初日の特別講演では、霹靂社代表の本多和幸氏が登壇。「DXネイティブなIT基盤/セキュリティを考える~法人向けIT市場のカオスをどう生き抜くか~」をテーマに講演を行った。
霹靂社 代表
本多和幸氏
本多氏は、まず国内情報セキュリティ製品の市場は今後も拡大を続けるとの調査会社の予測を示した上で、最も注目を集めているのはDXネイティブなセキュリティだと指摘。「金融庁が2022年2月に公表した『金融分野におけるサイバーセキュリティ強化に向けた取組方針Ver.3.0』では、リスク対策の重点施策としてサイバーハイジーンとサイバーレジリエンスの二つを挙げている」と説明した。
サイバーハイジーン(サイバー衛生管理)とは、組織内の全デバイス(PCなど)の脆弱性を継続的に可視化し、必要に応じて素早く対処する活動のこと。セキュリティ製品のジャンルとしては、IT資産管理、脆弱性管理、構成管理などがこの活動が該当する。また、サイバーレジリエンス(サイバー攻撃耐性)は、早期に復旧させるために、インシデントを迅速に検知し、原因を特定し、適切な対応をとることを意味する。セキュリティ製品ではEDRが代表格だ。
ただ、最近のエンドポイントセキュリティ市場はサイバーレジリエンス偏重になっているのが実態。本多氏は「セキュリティの議論をする際は全体を“面”でとらえる必要があり、サイバーハイジーンとサイバーレジリエンスの両方が重要だ」と強調した。
では、企業がどちらか一方に偏らないセキュリティ投資をするにはどうしたらいいのか。本多氏が勧めたのは、公的機関のガイドラインや国際的なセキュリティフレームワークに示されている原理原則に従うということである。
国内でいえば、サイバーセキュリティ基本法、内閣サイバーセキュリティセンター(NISC)の「サイバーセキュリティ戦略」、経済産業省の「サイバーセキュリティ経営ガイドライン」、デジタル庁の「デジタル社会推進標準ガイドライン」など。ITベンダーが提案する製品がこれらの原理原則のどこにあてはまるかを確認して自社のセキュリティ戦略に位置付ければ、市場のバズワードに惑わされることもないだろう。
また、経営層の役割も重要だ。ある通信事業者が情報システム部門に対して実施した調査では、「経営層がゼロトラスト環境の重要性を理解してくれない」との回答が全体の約20%。「DX基盤整備としてのセキュリティ投資には経営者のイニシアティブがきわめて重要だ」と本多氏は締めくくった。
