ダイヤモンド社のビジネス情報サイト

最新のセキュリティを導入する前に
企業がすべきこと

――IT投資の最適化を目指す「GRC」という考え方

ダイヤモンドIT&ビジネス
【第118回】 2016年7月6日
著者・コラム紹介バックナンバー
previous page
3

クラウドのリスク管理はGRCの大きな課題

 GRCの分野で最近の大きなテーマは、クラウドへの対応だとウォルター氏は言う。「自社でデータを持っていない情報をどう管理し、守るか。これは顧客企業だけでなく、クラウド事業者とどう調整していくかにもかかってきます」

 クラウドサービスが出始めのころは、クラウド事業者側にレポート機能も整っていなかったので、SLA(サービス・レベル・アグリーメント=サービス品質保証)を守らせる契約上の縛りをかけることでリスク対策としていた。だがいまは、クラウド事業者の透明性、可視性が高まっているという。クラウド事業者の間で、顧客企業向けの標準的なフレームワークを作る動きも出てきている。

 また、リスク管理の点では「サイバー保険」の分野も今後の動向が気になるとウォルター氏は言う。「すでに世界のトップ10の銀行ではサイバー保険に加入しています。ただ、私の知る限り保険金が支払われたケースはまだありません」

デバイスよりも
認証情報の管理が重要

 最後に、企業はどうやって企業全体、社員全員にGRCの考え方を浸透させていくべきか、導入にあたっての方針についてウォルター氏に聞いた。

「第1にトレーニングです。システムを導入するだけでなく、全社員が事業上のリスクは何かを理解しておく必要があります。トレーニングをすることが意識改革につながります。EMCの社内でも、例えばフィッシングメールがどういうものかといったセキュリティ演習を定期的に行います。顧客企業へのトレーニングのアドバイスもしています。

 第2のポイントは、BYODやクラウドのサービスが一般的な今日では、個々のデバイスを守ることよりも「ID」(認証情報)を守ることが重要だということです。誰が何にアクセスしているのか、IDで管理することが求められています。ベライゾンのレポートでは、データ漏えいの95%はID管理の欠陥から起きているという報告が出ています。この点についても、顧客企業と共同で、認証情報を企業がしっかり管理し守っていくという方針を打ち立て、システムの設計にあたっています」

(取材・文/ダイヤモンド・オンライン IT&ビジネス 指田昌夫)

previous page
3
IT&ビジネス
クチコミ・コメント

facebookもチェック

IT&ビジネス 業界ウォッチ

IT業界で話題の新サービス・新製品のニュース、これから話題になりそうな新ツール、知っておきたい各種の統計調査……などなど、経営効率化に寄与するIT業界の今のうごきをレポートします。

「IT&ビジネス 業界ウォッチ」

⇒バックナンバー一覧