経営を守るためのセキュリティマネジメントフレームワークの必要性

69 people reacted 3 1 min. read

昨日パロアルトネットワークスが発表した調査データにもあるように、テクノロジーを活用してビジネスを変革させようという動きを国内の企業も積極的に進め始めています。クラウドプラットフォームを活用してビジネスに俊敏性を持たせる、製品をInternet of Things(IoT)化して顧客満足や価値を継続して高める、デジタルトランスフォーメーション(DX)を通じてこれまでにない新しい社会価値を提供するなど、その動きと目的は実に様々です。ITやテクノロジーが単に利用するものから、テクノロジーがビジネスを動かす時代に突入していることは間違いありません。

クノロジーを活用する企業にとってだけでなく、顧客、サプライチェーン、ひいては社会全体に様々なメリットがある一方で、ビジネスに直結するデバイスや環境のインターネット接続性の増加から、サイバーセキュリティは企業にとっての検討課題の一つです。現状、技術的な観点や法務的な観点でのサイバーリスク評価が後回しになってしまっている中で、回答者の72%が過去1年間に自社がサイバー攻撃による被害を経験していると回答しています。業務端末や社内サーバが攻撃を受けた際にも深刻な影響が想定できますが、例えばミッションクリティカルなアプリケーションが稼働するクラウド環境や、顧客にサービスを提供するIoTデバイスやサービスインフラが、例えばランサムウェアによるサイバー攻撃を受けた場合には、ビジネスへの影響はより深刻かつ広範になることが懸念されます。

72 percent suffered security breaches over the last twelve months

サイバーセキュリティを後付け、サイロ化にさせない取り組みの必要性

ビジネス部門で企画がすでに進行し、テクノロジーや製品、サービスの仕様変更が不可能なタイミングでセキュリティが議題に上がり、後付けの形で部分最適の対策が適用される、セキュリティやリスクマネージメントを主管する部門が提示するセキュリティ要件はグループ会社や事業部門のビジネス要件に合致しないため採用されない、といったことが起きないようにする必要性が高まっています。加えて、個人データを活用してビジネスの精度をより向上させるといった動きがある一方で、その取り扱いに関する法規制の整備が国内外で進んでいます。サイバーセキュリティのインシデントが発生した際に法的に厳しい立場に企業や経営層が追い込まれる、といったことも企業は回避しなければなりません。サイロ化され後付けになっているサイバーセキュリティへの考え方を変えて、経営を守ることにフォーカスした新しいサイバーセキュリティのマネージメントフレームワークが必要です。

そこで、パロアルトネットワークスでは、経営を守ることにフォーカスした、ビジネスの計画段階からサイバーセキュリティを一気通貫で適用する新しいセキュリティマネジメントフレームワーク「Security Management Office(SMO)」を開発し、SMOの導入、運用を含めて経営視点でのセキュリティ強化を支援する「SMOイネーブルメントサービス」を発表しました。

プロジェクト管理の分野にProject Management Office (PMO)といったものがあるように、SMOは企業におけるサイバーセキュリティの取り組みをビジネスの企画段階から展開後のインシデント対応に至るまで一気通貫で管理するためのフレームワークです。SMOのようなフレームワーク、組織機能を企業内に組み込むことで、グループ会社や事業部門、活用するテクノロジーやサービスが多種多様に存在する中でも、企業全体としてのビジネス要件とセキュリティ要件のコンフリクトの解消、緩和はもちろん、法務的な観点、サイバーセキュリティの観点での企業リスクを考慮した経営を守る取り組みをビジネスの計画段階から進めることができます。パロアルトネットワークスでは、このようなフレームワークを企業内に導入することだけでなく、機能させるための運用を含めて支援するサービスを提供します。

テクノロジーが単なるツールではなくビジネスを動かす時代になった今だからこそ、企業におけるサイバーセキュリティへのマインドセットを再検討する良い機会ともいえます。ビジネスイネーブラーとして機能すべく、シフトレフトの形でサイバーセキュリティへの取り組みがビジネスの計画段階から組み込まれることが当たり前の世界の実現が期待されます。

Got something to say?