「SPHERE23」開催、CEOが語った「アンカンファレンス形式を採用する理由」とは
WithSecure、年次イベントで「アウトカムベースセキュリティ」をより具体化
2023年06月07日 08時00分更新
“言うは易く、行うは難し”アウトカムベースセキュリティをどう実現するか
SPHERE23では、その他のセッションでもアウトカムベースセキュリティの話題が取り上げられた。
フォレスターリサーチのセキュリティ/リスクアナリストであるローラ・ケッツェル氏のセッションでは、企業への調査データに基づき、アウトカムベースセキュリティを実現していくうえでの課題が説明された。
ケッツェル氏は、アウトカムベースセキュリティのコンセプトは経営層にとって魅力的に聞こえるものの、“言うは易く、行うは難し”でもあると指摘する。事実、「ビジネスアウトカムに沿ったかたちでセキュリティ対策を検討していくには、どのような課題があるか」という設問に対し、「課題は何もない」と回答した企業は3%にとどまる。上位に挙がったのは「IT環境の複雑さを管理すること」「セキュリティとビジネス目標の利害対立を解消すること」などの課題だという。
その上で、アウトカムベースセキュリティを実践していくためのポイントとして「常に変化するビジネスゴールに追随し、セキュリティのアプローチを見直すこと」「必要のなくなった過去の対策は捨てること」などを挙げた。
フォレスターリサーチのローラ・ケッツェル(Laura Koetzle)氏(左)は、アウトカムベースセキュリティを実践していくうえでの現状の課題を説明するとともに、実践により得られるメリットを紹介した
WithSecureのCISOを務めるクリスティン・ベヘラスコ氏は、アウトカムベースセキュリティを進めていくためのフレームワークとして「Security Outcomes Canvas」というシートを披露した。これは「企業として達成したいビジネス成果」や「それを阻む主要なリスク」「必要となるセキュリティ成果」などを書き出し、具体的なセキュリティ対策や必要なリソース(人、プロセス、製品)までドリルダウンすることを支援するものだ。今後、WithSecureのWebサイトからダウンロード提供も予定しているという。
ベヘラスコ氏は、セキュリティ対策が複雑化し続ける中では、中心となる“判断基準”を明確にすることが必要だと述べる。シートに書き出すことでそれが明確となり、企業内の共通理解につながること、セキュリティ投資の成果を測定しやすくなることなどのメリットがあると説明した。
WithSecure CISOのクリスティン・ベヘラスコ(Christine Bejerasco)氏。「Security Outcomes Canvas」に書き込んでいく順番(左画像内の数字)や、WithSecureに当てはめた例(右画像)を紹介した
* * *
SPHERE23のレポート記事として、今回はまずメインテーマである「アウトカムベースセキュリティ」について取り上げた。アウトカムベースセキュリティのコンセプトについては今年2月の説明会でも紹介されていたが、今回のSPHEREではより具体的な議論がなされたと感じた。もちろんフォレスターのケッツェル氏が指摘したように、企業がこれまでのセキュリティアプローチ(人、プロセス、テクノロジー)から移行していくうえでは課題も多くあるはずだ。今後、WithSecureがそれにどう応えていくのかには注目したい。
なおSPHEREでは、このほかにも多様なセッションが展開された。ユニークなセッションも見られたので、また記事をあらためてご紹介したい。
