サイバーセキュリティはITの話ではない!

パクリのようなタイトルで申し訳ありません。"サイバーセキュリティはITの話ではなくビジネスの話だ!"。これは色々なメディアや書籍で謳われていることかと。

なぜサイバーセキュリティはITの話ではなく、ビジネスの話なのでしょうか?

従来のITサービスマネジメントとサイバーセキュリティの世界の違いを整理してみます。先ず、従来のITサービスの世界はの登場人物は、以下のように整理できるのではと思っています。

サービスを提供する側 | サービスを受ける側

COBITやITILのような考え方の型を元にしたITサービスマネジメントの世界では、ITサービスを提供する側(例/情報システム部門)とITサービスを受ける側(例/ビジネス部門)の、2種類しかありませんでした。

サービスを提供する側は、受ける側の多種多様な需要にひろくあまねく応えるべく、サービスを設計・構築・提供・運用することがミッションです。

受ける側の需要になるべく応えて、受ける側のミッション(=ビジネス)を滞りなく遂行させることが根源的なゴールだったかと思います。

提供する側が意識していることはAvailability(可用性)のみで、例えばサーバやネットワークを二重化して片肺がダウンした場合でもサービスを継続できるようにする等が、大きなテーマの1つだったかと。

サイバーセキュリティの世界での登場人物を整理してみます。

サービスを提供する側 | サービスを受ける側 | 攻撃者 | 資産を守る側

攻撃者と資産を守る側の存在。これがITサービスマネジメントの世界との最も大きな違いかと考えています。かつ、各々のミッションと達成基準の違いも見逃せません。

攻撃者のミッションは、企業内に散在している重要な資産(例/設計情報や個人情報)を盗んで、盗んだ情報を闇社会で販売したり、企業を脅したりして収益を得ることです。

攻撃者は、10回だろうが10億回であろうが、仕掛けた攻撃が1回でも成功して、重要な資産を盗むことができたらミッションは達成です。

資産を守る側のミッションは、重要な資産が不正に搾取されてしまう確率を可能な限り小さくすることです。仮に攻撃が10億回発生したら、10億回発見して攻撃の内容に応じて対処内容を決めて実行しなければなりません。

このミッションと達成基準の違いは大きいですね。100%が求められている資産を守る側は、0.0001%でも成功とみなされる攻撃者とは、達成基準の高さが全く異なります。

資産を守る側は、サービスを提供する側と協力して、Availability(可用性)だけでなく、Confidentiality(秘匿性)やIntegrity(完全性)も意識することで、ミッション達成に近づくことができるかと思います。

ITサービスのAvailability(可用性)の担保は、ITテクノロジに閉じた話かと思います。

Confidentiality(秘匿性)やIntegrity(完全性)は、重要な資産が日々のビジネスの中でどのように誕生して、利用されて、破棄されているのかを、隈なく体系的に理解しなければなりません。

これらはITの話ではなくビジネスの話ですね。