティ専門家は、情報漏えいに対する防御が十分でないことに気づいているのだ。なぜなら、この20年間同じような方法で防御を行っていて、進化に追いついていないからだ。

 セキュリティ侵害を防ぐための従来の方法は、ファイアウォールやIPS(Intrusion Prevention System)といったアプローチだ。この方法は、データが1カ所に集約されていて、その境界線を守るには役立っていた。

 しかし今はオープンな時代で、データがさまざまな場所に散在し、境界線をどこに置いてどこを守ればいいのかあいまいになっている。セキュリティ業界はこうした進化に追いついていないのだ。

 それでもまだセキュリティ専門家は境界線を守ることだけに投資し続けている。いくらファイアウォールやIPSで防御してもそれだけでは十分ではないと気づいているにもかかわらずだ。

 今の時代、さらなる対策としてデータの保護、つまり暗号化が必要になってきている。防御だけに投資しても完全に境界線を守ることはできないのだから、情報漏えいが起こることを前提に対策を立てなければならないのだ。

――情報漏えいが起こることは仕方ないということなのか。データ暗号化をすれば本当に漏えいが起こっても大丈夫なのか。暗号を解読されてしまうおそれもあるのではないか?

 もちろん、ファイアウォールなどの境界線防御を完全になくしてオープンにしろと言っているのではない。できる限りの防御は必要だ。しかし、情報漏えいはどの企業にも起こりうることなので、情報漏えいが起こった場合の対策となるデータ保護により投資するべきなのだ。

 暗号の解読には、非常に多くの時間とコストがかかる。ひとつの暗号を解読するために何年も何百万ドルも使いたいと犯罪者は考えるだろうか。彼らもビジネスで犯罪を犯しているため、コストに見合う仕事しかしようとしない。データを正しく暗号化すれば解読するための費用は何百万ドルにものぼるため、犯罪者も元が取れないと考えるだろう。

――データ暗号化はどの程度普及しているのか

 業界によって異なるが、金融やヘルスケア業界ではかなり普及している。今、情報漏えい事件は多発しており、データロスによるダメージが大きいとわかればさまざまな業界で暗号化の普及が進むだろう。今はショック療法の時期かもしれない。

――日本でも日々さまざまな情報漏えい事件が発生していて、その頻度が上がっているように感じる。日本でのデータ暗号化の普及率をどう見ているか

 日本は従来変化に対して保守的な面があるが、この技術はビジネスにとって不可欠な変化なので早く受け入れてほしいと願っている。でなければ多くの日本企業が打撃を受けることになる。今はグローバルで戦う時代で、この変化を受け入れなければ勝ち残れないだろう。

(沙倉 芽生)